Управление тысячами или даже миллионами устройств дает киберзлоумышленникам превосходную возможность распространять вредоносное ПО или проводить DDoS-атаки.

 

Определение ботнета

Ботнет – это набор подключенных к Интернету устройств любого типа, взломанных злоумышленником. Ботнеты действуют как мультипликатор силы для отдельных злоумышленников, киберпреступных групп или целых государств, стремящихся нарушить работу целевой системы или взломать ее. Ботнеты, которые обычно применяются в распределенных атаках типа «отказ в обслуживании» (DDoS), также могут использовать свои коллективные вычислительные мощности для рассылки больших объемов спама, кражи учетных данных в широких масштабах или шпионажа за людьми или организациями.

Злоумышленники создают бот-сети, заражая подключенные устройства вредоносными программами, а затем управляя ими с помощью C&C-сервера. После того, как злоумышленник скомпрометировал устройство в определенной сети, все уязвимые устройства в этой сети подвергаются риску заражения.

Ботнет-атака может иметь разрушительные последствия. В 2016 году ботнет Mirai блокировал интернет-сети таких компаний, как Twitter, Netflix, CNN и других крупных сайтов, а также крупных российских банков и всей Либерии. Ботнет использовал незащищенные устройства Интернета вещей (IoT), такие как камеры безопасности, устанавливая вредоносные программы, которые затем атаковали DYN-серверы, маршрутизирующие интернет-трафик.

Индустрия среагировала мгновенно: производители устройств, регуляторы, телекоммуникационные компании и интернет-провайдеры действовали сообща, чтобы изолировать взломанные устройства, отключить и исправить их, а также убедиться, что подобный ботнет никогда больше не будет сконструирован.

Шучу. Этого не случилось. Напротив, ботнетов становится все больше.

Даже ботнет Mirai все еще жив. Согласно отчету, опубликованному Fortinet в августе 2018 года, Mirai был одним из самых активных ботнетов во втором квартале этого года.

С момента опубликования исходного кода два года назад ботнеты Mirai даже добавили новые функции, в том числе возможность превращать зараженные устройства в множество вредоносных прокси-серверов и криптомайнеров. По словам Fortinet, они также продолжают добавлять эксплойты, нацеленные как на известные, так и на неизвестные уязвимости.

По словам Тони Джандоменико, исследователя и старшего стратега по безопасности компании Fortinet, криптомайнинг показывает себя существенным изменением во вселенной ботнетов. Это позволяет злоумышленникам использовать компьютерное оборудование и электричество жертвы, чтобы заработать биткойны, монеро и другие криптовалюты. «Это самый значительный вызов за последние несколько месяцев», – говорит он. «Плохие парни экспериментируют, чтобы выяснить, как они могут использовать бот-сети IoT для заработка денег».

Mirai – это только начало. Осенью 2017 года исследователи Check Point заявили, что обнаружили новый ботнет, известный под именами IoTroop или Reaper, способный навредить устройствам IoT даже быстрее, чем Mirai. У него есть потенциал разрушить весь Интернет, как только создатели запустят его.

Mirai заразил уязвимые устройства, которые использовали стандартные логины и пароли. Reaper выходит за рамки этого, нацеливаясь как минимум на девять различных уязвимостей от почти десятка различных производителей устройств, включая таких крупных игроков, как D-Link, Netgear и Linksys. Кроме того, он достаточно гибок, поскольку злоумышленники могут легко обновить код ботнета, чтобы сделать его более опасным.

Согласно исследованию Recorded Future, Reaper использовался в атаках на европейские банки в этом году, включая ABN Amro, Rabobank и Ing.

 

Почему мы не можем остановить ботнеты

Среди проблем, связанных с остановкой ботнетов, можно перечислить широкую доступность и постоянные покупки небезопасных устройств, практическую невозможность блокировки зараженных устройств и отключения их от сети Интернет, а также трудности с отслеживанием и преследованием создателей ботнетов. Когда покупатель приходит в магазин с целью приобрести камеру наблюдения или другое подключенное к сети устройство, он смотрит на функции, ищет узнаваемые бренды и, самое главное, он смотрит на цену.

Вопросы безопасности обычно отходят на второй план. «Поскольку [IoT-устройства] очень дешевы, вероятность наличия хорошего обслуживания и быстрых обновлений невысока», – говорит Райан Спаниер, директор по исследованиям в Kudelski Security.

Между тем, поскольку люди продолжают покупать недорогие, небезопасные устройства, число уязвимых конечных точек продолжает расти. По оценкам исследовательской компании IHS Markit, общее количество подключенных устройств вырастет с почти 27 миллиардов в 2017 году до 125 миллиардов в 2030 году.

