بات نت چیست؟ آیا دستگاه شما به آن آلوده شده است؟

حساب‌های بات نت جزو قدرتمندترین واحدهای پردازشی در کل دنیا به شمار می‌روند. اما بات نت چیست و چگونه می‌توانیم از وجود بات نت باخبر شویم؟

در مسیر پر تکاپوی پیشرفت تکنولوژی، پدیده‌های بزرگ و مهمی دیده می‌شوند اما لزوما همه آن‌ها در راه‌های درست و قانونی مورد استفاده قرار نمی‌گیرند. شاید بهترین نمونه برای این‌گونه پدیده‌ها بات نت باشد که در زمینه امنیت سایبری باعث ایجاد چالش‌های زیادی شده است.

بات نت چیست؟

با جست‌وجوی کوچکی در وبسایت SearchSecurity به تعریف بالا از بات نت خواهیم رسید که تاحدودی از ماهیت مخرب بات نت خبر می‌دهد؛ اما مهم‌ترین بخش این تعریف دقیقا جمله آخر آن است. این بدافزار روی فعالیت‌های مخربش درپوش گذاشته و صاحب دیوایس از فعالیت‌های پس‌زمینه دستگاهش اصلا مطلع نمی‌شود. معمولا وضعیت کارکرد دیوایس‌های آلوده به بات نت چندان جالب نیست و کاربر هنگام استفاده با هنگی، فریز شدن و کندی سرعت محسوس دست و پنجه نرم می‌کند. منتشر شده بود که این اتفاق به دلیل کنترل خارجی دستگاه توسط افرادی رخ می‌دهد که اصطلاحا با نام مجرمان سایبری شناخته می‌شوند. دیوایس‌های آلوده نیز در عموم به زامبی مشهور شده‌اند.

بات نت چه‌کار می‌کند؟

سازنده بات نت می‌تواند براساس نوع استفاده خود از آن، کارایی‌های زیر را برای آن در نظر بگیرد:

1. اسپم: ارسال تعداد شگرفی ایمیل اسپم به پست‌های الکترونیکی از جمله رایج‌ترین کاربردهای بات نت‌ها محسب می‌شود. برای مثال متوسط انتشار اسپم در ترافیک ایمیل بین‌المللی بین ماه‌های ژانویه تا سپتامبر 56.69 درصد بود و زمانی که شرکت امنیتی تحقیقاتی FireEye فعالیت بات نت بدنام Sribzi را متوقف کرد، این آمار با حدود 50 درصد کاهش همراه شد.
2. بدافزار: نصب و فعالیت نرم‌افزارهای جاسوسی در دیوایس توسط بات نت
3. اطلاعات شخصی: ضبط پسوردها و سایر اطلاعات شخصی موجود در دستگاه
4. وبگردی: دیوایس آلوده به لینک‌های مشخصی مراجعه می‌کند تا با ایجاد ترافیک و افزایش تعداد بازدید از صفحه، از طریق تبلیغات کسب درآمد کند.
5. بیت کوین: کنترل کنندگان بات نت می‌توانند از دستگاه قربانی برای رمزنگاری ارزی و استخراج بیت کوین استفاده کنند و سود بزرگی به جیب بزنند.
6. حملات DDoS: اپراتورهای بات نت می‌توانند با استفاده از توان پردازشی دیوایس‌های آلوده دست به حملات DDoS بزنند.

اپراتورهای بات نت معمولا برای سوددهی و کسب درآمد هرچه بیشتر چندین کارایی را برای بات خود در نظر می‌گیرند. حتی گاهی اوقات با برخی فروشگاه‌ها نیز وارد مذاکره شده و اجناس خود را از طریق آن‌ها به فروش می‌رسانند.

طی چند سال اخیر فعالیت بات نت‌ها و همچنین تعداد ایمیل‌های اسپم نیز رو به افزایش گذاشته‌اند، به طوری که در گزارش Intelligence شرکت امنیتی Symantec نیز به افزایش تعداد اسپم‌ها از یک در 451 عدد به یک در 359 عدد اشاره شده است.

بات نت چه شکلی است؟

می‌دانیم که بات نت یک شبکه بزرگ اینترنتی متشکل از چندین کامپیوتر است، اما هسته این شبکه‌ها و نوع ساختار آن‌ها با یکدیگر تفاوت‌هایی دارد.

