1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что такое ботнет и как защищаться от атак ботнетов

Что такое ботнет и как защищаться от атак ботнетов

Ботнет — это сеть устройств, инфицированных вредоносным ПО и подключенных к интернету. Ботнеты часто используются в DDoS-атаках. Кроме этого, хакеры часто пользуются их совокупной вычислительной мощностью, чтобы отправлять большие объемы спама, похищать доступы большого количества пользователей или шпионить за людьми и компаниями.

Злоумышленники строят ботнеты, заражая подключенные к интернету устройства зловредным ПО и управляя ими при помощи командного сервера. Как только хакер заражает одно устройство в сети, остальные устройства также рискуют стать инфицированными.

Атака ботнета может быть сокрушительной: в 2016 году ботнет Mirai отключил большую часть интернета, включая такие сайты, как Twitter, Netflix, CNN, а также русские банки и всю Либерию. Ботнет воспользовался незащищенными устройствами интернета вещей, такими, как камеры безопасности, и установил на них зловредное ПО, которое атаковало cерверы, направляющие интернет-трафик.

Классификация ботнетов

Ботнеты классифицируются по архитектуре и сетевым протоколам.

С точки зрения архитектуры можно выделить ботнеты с центром управления и децентрализованные. В первом случае все компьютеры объединены вокруг одного контрольного центра (Command & Control Centre, C&C). Это — самая распространенная разновидность. Центр ждет откликов от ботов, фиксирует их, раздает инструкции, которые определяет владелец. Иногда злоумышленник создает несколько центров, на случай их вывода из строя или блокировки. Зомби-сети такого типа легки в создании и управлении, более оперативно реагируют на команды, но и бороться с ними отчасти проще, чем с другими типами ботнетов: достаточно добиться уничтожения командного центра, и сеть рассыпается. Впрочем, задача может усложниться из-за миграции центров или шифрования трафика.

Децентрализованные вредоносные сети еще называют P2P-ботнетами — от английского термина «peer-to-peer», означающего соединение вида «точка-точка». В таких системах бот-агенты соединяются не с центром управления, а с определенным числом других зараженных компьютеров. Получив команду, вредоносная программа передает ее следующей машине, и так происходит распространение инструкций по всей зомби-сети. Таким образом, киберпреступник может управлять всеми инфицированными компьютерами через любой узел ботнета. Сеть такого типа менее удобна в эксплуатации, но из-за отсутствия центра бороться с ней тоже труднее.

Классификация зомби-сетей по протоколам объясняется наличием взаимодействия между машиной, подающей команду, и компьютерами жертв. Оно строится на сетевых протоколах, которые определяют порядок коммуникации между узлами. По этому признаку ботнеты разделяют на четыре группы.

К первой группе относятся IRC-ориентированные зомби-сети. Они характеризуются соединением каждого зараженного устройства с IRC-сервером, перемещением на указанный канал и ожиданием команды владельца. Вторую группу составляют сети, использующие каналы IM-служб. Необходимость создания отдельного аккаунта для каждого узла снижает популярность таких ботнетов. Третья группа — веб-ориентированные ботнеты, где управление компьютерами осуществляется через Всемирную паутину. Они легко разрабатываются, в интернете много веб-серверов, управлять ими очень просто; по этим причинам подобные вредоносные сети пользуются спросом. К четвертой группе следует отнести другие виды систем с собственными, нестандартными протоколами.

Методы защиты

Чтобы предотвратить превращение устройств Интернета вещей в «зомби», необходимо пользоваться стандартными мерами, позволяющими защититься от наиболее распространенных угроз. В бюллетене, опубликованном в октябре 2016 года Компьютерной группой реагирования на чрезвычайные ситуации США (US-CERT), приводятся следующие рекомендации:

  • изменить пароли, заданные по умолчанию, на надежные;
  • установить свежие заплаты безопасности на устройства Интернета вещей;
  • отключить технологию Universal Plug and Play (UPnP) на маршрутизаторах, если нет реальной необходимости пользоваться ею;
  • обеспечить мониторинг трафика на портах 2323/TCP и 23/TCP, чтобы воспрепятствовать попыткам получения несанкционированного контроля над устройствами Интернета вещей с помощью протокола Telnet;
  • отслеживать аномалии трафика на порту 48101, который часто используется инфицированными устройствами для пересылки атакующим сведений о результатах попыток распространения вредоносов.

