بات نت به گروهی از رایانه ها اطلاق می شود که توسط بدافزار آلوده شده و تحت کنترل یک عامل مخرب قرار گرفته اند. اصطلاح بات نت یک پورتمانتو از دو کلمه robot و network است و هر دستگاه آلوده را ربات می نامند. باتنتها را میتوان برای انجام کارهای غیرقانونی یا مخرب از جمله ارسال هرزنامه، سرقت دادهها، باجافزار، کلیک تقلبی روی تبلیغات یا حملات انکار سرویس توزیع شده (DDoS) طراحی کرد.
در حالی که برخی از بدافزارها، مانند باجافزار، تأثیر مستقیمی بر صاحب دستگاه خواهند داشت، بدافزار باتنت DDoS میتواند سطوح مختلفی از دید را داشته باشد. برخی از بدافزارها برای در دست گرفتن کنترل کامل یک دستگاه طراحی شدهاند، در حالی که سایر بدافزارها بهصورت بیصدا بهعنوان یک فرآیند پسزمینه اجرا میشوند و در سکوت منتظر دستورالعملهای مهاجم یا «bot herder» هستند.
باتنتهای خود انتشار، رباتهای بیشتری را از طریق کانالهای مختلف جذب میکنند. مسیرهای آلودگی شامل بهره برداری از آسیب پذیری های وب سایت، بدافزار اسب تروجان، و شکستن احراز هویت ضعیف برای دسترسی از راه دور است. هنگامی که دسترسی به دست آمد، همه این روشها برای آلودگی منجر به نصب بدافزار بر روی دستگاه مورد نظر میشوند که امکان کنترل از راه دور توسط اپراتور باتنت را فراهم میکند. هنگامی که دستگاهی آلوده می شود، ممکن است با به کارگیری دستگاه های سخت افزاری دیگر در شبکه اطراف، اقدام به انتشار خود بدافزار بات نت کند.
در حالی که تعیین تعداد دقیق رباتها در یک باتنت خاص غیرممکن است، تخمینها برای تعداد کل رباتها در یک باتنت پیچیده از چند هزار تا بیش از یک میلیون متغیر است.
دلایل استفاده از باتنت از فعالیتگرایی تا اختلال تحت حمایت دولت متغیر است و بسیاری از حملات صرفاً برای سود انجام میشوند. استخدام خدمات بات نت به صورت آنلاین نسبتاً ارزان است، به خصوص در رابطه با میزان آسیبی که می توانند ایجاد کنند. مانع ایجاد یک بات نت نیز به اندازه کافی کم است که آن را برای برخی از توسعه دهندگان نرم افزار به یک تجارت پرسود تبدیل کند، به ویژه در مکان های جغرافیایی که مقررات و اجرای قانون محدود است. این ترکیب منجر به گسترش خدمات آنلاین ارائه دهنده حمله در ازای استخدام شده است.
یکی از ویژگی های اصلی یک بات نت، توانایی دریافت دستورالعمل های به روز شده از بات نت است. توانایی برقراری ارتباط با هر ربات در شبکه به مهاجم اجازه می دهد تا بردارهای حمله را جایگزین کند، آدرس IP مورد نظر را تغییر دهید، یک حمله را خاتمه دهید، و سایر اقدامات سفارشی شده. طراحی های بات نت متفاوت است، اما ساختارهای کنترل را می توان به دو دسته کلی تقسیم کرد:
مدل بات نت کلاینت/سرور
مدل کلاینت/سرور از گردش کار ایستگاه کاری راه دور سنتی تقلید می کند که در آن هر دستگاه به منظور دسترسی به اطلاعات به یک سرور متمرکز (یا تعداد کمی از سرورهای متمرکز) متصل می شود. در این مدل، هر ربات به یک منبع مرکز فرمان و کنترل (CnC) مانند یک دامنه وب یا یک کانال IRC متصل می شود تا دستورالعمل ها را دریافت کند. با استفاده از این مخازن متمرکز برای ارائه دستورات جدید برای بات نت، یک مهاجم به سادگی نیاز دارد تا مواد منبعی را که هر بات نت از یک مرکز فرماندهی مصرف می کند را تغییر دهد تا دستورالعمل ها را به ماشین های آلوده به روز کند. سرور متمرکزی که بات نت را کنترل می کند ممکن است دستگاهی باشد که متعلق به مهاجم است و توسط مهاجم اداره می شود یا ممکن است یک دستگاه آلوده باشد.