Спаниер говорит, что производителям не хватает стимулов меняться. Большинство производителей сталкиваются с последствиями продажи небезопасных устройств. «Хотя с прошлого года ситуация начала постепенно исправляться», – говорит он, – «Правительство США оштрафовало пару производителей».

Например, FTC подала в суд на D-Link в 2017 году за продажу маршрутизаторов и IP-камер из-за наличия в них значительных недостатков безопасности, которые производитель в состоянии был исправить, например, жестко закодированных учетных данных для входа. Тем не менее, федеральный судья отклонил половину жалоб FTC, потому что FTC не смог представить конкретных случаев, когда потребители действительно пострадали.

 

Как обнаружить бот-сети: целевой трафик

Ботнеты обычно управляются центральным командным сервером. Теоретически отключение этого сервера, а затем отслеживание трафика обратно на зараженные устройства для их очистки и защиты выглядит простой задачей, но это совсем не так.

Когда ботнет настолько велик, что влияет на Всемирную сеть, интернет-провайдеры могут объединиться, чтобы выяснить, что происходит, и обуздать трафик. По словам Спаниера, так было в случае с ботнетом Mirai. «Пока ботнет небольшой, что-то вроде спама, интернет-провайдеры особо о нем не беспокоятся», – говорит он. «У некоторых интернет-провайдеров, особенно для домашних сетей, есть способы оповещения своих пользователей, но они настолько незначительны, что не влияют на ботнет. Кроме того отследить трафик ботнетов довольно трудно. Mirai было легко увидеть из-за того, как быстро он распространялся, и исследователи безопасности старались поделиться информацией как можно быстрее».

По словам Джейсона Брвеника, технического директора NSS Labs, Inc., затрагиваются вопросы соблюдения конфиденциальности, а также эксплуатационные аспекты. Потребитель может иметь несколько устройств в своей сети, совместно использующих одно соединение, в то время как предприятие может иметь тысячи и более. «Нет способа изолировать устройство, на которое это повлияло», – говорит Брвеник.

Ботнеты пытаются скрыть свое происхождение. Например, Akamai отслеживает бот-сеть, IP-адреса которой связаны с компаниями из списка Fortune 100 – адреса, которые, как подозревает Akamai, могут быть подделаны.

Некоторые фирмы, занимающиеся информационной безопасностью, пытаются работать с провайдерами инфраструктуры для выявления зараженных устройств. «Мы работаем с Comcast, Verizon, всеми интернет-провайдерами в мире и говорим им, что необходимо найти всех владельцев зараженных устройств и вылечить эти устройства», – говорит Адам Мейерс, вице-президент разведки в CrowdStrike, Inc.

Подобные сети, где кто-то должен выйти и установить патчи, могут включать миллионы устройств. Зачастую отсутствует возможность удаленного обновления. Многие камеры видеонаблюдения и другие подключенные датчики находятся в удаленных местах. «Починить подобные устройства невероятно сложно», – говорит Мейерс.

Кроме того, некоторые устройства могут больше не поддерживаться или могут быть построены таким образом, что их исправление не представляется возможным. Устройства обычно продолжают выполнять работу даже после заражения, поэтому у владельцев нет особой мотивации выбрасывать их и покупать новые. «Качество видео не ухудшается настолько, что это можно заменить», – утверждает Мейерс.

Зачастую владельцы так и не узнают, что их устройства являются частью ботнета. «Потребители не имеют средств для мониторинга активности бот-сетей в своих личных сетях», – говорит Крис Моралес, руководитель отдела аналитики безопасности в Vectra Networks, Inc.

По словам Моралеса, предприятия имеют в своем распоряжении больше инструментов, но поиск бот-сетей обычно не является их главным приоритетом. «Группы безопасности отдают приоритет атакам, нацеленным на их собственные ресурсы, а не атакам, исходящим от их сети к внешним целям», – говорит он.

Производители устройств, обнаружившие в своих IoT-устройствах недостаток, который они не в состоянии исправить, в случае достаточной мотивации могут их отозвать, но даже подобные действия могут не иметь большого эффекта. «Очень немногие люди возвращают устройства, пока те не угрожают непосредственно их безопасности, даже если появляются оповещения», – говорит Брвеник из NSS Labs. «Если на вашей камере видеонаблюдения, направленной на подъездную дорожку выскакивает предупреждение системы безопасности, и вы получаете уведомление, вы можете подумать: «Ну и что, что они видят мою дорожку?»

 

Как предотвратить ботнет-атаки

Совет по защите цифровой экономики (CSDE) в сотрудничестве с Советом индустрии информационных технологий, USTelecom и другими организациями недавно выпустил всеобъемлющее руководство по защите предприятий от ботнетов.

Ниже представлены главные рекомендации.