Создание «бойца» ботнета – подконтрольного хоста

Для того чтобы провести DDоS-атаку, необходимо создать ботнет с помощью заражения устройства. Именно для этого и нужно подобрать пароль к IoT-устройству, как, например, игровой приставке, умному принтеру, вашей IP-камере или NVR. При этом тип устройства нужен злоумышленниками только для того, чтобы получить инструмент для дальнейшей атаки. Попробуем понять, как это происходит.

Для получения контроля над IP-видеокамерой нужно знать как минимум два пункта для входа: IP-адрес и логин/пароль учетной записи. Однако на практике IP-адреса вряд ли можно назвать секретом. Они легко обнаруживаются сканерами сети, к тому же камеры откликаются на запросы поисковых роботов. При этом даже с настроенным логином и паролем доступ к камере зачастую можно получить по прямой ссылке типа /index.htm и после этого изменить логин/пароль без авторизации.

Итак, сначала нужно найти эти самые IP-видеокамеры или NVR, сделать это можно либо спецзапросами в популярных поисковиках или в специальных поисковиках для IoT.

После того как вы нашли потенциальную жертву, необходимо получить доступ, обычно применяются несколько вариантов:

  1. Недоработка производителя – на IP-камере вообще не установлен пароль, некоторые производители допускают и такое использование их оборудования.
  2. Халатность – пользователь просто не сменил заводской логин и пароль. Это самый распространенный вариант захвата контроля над устройством.
  3. Использование уязвимости прошивки IP-видеоустройства – этот метод связан с тем, что большинство IP-видеокамер имеют на борту «дырявый» веб-сервер GoAhead.

Следующий этап после получения контроля над устройством – внедрение программного кода, чтобы удаленно управлять этим хостом. После повторения этой последовательности действий N количество раз вы получаете ваш личный ботнет, состоящий из N устройств подконтрольных вам.

Конечно, необходимо понимать, что все методики и ресурсы представлены здесь только в ознакомительных целях, ни в коем случае не являются руководством к действию и служат исключительно для лучшего понимания методологии процесса атаки и возможности выстроить качественную защиту от подобного нападения.

Что такое ботнеты и почему в ближайшее время от них не избавиться

Управление тысячами или даже миллионами устройств дает киберзлоумышленникам превосходную возможность распространять вредоносное ПО или проводить DDoS-атаки.

Читать еще:  Свой номер мтс команда. Как узнать свой номер телефона — команды операторов. Как узнать свой номер на iPad, iPhone

Определение ботнета

Ботнет – это набор подключенных к Интернету устройств любого типа, взломанных злоумышленником. Ботнеты действуют как мультипликатор силы для отдельных злоумышленников, киберпреступных групп или целых государств, стремящихся нарушить работу целевой системы или взломать ее. Ботнеты, которые обычно применяются в распределенных атаках типа «отказ в обслуживании» (DDoS), также могут использовать свои коллективные вычислительные мощности для рассылки больших объемов спама, кражи учетных данных в широких масштабах или шпионажа за людьми или организациями.

Злоумышленники создают бот-сети, заражая подключенные устройства вредоносными программами, а затем управляя ими с помощью C&C-сервера. После того, как злоумышленник скомпрометировал устройство в определенной сети, все уязвимые устройства в этой сети подвергаются риску заражения.

Ботнет-атака может иметь разрушительные последствия. В 2016 году ботнет Mirai блокировал интернет-сети таких компаний, как Twitter, Netflix, CNN и других крупных сайтов, а также крупных российских банков и всей Либерии. Ботнет использовал незащищенные устройства Интернета вещей (IoT), такие как камеры безопасности, устанавливая вредоносные программы, которые затем атаковали DYN-серверы, маршрутизирующие интернет-трафик.