تعدادی از توپولوژی های متمرکز بات نت مشاهده شده است، از جمله:
توپولوژی شبکه ستاره
توپولوژی شبکه چند سرور
توپولوژی شبکه سلسله مراتبی
در هر یک از این مدلهای کلاینت/سرور، هر ربات برای دریافت دستورالعملها به یک منبع مرکز فرمان مانند یک دامنه وب یا یک کانال IRC متصل میشود. با استفاده از این مخازن متمرکز برای ارائه دستورات جدید برای بات نت، یک مهاجم به سادگی نیاز دارد تا مواد منبعی را که هر بات نت از یک مرکز فرماندهی مصرف می کند را تغییر دهد تا دستورالعمل ها را به ماشین های آلوده به روز کند.
دست در دستی با سادگی به روز رسانی دستورالعمل ها به بات نت از تعداد محدودی از منابع متمرکز، آسیب پذیری این ماشین ها است. برای حذف یک بات نت با یک سرور متمرکز، فقط سرور باید مختل شود. در نتیجه این آسیبپذیری، سازندگان بدافزار باتنت تکامل یافتهاند و به سمت مدل جدیدی رفتهاند که کمتر مستعد اختلال از طریق یک یا چند نقطه شکست است.
مدل peer-to-peer بات نت
برای دور زدن آسیبپذیریهای مدل کلاینت/سرور، باتنتها اخیراً با استفاده از مؤلفههای اشتراکگذاری فایل همتا به همتا غیرمتمرکز طراحی شدهاند. تعبیه ساختار کنترل در داخل بات نت، تنها نقطه شکست موجود در یک بات نت با یک سرور متمرکز را حذف می کند و تلاش های کاهش را دشوارتر می کند. رباتهای P2P میتوانند هم مشتری و هم مرکز فرماندهی باشند و دست به دست هم با گرههای همسایه خود برای انتشار داده کار کنند.
باتنتهای همتا به همتا فهرستی از رایانههای مورد اعتماد را نگه میدارند که با آنها میتوانند ارتباط برقرار کنند و دریافت کنند و بدافزار خود را بهروزرسانی کنند. با محدود کردن تعداد ماشینهای دیگری که ربات به آنها متصل میشود، هر ربات فقط در معرض دستگاههای مجاور قرار میگیرد و ردیابی آن را سختتر و کاهش آن را دشوارتر میکند. فقدان یک سرور فرماندهی متمرکز، یک بات نت همتا به همتا را در برابر کنترل توسط شخصی غیر از سازنده بات نت آسیب پذیرتر می کند. برای محافظت در برابر از دست دادن کنترل، باتنتهای غیرمتمرکز معمولاً رمزگذاری میشوند تا دسترسی محدود شود.
هیچ کس بانکداری اینترنتی خود را از طریق دوربین مداربسته بی سیمی که در حیاط خلوت برای تماشای تغذیه کننده پرنده قرار داده است انجام نمی دهد، اما این بدان معنا نیست که دستگاه قادر به انجام درخواست های شبکه لازم نیست. قدرت دستگاههای اینترنت اشیا همراه با امنیت ضعیف یا پیکربندی ضعیف، فرصتی را برای بدافزارهای باتنت ایجاد میکند تا رباتهای جدید را در مجموعه استخدام کنند. افزایش در دستگاههای IoT منجر به ایجاد چشمانداز جدیدی برای حملات DDoS شده است، زیرا بسیاری از دستگاهها پیکربندی ضعیفی دارند و آسیبپذیر هستند.
اگر آسیبپذیری دستگاه اینترنت اشیا در میانافزار سختکد شده باشد، بهروزرسانیها دشوارتر میشوند. برای کاهش خطر، دستگاه های اینترنت اشیا با سیستم عامل قدیمی باید به روز شوند زیرا اعتبار پیش فرض معمولاً نسبت به نصب اولیه دستگاه بدون تغییر باقی می ماند. بسیاری از تولیدکنندگان سخت افزاری که تخفیف دارند، انگیزه ای برای ایمن تر کردن دستگاه های خود ندارند، و این باعث می شود که آسیب پذیری ناشی از بدافزارهای بات نت به دستگاه های اینترنت اشیا به عنوان یک خطر امنیتی حل نشده باقی بماند.