ساختار بات نت ها

• مدل Client-server: در این نوع بات نت‌ها معمولا از یک سرویس چت (پیش‌تر IRC ولی اخیرا از سرویس‌های رمزگذاری شده‌ای نظیر تلگرام)، دامنه یا وبسایت برای برقراری ارتباط بین دیوایس‌ها استفاده می‌شود. اپراتور پیامی به سرور می‌فرستد و پس از انتخاب دیوایس موردنظر، آن فرمان را اجرا می‌کند. با وجود اینکه در این مدل ساختار‌های متفاوتی از ساده تا پیچیده مشاهده می‌شود اما با یک تلاش متمرکز و هدفمند می‌توان این مدل را از پای انداخت و غیرفعال کرد.
• مدل Peer-to-Peer: بات نت‌هایی که براساس این مدل ساخته شده باشند به لطف سرور مخصوص C2 خود به راحتی از دست برنامه‌های امنیتی و تحقیقات فرار می‌کنند. در این مدل اپراتور بات نت به جای ایجاد سروری جداگانه برای اتصال تمامی دیوایس‌ها به آن، چندین نقطه اتصال را برای مرتبط شدن دیوایس‌های زامبی تدارک می‌بیند تا غیرفعال سازی آن تا حدود زیادی دچار مشکل شود، چرا که غیرفعال کردن همزمان چندین نقطه اتصال کار راحتی نیست. مدل Peer-to-Peer یا اصطلاحا P2P ساختار پیشرفته‌تری نسبت به کلاینت سرور به شمار می‌آید و مشخصا مقاومت بیشتری در برابر غیرفعال شدن دارند.

کنترل و فرمان

پروتکل‌های کنترل و فرمان بات نت‌ها انواع گوناگونی دارد:

• Telnet: بات نت‌های تل نت از جمله ساده‌ترین بات نت ها محسوب می‌شوند که با استفاده از یک اسکریپت اسکن IP به سرورهای پیش‌فرض تل نت و SSH متصل شده و دیوایس‌های آسیب‌پذیر را به جمع زامبی‌ها اضافه می‌کند.
• IRC: شبکه‌های IRC‌ از جمله متدهایی شناخته می‌شود که با پهنای باند بسیار کمی کار می‌کند. گرچه این شبکه سوییچ بین کانال‌ها را با سرعت بالایی انجام می‌دهد که باعث ایجاد امنیت بیشتر برای بات نت می‌شود اما نقطه ضعف بزرگی نیز دارد و آن، قطع اتصال بات نت با شبکه در صورت عدم دریافت آپدیت‌های اطلاعاتی کانال است. نکته مهم درباره شبکه IRC، نفوذ راحت و رصد ترافیک آن است که باعث مهاجرت اپراتورها از IRC شده است.
• دامنه‌ها: برخی از بات نت‌های بزرگ به جای استفاده از پلتفرم پیام‌رسان، از دامنه استفاده می‌کنند. به هر یک از دستگاه‌های زامبی دامنه مشخصی داده می‌شود که می‌توان با آن‌ها لیست بلندبالایی از فرمان‌ها را اجرا کرد، بدین ترتیب فرمان‌پذیری دیوایس‌ها تا حدود بسیار زیادی ارتقا پیدا می‌کند. با توجه به محوریت اینترنت و دامنه در این پروتکل، به پهنای باند بسیار عریضی برای اجرای فرمان‌ها نیاز است و به محض مشاهده فعالیت مشکوک در یکی از دیوایس‌ها، اتصال دستگاه به سرور قطع می‌شود. همچنین اپراتور از طریق دامنه‌ها می‌تواند قوانین و مقررات کشورها را دور بزند و محدودیت‌های اینترنتی را پشت سر بگذارد.
• P2P: در پروتکل P2P معمولا از روش ورود غیرمتقارن استفاده می‌شود، یعنی یک کلید عمومی و دیگری خصوصی نگه داشته می‌شود. بدین ترتیب امکان ارسال فرمان از سوی افراد ناشناس و متفرقه تقریبا به صفر می‌رسد. همچنین به دلیل متمرکز نبودن سرور P2P، غیرفعال سازی آن به مراتب مشکل‌تر از سایر پروتکل‌هاست.
• سایر: ‌طی سال‌ها، اپراتورها از پروتکل‌های متفاوت و جالب بسیاری استفاده کرده‌اند؛ نظیر بات نت Android Twitoor که توسط اپلیکیشن توییتر کنترل می‌شود و یا Mac.Backdoor.iWorm که از سرور لیست ماینکرفت برای دریافت آی پی استفاده می‌کند. نکته جالب آنکه حتی برنامه‌های مشهور و پرطرفداری مانند اینستاگرام نیز از این چالش در امان نیستند! در سال 2017، یکی از اعضای گروه جاسوسی با نام تورلا (Turla) که با روس‌ها ارتباط تنگاتنگی داشت سرور C2 خود را در بخش کامنت تصاویر اینستاگرام بریتنی اسپیرز (Britney Spears) قرار داده و اطلاعات را میان دیوایس‌های آلوده منتشر می‌کرد.