Индустрия среагировала мгновенно: производители устройств, регуляторы, телекоммуникационные компании и интернет-провайдеры действовали сообща, чтобы изолировать взломанные устройства, отключить и исправить их, а также убедиться, что подобный ботнет никогда больше не будет сконструирован.

Шучу. Этого не случилось. Напротив, ботнетов становится все больше.

Даже ботнет Mirai все еще жив. Согласно отчету, опубликованному Fortinet в августе 2018 года, Mirai был одним из самых активных ботнетов во втором квартале этого года.

С момента опубликования исходного кода два года назад ботнеты Mirai даже добавили новые функции, в том числе возможность превращать зараженные устройства в множество вредоносных прокси-серверов и криптомайнеров. По словам Fortinet, они также продолжают добавлять эксплойты, нацеленные как на известные, так и на неизвестные уязвимости.

По словам Тони Джандоменико, исследователя и старшего стратега по безопасности компании Fortinet, криптомайнинг показывает себя существенным изменением во вселенной ботнетов. Это позволяет злоумышленникам использовать компьютерное оборудование и электричество жертвы, чтобы заработать биткойны, монеро и другие криптовалюты. «Это самый значительный вызов за последние несколько месяцев», – говорит он. «Плохие парни экспериментируют, чтобы выяснить, как они могут использовать бот-сети IoT для заработка денег».

Mirai – это только начало. Осенью 2017 года исследователи Check Point заявили, что обнаружили новый ботнет, известный под именами IoTroop или Reaper, способный навредить устройствам IoT даже быстрее, чем Mirai. У него есть потенциал разрушить весь Интернет, как только создатели запустят его.

Mirai заразил уязвимые устройства, которые использовали стандартные логины и пароли. Reaper выходит за рамки этого, нацеливаясь как минимум на девять различных уязвимостей от почти десятка различных производителей устройств, включая таких крупных игроков, как D-Link, Netgear и Linksys. Кроме того, он достаточно гибок, поскольку злоумышленники могут легко обновить код ботнета, чтобы сделать его более опасным.

Согласно исследованию Recorded Future, Reaper использовался в атаках на европейские банки в этом году, включая ABN Amro, Rabobank и Ing.

Почему мы не можем остановить ботнеты

Среди проблем, связанных с остановкой ботнетов, можно перечислить широкую доступность и постоянные покупки небезопасных устройств, практическую невозможность блокировки зараженных устройств и отключения их от сети Интернет, а также трудности с отслеживанием и преследованием создателей ботнетов. Когда покупатель приходит в магазин с целью приобрести камеру наблюдения или другое подключенное к сети устройство, он смотрит на функции, ищет узнаваемые бренды и, самое главное, он смотрит на цену.

Вопросы безопасности обычно отходят на второй план. «Поскольку [IoT-устройства] очень дешевы, вероятность наличия хорошего обслуживания и быстрых обновлений невысока», – говорит Райан Спаниер, директор по исследованиям в Kudelski Security.

Между тем, поскольку люди продолжают покупать недорогие, небезопасные устройства, число уязвимых конечных точек продолжает расти. По оценкам исследовательской компании IHS Markit, общее количество подключенных устройств вырастет с почти 27 миллиардов в 2017 году до 125 миллиардов в 2030 году.

Спаниер говорит, что производителям не хватает стимулов меняться. Большинство производителей сталкиваются с последствиями продажи небезопасных устройств. «Хотя с прошлого года ситуация начала постепенно исправляться», – говорит он, – «Правительство США оштрафовало пару производителей».

Например, FTC подала в суд на D-Link в 2017 году за продажу маршрутизаторов и IP-камер из-за наличия в них значительных недостатков безопасности, которые производитель в состоянии был исправить, например, жестко закодированных учетных данных для входа. Тем не менее, федеральный судья отклонил половину жалоб FTC, потому что FTC не смог представить конкретных случаев, когда потребители действительно пострадали.

Как обнаружить бот-сети: целевой трафик

Ботнеты обычно управляются центральным командным сервером. Теоретически отключение этого сервера, а затем отслеживание трафика обратно на зараженные устройства для их очистки и защиты выглядит простой задачей, но это совсем не так.