غیرفعال کردن مراکز کنترل بات نت:
باتنتهایی که با استفاده از طرحواره فرمان و کنترل طراحی شدهاند، پس از شناسایی مراکز کنترل، به راحتی غیرفعال میشوند. قطع کردن سر در نقاط شکست می تواند کل بات نت را آفلاین کند. در نتیجه، مدیران سیستم و مقامات مجری قانون بر بستن مراکز کنترل این باتنتها تمرکز میکنند. اگر مرکز فرماندهی در کشوری فعالیت کند که مجریان قانون کمتر توانایی یا تمایل کمتری برای مداخله داشته باشند، این روند دشوارتر است.
از بین بردن عامل در دستگاه های شخصی:
برای رایانههای فردی، استراتژیهایی برای به دست آوردن کنترل مجدد بر دستگاه شامل اجرای نرمافزار آنتی ویروس، نصب مجدد نرمافزار از یک نسخه پشتیبان امن، یا شروع مجدد از یک دستگاه تمیز پس از فرمت مجدد سیستم است. برای دستگاه های اینترنت اشیا، استراتژی ها ممکن است شامل فلش کردن سیستم عامل، اجرای بازنشانی کارخانه یا فرمت کردن دستگاه باشد. اگر این گزینه ها غیرممکن باشد، ممکن است استراتژی های دیگری از سازنده دستگاه یا مدیر سیستم در دسترس باشد.
ایجاد رمزهای عبور امن:
برای بسیاری از دستگاههای آسیبپذیر، کاهش قرار گرفتن در معرض آسیبپذیری باتنت میتواند به سادگی تغییر اعتبار اداری به چیزی غیر از نام کاربری و رمز عبور پیشفرض باشد. ایجاد یک رمز عبور ایمن، شکستن brute force را دشوار می کند، ایجاد یک رمز عبور بسیار امن، شکستن بروت فورس را عملا غیرممکن می کند. به عنوان مثال، دستگاهی که به بدافزار Mirai آلوده شده است، آدرس های IP را به دنبال دستگاه های پاسخ دهنده اسکن می کند. هنگامی که یک دستگاه به یک درخواست پینگ پاسخ داد، ربات سعی می کند با یک لیست از پیش تعیین شده از اعتبار پیش فرض، به آن دستگاه پیدا شده وارد شود. اگر رمز عبور پیشفرض تغییر کرده باشد و رمز عبور ایمن پیادهسازی شده باشد، ربات تسلیم میشود و به دنبال دستگاههای آسیبپذیرتر میگردد.
فقط اجرای مطمئن کدهای شخص ثالث را مجاز کنید :
اگر از مدل اجرای نرمافزار تلفن همراه استفاده کنید، فقط برنامههای کاربردی مجاز ممکن است اجرا شوند و کنترل بیشتری برای خاتمه دادن به نرمافزارهایی که مخرب تلقی میشوند، شامل باتنتها میشود. تنها بهره برداری از نرم افزار ناظر (یعنی هسته) ممکن است منجر به بهره برداری از دستگاه شود. این امر در وهله اول به داشتن یک هسته امن بستگی دارد، که اکثر دستگاه های اینترنت اشیا از آن بی بهره هستند، و بیشتر برای ماشین هایی که نرم افزار شخص ثالث را اجرا می کنند، کاربرد دارد.
پاک کردن/بازیابی دوره ای سیستم :
بازگرداندن به حالت خوب شناخته شده پس از یک زمان مشخص، هر گونه مخروطی که سیستم جمع آوری کرده است، شامل نرم افزار بات نت را حذف می کند. این استراتژی، زمانی که به عنوان یک اقدام پیشگیرانه استفاده میشود، تضمین میکند که بدافزارهای بیصدا در حال اجرا نیز با سطل زباله به بیرون پرتاب میشوند.
اعمال روش های خوب فیلتر ورود و خروج :
سایر استراتژی های پیشرفته تر عبارتند از روش های فیلتر کردن در روترهای شبکه و فایروال ها. یک اصل طراحی شبکه ایمن لایه بندی است : شما کمترین محدودیت را در مورد منابع در دسترس عموم دارید، در حالی که به طور مداوم امنیت چیزهایی را که حساس می دانید تقویت می کنید. علاوه بر این، هر چیزی که از این مرزها عبور کند باید به دقت بررسی شود : ترافیک شبکه، درایوهای usb، و غیره. روشهای فیلترینگ با کیفیت، احتمال اینکه بدافزار DDoS و روشهای انتشار و ارتباط آنها قبل از ورود یا خروج از شبکه دستگیر شوند را افزایش میدهد.