زامبی‌ها

در نهایت، این دیوایس‌های آلوده شده هستند که نقش اصلی را در شبکه بات نت ایفا می‌کنند، چرا که بدون قدرت پردازش آن‌ها عملا بات نت فعالیتی نخواهد داشت. هرچه تعداد زامبی‌های یک بات نت بیشتر باشد به منزله قدرت بیشتر آن بات نت است. قدرت بات نت علاوه بر استفاده در موقعیت‌های مختلفی که بالاتر به آن‌ها اشاره کردیم، در رویارویی دو بات نت نیز اهمیت بسیاری داشته و رابطه مستقیمی با تعداد زامبی‌ها دارد.

انواع دیوایس‌های آلوده

دیوایس‌های تحت شبکه و متصل به اینترنت با سرعت حیرت‌انگیزی درحال افزایشند و متاسفانه تنها طعمه آن‌ها کامپیوترهای شخصی نیستند. حتی وسایلی که مجهز به اینترنت اشیا هستند نسبت به بات نت‌ها بسیار آسیب‌پذیرند و ایمنی بسیار کمی دارند.

رایج‌ترین دیوایس‌های آلوده به بات نت تلفن‌های هوشمند و کامپیوترها هستند

اسمارت فون‌ها و تبلت‌ها نیز در امان نیستند و در چند سال اخیر چندین بات نت در سیستم عامل اندروید مشاهده شده‌اند. اندروید به دلیل طراحی متن باز (Open Source) ، تعدد نسخه‌ها و آسیب‌پذیری‌های بسیار زیادش یکی از جمله راحت‌ترین طعمه‌های بات نت‌ها شناخته می‌شود. اگر شما از طرفداران iOS هستید پیش از مغرور شدنتان باید بدانید شرایط برای این سیستم عامل نیز چندان مساعد نیست و تاکنون چندین بات نت نیز آیفون‌ها را مورد هدف قرار داده‌اند. البته معمولا این حملات به آیفون‌های جیلبریک شده محدود می‌شود که دارای مشکلات و حفرات امنیتی هستند.

یکی از خطرناک‌ترین دیوایس‌های آلوده به بات نت، روترها هستند. روترهایی که از فریم ور قدیمی استفاده می‌کنند به راحتی آلوده می‌شوند و شایع ترین علامت آن، عدم امکان تعویض تنظیمات پیش‌فرض روتر توسط کاربر است. بدین ترتیب بات نت می‌تواند به هر دستگاهی که به روتر متصل می‌شود نفوذ کرده و آن را نیز آلوده کند.

از بین بردن بات نت‌ها

گاهی یک بات نت به قدری بزرگ است که نمی‌توان به راحتی آن را غیرفعال کرد. گاهی اوقات نیز ساختار بات نت به گونه‌ای است که پس از غیرفعال شدنش، سازنده می‌تواند دوباره آن را راه‌اندازی کند. این‌ها تنها چند عامل از عواملی هستند که از بین بردن بات نت‌ها را با چالش واقعی روبرو می‌کنند اما نابودی یک بات نت معمولا با همکاری بین سازمان‌های تحقیقاتی امنیتی، دولت‌ها و هکرها صورت می‌گیرد که تمامی موانع پیش رو را از سر راه برمی‌دارند.

یکی از بهترین نمونه‌های غیرفعال سازی بات نت‌ها، باج افزار (GameOver Zeus (GOZ است که در زمره بزرگترین بات نت‌های چندسال اخیر قرار می‌گیرد. این بات نت که در دوران اوجش حدود یک میلیون دیوایس را آلوده کرده بود برای سرقت پول و ارسال ایمیل‌های اسپم استفاده می‌شد و از الگوریتم پیچیده P2P برای ارتباط میان دستگاه‌ها استفاده می‌کرد.

اپراتورهای GOZ پس از راه‌اندازی دامنه‌های اولیه بات نت، حدود 150 هزار دامنه دیگر نیز در باج افزار خود ثبت کردند و نقاط پروکسی را از میان چندین ISP انتخاب کردند؛ بدین ترتیب GOZ تقریبا غیرقابل نفوذ به نظر می‌رسید. Elliot Peterson، رهبر تیم FBI مبارزه‌کننده با این بات نت اذعان داشت:

ما توانسته بودیم بات نت‌ها را متقاعد کنیم که ما افراد خوبی هستیم اما اپراتورها، پروکسی‌ها و نقاط پروکسی‌ای که توسط اپراتورها کنترل می‌شوند افراد بدی هستند و باید فراموش شوند.