Когда ботнет настолько велик, что влияет на Всемирную сеть, интернет-провайдеры могут объединиться, чтобы выяснить, что происходит, и обуздать трафик. По словам Спаниера, так было в случае с ботнетом Mirai. «Пока ботнет небольшой, что-то вроде спама, интернет-провайдеры особо о нем не беспокоятся», – говорит он. «У некоторых интернет-провайдеров, особенно для домашних сетей, есть способы оповещения своих пользователей, но они настолько незначительны, что не влияют на ботнет. Кроме того отследить трафик ботнетов довольно трудно. Mirai было легко увидеть из-за того, как быстро он распространялся, и исследователи безопасности старались поделиться информацией как можно быстрее».

По словам Джейсона Брвеника, технического директора NSS Labs, Inc., затрагиваются вопросы соблюдения конфиденциальности, а также эксплуатационные аспекты. Потребитель может иметь несколько устройств в своей сети, совместно использующих одно соединение, в то время как предприятие может иметь тысячи и более. «Нет способа изолировать устройство, на которое это повлияло», – говорит Брвеник.

Ботнеты пытаются скрыть свое происхождение. Например, Akamai отслеживает бот-сеть, IP-адреса которой связаны с компаниями из списка Fortune 100 – адреса, которые, как подозревает Akamai, могут быть подделаны.

Некоторые фирмы, занимающиеся информационной безопасностью, пытаются работать с провайдерами инфраструктуры для выявления зараженных устройств. «Мы работаем с Comcast, Verizon, всеми интернет-провайдерами в мире и говорим им, что необходимо найти всех владельцев зараженных устройств и вылечить эти устройства», – говорит Адам Мейерс, вице-президент разведки в CrowdStrike, Inc.

Подобные сети, где кто-то должен выйти и установить патчи, могут включать миллионы устройств. Зачастую отсутствует возможность удаленного обновления. Многие камеры видеонаблюдения и другие подключенные датчики находятся в удаленных местах. «Починить подобные устройства невероятно сложно», – говорит Мейерс.

Читать еще:  Как работает троян, попав в систему, и из чего он состоит?

Кроме того, некоторые устройства могут больше не поддерживаться или могут быть построены таким образом, что их исправление не представляется возможным. Устройства обычно продолжают выполнять работу даже после заражения, поэтому у владельцев нет особой мотивации выбрасывать их и покупать новые. «Качество видео не ухудшается настолько, что это можно заменить», – утверждает Мейерс.

Зачастую владельцы так и не узнают, что их устройства являются частью ботнета. «Потребители не имеют средств для мониторинга активности бот-сетей в своих личных сетях», – говорит Крис Моралес, руководитель отдела аналитики безопасности в Vectra Networks, Inc.

По словам Моралеса, предприятия имеют в своем распоряжении больше инструментов, но поиск бот-сетей обычно не является их главным приоритетом. «Группы безопасности отдают приоритет атакам, нацеленным на их собственные ресурсы, а не атакам, исходящим от их сети к внешним целям», – говорит он.

Производители устройств, обнаружившие в своих IoT-устройствах недостаток, который они не в состоянии исправить, в случае достаточной мотивации могут их отозвать, но даже подобные действия могут не иметь большого эффекта. «Очень немногие люди возвращают устройства, пока те не угрожают непосредственно их безопасности, даже если появляются оповещения», – говорит Брвеник из NSS Labs. «Если на вашей камере видеонаблюдения, направленной на подъездную дорожку выскакивает предупреждение системы безопасности, и вы получаете уведомление, вы можете подумать: «Ну и что, что они видят мою дорожку?»

Как предотвратить ботнет-атаки

Совет по защите цифровой экономики (CSDE) в сотрудничестве с Советом индустрии информационных технологий, USTelecom и другими организациями недавно выпустил всеобъемлющее руководство по защите предприятий от ботнетов.

Ниже представлены главные рекомендации.