 

Обновляйте, обновляйте, и еще раз обновляйте

Ботнеты используют незакрытые уязвимости для распространения с устройства на устройство, чтобы нанести максимальный ущерб предприятию. Первой линией защиты должно быть обновление всех систем. CSDE рекомендует предприятиям устанавливать обновления, как только они выходят. Автоматические обновления будут идеальным вариантом.

Некоторые предприятия предпочитают откладывать обновления до тех пор, пока у них не появится время проверить совместимость и другие проблемы. Это может привести к значительным задержкам, а некоторые системы могут быть полностью забыты и даже не попадут в список обновлений.

Предприятия, которые не используют автоматические обновления, возможно захотят пересмотреть свою политику. «Производители успешно тестируют продукты на стабильность и функциональность, – говорит Крейг Уильямс, менеджер по работе с клиентами Talos в Cisco Systems, Inc.

Компания Cisco является одним из основателей CSDE и внесла значительный вклад в создание руководства по борьбе с ботнетами. «Риски, которые существовали изначально, значительно снизились», – говорит Уильямс.

Не только приложения и операционные системы нуждаются в автоматическом обновлении. «Убедитесь, что ваши аппаратные устройства также настроены на автоматическое обновление», – говорит он.

Устаревшие продукты, как аппаратные, так и программные, могут больше не обновляться, и руководство по борьбе с ботнетами рекомендует предприятиям прекратить их использование. Производители также не обеспечивают поддержку пиратских продуктов.

 

Ограничьте доступ

Руководство рекомендует предприятиям использовать многофакторную систему аутентификации и проверку на основе рисков, а также минимальные привилегии и другие передовые методы контроля доступа. По словам Уильямса, после заражения одного устройства бот-сети распространяются, помимо прочего, используя учетные данные. Блокируя доступ, ботнеты можно локализовать в одном месте, где они наносят меньше урона и где их легче уничтожить.

Одним из наиболее эффективных шагов, которые могут предпринять компании, является использование физических ключей для аутентификации. Например, Google начал требовать, чтобы все его сотрудники использовали физические ключи безопасности в 2017 году. С тех пор, согласно руководству, ни одна рабочая учетная запись не была фишинговой.

«К сожалению, многие компании не могут себе этого позволить», – говорит Уильямс. В дополнение к первоначальным затратам на технологию высоки риски потери сотрудниками ключей.

Аутентификация на основе смартфона помогает преодолеть этот разрыв. По словам Вильямса, это экономически выгодно и добавляет значительный уровень безопасности. «Злоумышленникам придется физически скомпрометировать телефон человека», – говорит он. «Можно выполнить код на телефоне сотрудника для перехвата SMS, но такое случается довольно редко».

 

Не пытайтесь справиться в одиночку

Руководство по борьбе с ботами обращает внимание на несколько сфер, в которых предприятиям было бы выгодно обратиться за помощью к внешним партнерам. Например, существует множество таких каналов, как CERT, по которым предприятия могут обмениваться информацией об угрозах, отраслевые группы, правительственные и правоохранительные органы, а также спонсируемые поставщиками платформы.

Еще одна область, в которой компании не следует полагаться исключительно на собственные внутренние ресурсы, – это защита от DDoS-атак. «Говоря в общем, вы наверняка захотите блокировать DDoS-атаку, пока она не успела до вас дойти», – говорит Уильямс. «Многие полагают, что если у вас есть система защиты от вторжений или брандмауэр, это предотвратит DDoS-атаку. На самом деле это не так».

 

Углубляйте свою защиту

Сегодня уже недостаточно защищать только свой периметр или конечные устройства. «В наши дни злоумышленники действительно креативны», – говорит Уильямс. «Они могут проникнуть в вашу сеть со стороны разных поставщиков». По его словам, наличие нескольких защитных систем похоже на наличие нескольких замков на двери. Если злоумышленники выяснят, как взломать один замок, другие замки остановят их.

Руководство по борьбе с ботнетами рекомендует предприятиям рассмотреть возможность использования расширенной аналитики для защиты пользователей, данных и сетей, обеспечения правильной настройки мер безопасности и использования сегментации сети и сетевых архитектур, которые надежно управляют потоками трафика. Например, по словам Уильямса, устройства IoT должны находиться в отдельной изолированной части сети.

Например, ботнет Mirai использовал небезопасные подключенные устройства. «Когда у вас есть устройства IoT, которые нельзя подключить к той же сети, к которой подключена остальная часть предприятия, это чревато значительным уровнем риска, который вам совсем не нужен», – говорит он.

 

Ботнет-драгнеты добились некоторого успеха

В конце 2017 года ботнет Andromeda был уничтожен ФБР совместно с правоохранительными органами в Европе. В течение предыдущих шести месяцев ботнет обнаруживался в среднем на более чем миллионе заблокированных устройств каждый месяц.

 

Источник