پس از ساخت ابزارهای رمزگشایی دیوایس افراد قربانی، بات نت GOZ در عملیات Tovar و همکاری FBI با آژانس‌های بین‌المللی در سال 2014 به طور کامل غیرفعال شد. Evgeniy Bogachev، مالک و سازنده GOZ پس از آنکه متوجه شد FBI در مراحل پایانی براندازی بات نتش است، تا پنج ساعت پس از غیرفعال شدن باج افزارش تلاش خود را برای ادامه داد اما در نهایت شکست را پذیرفت.

بات نت‌ها در اینترنت اشیا

از آنجایی که نحوه غیرفعال شدن یک بات نت می‌تواند یک کلاس یادگیری برای اپراتورها باشد، رفته رفته بات نت‌ها قدرتمندتر و گسترده‌تر می‌شوند. در سال 2016، یکی از بدترین بات نت‌های تاریخ با نام میرای (Mirai) پدید آمد که حملات DDoS بزرگی در سراسر دنیا انجام داد. از جمله حملات او می‌توان حمله به شرکت تحقیقاتی امنیتی Brian Kreb با 620 گیگابیت بر ثانیه و حمله به ارائه‌دهنده میزبانی ابری فرانسوی با نام OVH با 1.2 ترابیت بر ثانیه اشاره کرد که بزرگترین حمله DDoS تاریخ محسوب می‌شود. در تصویر زیر کشورهای مورد حمله میرای را می‌توانید مشاهده کنید.

گرچه میرای فاصله زیادی با بزرگترین بات نت تاریخ از لحاظ تعداد دستگاه‌های آلوده شده داشت اما توانست بزرگترین حملات DDoS دنیا را ترتیب دهد. جالب است بدانید آلوده شدن دیوایس‌های متصل به اینترنت اشیا تنها با هک رمز عبور ساده آن‌ها صورت گرفته بود و سازنده این بات نت با در نظر گرفتن 62 رمز عبور ساده و از پیش‌ تعریف شده برای هک، توانست به چنین آمار بالایی از حملات DDoS دست پیدا کند!

Marcus Hutchins، پژوهشگر امنیت ملقب به MalwareTech درباره بات نت های IoT می‌گوید:

دیوایس‌های آلوده شده به بات نت‌های IoT با وجود اینکه به منابع اینترنتی دسترسی دارند اما تا زمانی که از آن‌ها کاری خواسته نشود، بیکار می‌مانند. درحالیکه بات نت‌های قدیمی همواره درحال فعالیتند و اپراتور با شناسایی زمان اوج کارایی آن‌ها، دست به انجام کارهایی برای رسیدن به مقاصد خود می‌زند. این وجه تمایز بات نت‌های IoT سبب قدرت بیشتر آن‌ها شده است.

چگونه امن بمانیم؟

تا اینجا با انواع و ویژگی‌های یک بات نت، فعالیت‌های آن و نحوه تکثیر آن‌ها آشنا شدیم. اما چطور از آن‌ها مصون بمانیم؟ اولین گام برای جلوگیری از آلوده شدن نصب به روزرسانی‌هاست. آپدیت‌های نرم افزاری حفره‌های امنیتی و نفوذپذیر سیستم عامل را پر کرده و دست اپراتورها را از دیوایس شما کوتاه می‌کند.

گام دوم و موثر، نصب آنتی ویروس قدرتمند در کنار نصب ضد بد افزار (Antimalware) شناخته می‌شود. پکیج آنتی ویروس‌های زیادی در اینترنت و فروشگاه‌ها به فروش می‌رسند که برخی رایگان و برخی دیگر با هزینه‌ای اندک می‌توانند به خوبی از دستگاه شما در برابر بد افزارها و بات نت‌ها محافظت کنند.

در آخر، با توجه به نحوه آلوده شدن دیوایس، باید به امنیت مرورگر مورد استفاده‌تان اهمیت بدهید. افزونه‌های (Extension) زیادی در مرورگرهای مختلف وجود دارند که اسکریپت‌ها را بلاک کرده و دستگاه را از ریسک آلودگی به انواع بد افزارها حفظ می‌کند.

آیا کامپیوتر یا تلفن هوشمند شما تا به حال به بات نت آلوده شده است؟ چگونه آن را شناسایی کردید؟ تجربیات خود را با کاربران گجت نیوز به اشتراک بگذارید.