Обновляйте, обновляйте, и еще раз обновляйте

Ботнеты используют незакрытые уязвимости для распространения с устройства на устройство, чтобы нанести максимальный ущерб предприятию. Первой линией защиты должно быть обновление всех систем. CSDE рекомендует предприятиям устанавливать обновления, как только они выходят. Автоматические обновления будут идеальным вариантом.

Некоторые предприятия предпочитают откладывать обновления до тех пор, пока у них не появится время проверить совместимость и другие проблемы. Это может привести к значительным задержкам, а некоторые системы могут быть полностью забыты и даже не попадут в список обновлений.

Предприятия, которые не используют автоматические обновления, возможно захотят пересмотреть свою политику. «Производители успешно тестируют продукты на стабильность и функциональность, – говорит Крейг Уильямс, менеджер по работе с клиентами Talos в Cisco Systems, Inc.

Компания Cisco является одним из основателей CSDE и внесла значительный вклад в создание руководства по борьбе с ботнетами. «Риски, которые существовали изначально, значительно снизились», – говорит Уильямс.

Не только приложения и операционные системы нуждаются в автоматическом обновлении. «Убедитесь, что ваши аппаратные устройства также настроены на автоматическое обновление», – говорит он.

Устаревшие продукты, как аппаратные, так и программные, могут больше не обновляться, и руководство по борьбе с ботнетами рекомендует предприятиям прекратить их использование. Производители также не обеспечивают поддержку пиратских продуктов.

Ограничьте доступ

Руководство рекомендует предприятиям использовать многофакторную систему аутентификации и проверку на основе рисков, а также минимальные привилегии и другие передовые методы контроля доступа. По словам Уильямса, после заражения одного устройства бот-сети распространяются, помимо прочего, используя учетные данные. Блокируя доступ, ботнеты можно локализовать в одном месте, где они наносят меньше урона и где их легче уничтожить.

Одним из наиболее эффективных шагов, которые могут предпринять компании, является использование физических ключей для аутентификации. Например, Google начал требовать, чтобы все его сотрудники использовали физические ключи безопасности в 2017 году. С тех пор, согласно руководству, ни одна рабочая учетная запись не была фишинговой.

«К сожалению, многие компании не могут себе этого позволить», – говорит Уильямс. В дополнение к первоначальным затратам на технологию высоки риски потери сотрудниками ключей.

Аутентификация на основе смартфона помогает преодолеть этот разрыв. По словам Вильямса, это экономически выгодно и добавляет значительный уровень безопасности. «Злоумышленникам придется физически скомпрометировать телефон человека», – говорит он. «Можно выполнить код на телефоне сотрудника для перехвата SMS, но такое случается довольно редко».

Не пытайтесь справиться в одиночку

Руководство по борьбе с ботами обращает внимание на несколько сфер, в которых предприятиям было бы выгодно обратиться за помощью к внешним партнерам. Например, существует множество таких каналов, как CERT, по которым предприятия могут обмениваться информацией об угрозах, отраслевые группы, правительственные и правоохранительные органы, а также спонсируемые поставщиками платформы.

Еще одна область, в которой компании не следует полагаться исключительно на собственные внутренние ресурсы, – это защита от DDoS-атак. «Говоря в общем, вы наверняка захотите блокировать DDoS-атаку, пока она не успела до вас дойти», – говорит Уильямс. «Многие полагают, что если у вас есть система защиты от вторжений или брандмауэр, это предотвратит DDoS-атаку. На самом деле это не так».

Углубляйте свою защиту

Сегодня уже недостаточно защищать только свой периметр или конечные устройства. «В наши дни злоумышленники действительно креативны», – говорит Уильямс. «Они могут проникнуть в вашу сеть со стороны разных поставщиков». По его словам, наличие нескольких защитных систем похоже на наличие нескольких замков на двери. Если злоумышленники выяснят, как взломать один замок, другие замки остановят их.

Руководство по борьбе с ботнетами рекомендует предприятиям рассмотреть возможность использования расширенной аналитики для защиты пользователей, данных и сетей, обеспечения правильной настройки мер безопасности и использования сегментации сети и сетевых архитектур, которые надежно управляют потоками трафика. Например, по словам Уильямса, устройства IoT должны находиться в отдельной изолированной части сети.

Например, ботнет Mirai использовал небезопасные подключенные устройства. «Когда у вас есть устройства IoT, которые нельзя подключить к той же сети, к которой подключена остальная часть предприятия, это чревато значительным уровнем риска, который вам совсем не нужен», – говорит он.

Ботнет-драгнеты добились некоторого успеха

В конце 2017 года ботнет Andromeda был уничтожен ФБР совместно с правоохранительными органами в Европе. В течение предыдущих шести месяцев ботнет обнаруживался в среднем на более чем миллионе заблокированных устройств каждый месяц.

Читайте новости первыми в нашем Telegram-канале!

Подписывайтесь на наш канал в Яндекс.Дзен!

Классификация ботнетов

Ботнеты классифицируются по архитектуре и сетевым протоколам.

С точки зрения архитектуры можно выделить ботнеты с центром управления и децентрализованные. В первом случае все компьютеры объединены вокруг одного контрольного центра (Command & Control Centre, C&C). Это — самая распространенная разновидность. Центр ждет откликов от ботов, фиксирует их, раздает инструкции, которые определяет владелец. Иногда злоумышленник создает несколько центров, на случай их вывода из строя или блокировки. Зомби-сети такого типа легки в создании и управлении, более оперативно реагируют на команды, но и бороться с ними отчасти проще, чем с другими типами ботнетов: достаточно добиться уничтожения командного центра, и сеть рассыпается. Впрочем, задача может усложниться из-за миграции центров или шифрования трафика.

Читать еще:  Посмотреть закрытое видео на youtube 18+ без регистрации

Децентрализованные вредоносные сети еще называют P2P-ботнетами — от английского термина «peer-to-peer», означающего соединение вида «точка-точка». В таких системах бот-агенты соединяются не с центром управления, а с определенным числом других зараженных компьютеров. Получив команду, вредоносная программа передает ее следующей машине, и так происходит распространение инструкций по всей зомби-сети. Таким образом, киберпреступник может управлять всеми инфицированными компьютерами через любой узел ботнета. Сеть такого типа менее удобна в эксплуатации, но из-за отсутствия центра бороться с ней тоже труднее.

Классификация зомби-сетей по протоколам объясняется наличием взаимодействия между машиной, подающей команду, и компьютерами жертв. Оно строится на сетевых протоколах, которые определяют порядок коммуникации между узлами. По этому признаку ботнеты разделяют на четыре группы.

К первой группе относятся IRC-ориентированные зомби-сети. Они характеризуются соединением каждого зараженного устройства с IRC-сервером, перемещением на указанный канал и ожиданием команды владельца. Вторую группу составляют сети, использующие каналы IM-служб. Необходимость создания отдельного аккаунта для каждого узла снижает популярность таких ботнетов. Третья группа — веб-ориентированные ботнеты, где управление компьютерами осуществляется через Всемирную паутину. Они легко разрабатываются, в интернете много веб-серверов, управлять ими очень просто; по этим причинам подобные вредоносные сети пользуются спросом. К четвертой группе следует отнести другие виды систем с собственными, нестандартными протоколами.

Риски безопасности в Интернете вещей

Вероятность атак на устройства Интернета вещей предсказывалась исследователями. Если сравнивать Интернет вещей с традиционными компьютерными системами, то их риски безопасности выше по ряду причин:

  • системы Интернета вещей не имеют четкого периметра и непрерывно меняются;
  • для систем Интернета вещей характерна высокая гетерогенность средств и протоколов связи, программных и аппаратных платформ;
  • устройства Интернета вещей могут быть автономными и управлять другими устройствами;
  • в системах Интернета вещей могут присутствовать «вещи», изначально не рассчитанные на подключение к Сети;
  • системы Интернета вещей или их части могут быть физически незащищенными и управляться несколькими инстанциями;
  • в отличие от мобильных приложений, на установку и действия которых требуется разрешение пользователя, в системах Интернета вещей подобные детализированные запросы привилегий не всегда возможны ввиду огромного количества самих устройств.

Многие системы Интернета вещей лишены даже элементарных механизмов безопасности. В таблице перечислены типичные уязвимости, обнаруженные в рамках проекта Open Web Application Security. Исследование, проведенное компанией HPE в июле 2014 года, показало, что в среднем устройства Интернета вещей имеют по 25 различных уязвимостей. В частности, 80% устройств не требовали паролей достаточной сложности и длины, 70% не шифровали трафик локальной и дистанционной связи, а 60% имели уязвимые пользовательские интерфейсы или микропрограммное обеспечение.

Распространенные уязвимости устройств Интернета вещей

Ботнеты и потенциал их применения

Ботнет – это множество подключенных к сети и зараженных вредоносными программами устройств IoT. Злоумышленник имеет возможность дистанционного управления устройствами, может координировать такие действия как запуск атаки DDoS. Ботнеты также называют ботсетями или просто роботами и ботами, они могут использоваться для рассылки спама, кражи секретных паролей и распространения вирусов-вымогателей.

Ботнеты для IoT отличаются от аналогов на базе Windows тем, что они построены из взломанных IoT-устройств и могут распространяться на огромное количество устройств, используя обширную сеть IoT. Более того, в отличие от обычных ботнетов, которые, в основном, используются для рассылки спама, ботнеты IoT могут нанести гораздо больший ущерб, воздействуя на доступную для устройств IoT физическую среду.

Например, атака ботнетов IoT на светофоры может создать хаос в городе и разрушать интеллектуальную городскую инфраструктуру. Аналогичным образом хакеры способны увеличить температуру в умных домах и искусственно повысить спрос на нефть или газ.

В отличие от персональных компьютеров и серверов, которые защищены фильтрующими функциями файерволов и детекторами вредоносных программ, IoT-устройства становятся для ботнетов привлекательными целями, поскольку они обычно не используют такие расширенные функции безопасности.

Угроза для кибербезопасности, связанная с распространением ботсетей IoT была предсказана в 2016 году, но специалисты по безопасности в Интернете не уделили достаточно внимания этой проблеме. В то время эта угроза представлялась довольно ограниченной. Однако вскоре появился набор инструментов, позволяющих ботнетам пользоваться уязвимостью в незащищенных устройствах IoT. Атака Mirai в октябре 2016 года стала ключевым поворотным моментом в развитии IoT.

Mirai и еще один ботнет IoT, называемый Bashlight, использовали уязвимость в упрощенной версии операционной системы Linux, которая используется в таких встраиваемых устройствах как веб-камеры и цифровые видеорегистраторы (DVR), а затем загружали вредоносное ПО с сервера контроля и управления.

Затем они начали распространять это ПО на другие уязвимые устройства, непрерывно сканируя оставленные по умолчанию или неизмененные имена пользователей и пароли. Именно так они начали DDoS- атаку, заразив огромное количество подключенных устройств. Вредоносными программами Mirai было использовано более 50 000 IP-камер .

Как предупреждать атаки ботнетов

Устанавливать обновления для защиты от ботнетов

Ботнеты используют уязвимости, чтобы переходить от устройства к устройству и причинять наибольший вред компании. Самое важное — регулярно обновлять все системы, и лучше, чтобы это происходило автоматически.

Автоматически должны обновляться не только операционные системы и приложения, но и аппаратное оборудование. ПО и аппаратное обеспечение, для которого уже не выпускаются обновления, нужно перестать использовать.

Блокировать доступ

Все компании должны использовать мультифакторную авторизацию и принцип наименьших привилегий, при котором пользователь получает только необходимый минимум доступов для достижения целей.

Один из эффективных шагов для безопасности — использовать физические ключи безопасности. Google, например, обязала всех работников использовать такие ключи в 2017 году. С тех пор ни одна учетная запись работника не была взломана. Но, к сожалению, не все компании могут потянуть это финансово. Кроме того, что внедрить саму технологию стоит недешево, есть еще риск того, что работники потеряют ключи.

Двухфакторная аутентификация на смартфоне может быть неплохой заменой физическим ключам. Это недорого стоит и дополнительно защищает данные.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector