Wat is een botnet?
Botnets zijn netwerken die zijn samengesteld uit op afstand bestuurde computers of 'bots'. Deze computers zijn geïnfecteerd met malware waardoor ze op afstand kunnen worden beheerd. Sommige botnets bestaan uit honderdduizenden - of zelfs miljoenen - computers.
"Bot" is slechts een kort woord voor "robot". Net als robots kunnen softwarebots goed of slecht zijn. Het woord 'bot' betekent niet altijd een slecht stuk software, maar de meeste mensen verwijzen naar het type malware wanneer ze dit woord gebruiken.
Botnets uitgelegd
Als uw computer deel uitmaakt van een botnet, is deze geïnfecteerd met een type malware. De bot maakt contact met een externe server of komt in contact met andere bots in de buurt en wacht op instructies van degene die het botnet aanstuurt. Hierdoor kan een aanvaller een groot aantal computers beheren voor kwaadwillende doeleinden.
Computers in een botnet kunnen ook zijn geïnfecteerd met andere typen malware, zoals keyloggers die uw financiële gegevens registreren en deze naar een externe server verzenden. Wat een computer onderdeel van een botnet maakt, is dat het op afstand wordt beheerd, samen met vele andere computers. De makers van het botnet kunnen later beslissen wat te doen met het botnet, de bots leiden om extra soorten malware te downloaden en zelfs de bots laten samenwerken.
U kunt besmet raken met een bot op dezelfde manier als waarop u geïnfecteerd bent geraakt met een ander stuk malware - bijvoorbeeld door het gebruik van verouderde software, het gebruik van de extreem onveilige Java-browserinvoegtoepassing of het downloaden en uitvoeren van illegaal gekopieerd software.
Beeldcredits: Tom-b op Wikimedia Commons
Doeleinden van een Botnet
Schadelijke mensen die botnets bouwen, willen ze misschien niet voor eigen doeleinden gebruiken. In plaats daarvan willen ze mogelijk zoveel mogelijk computers infecteren en vervolgens de toegang tot het botnet verhuren aan andere mensen. Tegenwoordig wordt de meeste malware gemaakt voor winst.
Botnets kunnen voor veel verschillende doeleinden worden gebruikt. Omdat ze honderdduizenden verschillende computers in één handeling laten samenwerken, kan een botnet worden gebruikt om een gedistribueerde Denial-of-Service (DDoS) -aanval op een webserver uit te voeren. Honderden duizenden computers bombarderen een website met verkeer op hetzelfde moment, overbelasten het en zorgen ervoor dat het slecht presteert of onbereikbaar wordt voor mensen die het echt moeten gebruiken.
Een botnet kan ook worden gebruikt om spam-e-mails te verzenden. Het verzenden van e-mails vergt niet veel verwerkingskracht, maar vereist wel enige verwerkingskracht. Spammers hoeven niet te betalen voor legitieme computerbronnen als ze een botnet gebruiken. Botnets kunnen ook worden gebruikt voor 'klikfraude': websites op de achtergrond laden en klikken op advertentielinks naar de eigenaar van de website kan geld verdienen aan de frauduleuze, valse klikken. Een botnet kan ook worden gebruikt om Bitcoins te delven, die vervolgens voor contant geld kunnen worden verkocht. Zeker, de meeste computers kunnen Bitcoin niet op een winstgevende manier van de mijne krijgen omdat het meer in elektriciteit zal kosten dan in Bitcoins wordt gegenereerd - maar de eigenaar van het botnet maakt zich er niets van aan. Hun slachtoffers zitten vast in het betalen van de elektriciteitsrekening en ze verkopen de Bitcoins voor winst.
Botnets kunnen ook gewoon worden gebruikt om andere malware te verspreiden - de bot-software functioneert in wezen als een Trojaans paard en downloadt andere vervelende dingen op uw computer nadat deze binnen is. De mensen die de leiding hebben over een botnet kunnen de computers in het botnet dirigeren om extra malware te downloaden , zoals keyloggers, adware en zelfs vervelende ransomware zoals CryptoLocker. Dit zijn allemaal verschillende manieren waarop de makers van het botnet - of mensen die ze toegang tot het botnet huren - geld kunnen verdienen. Het is gemakkelijk te begrijpen waarom malwareproducenten doen wat ze doen als we ze zien zoals ze zijn: misdadigers die een cent proberen te verdienen.
Symantec's studie van het ZeroAccess-botnet toont ons een voorbeeld. ZeroAccess bestaat uit 1,9 miljoen computers die geld genereren voor de eigenaren van het botnet door Bitcoin-mijnbouw en klikfraude.
Hoe Botnets worden beheerd
Botnets kunnen op verschillende manieren worden beheerd. Sommige zijn eenvoudig en gemakkelijker te folteren, terwijl andere lastiger zijn en moeilijker te verwijderen zijn.
De meest eenvoudige manier voor het beheer van een botnet is dat elke bot verbinding maakt met een externe server. Elke bot kan bijvoorbeeld om de paar uur een bestand downloaden van http://example.com/bot en het bestand zou hen vertellen wat ze moeten doen. Zo'n server is algemeen bekend als een command-and-control server. Als alternatief kunnen de bots verbinding maken met een IRC-kanaal (Internet Relay Chat) dat ergens op een server wordt gehost en op instructies wachten. Botnets die deze methoden gebruiken, zijn eenvoudig te stoppen - controleer met welke webservers een bot verbinding maakt, en ga die webservers dan verwijderen. De bots kunnen niet communiceren met hun makers.
Sommige botnets kunnen communiceren op een gedistribueerde, peer-to-peer manier. Bots zal praten met andere bots in de buurt, die praten met andere bots in de buurt, die praten met andere bots in de buurt, enzovoort. Er is geen, identificeerbaar, enkel punt waar de bots hun instructies vandaan halen. Dit werkt op dezelfde manier als andere gedistribueerde netwerksystemen, zoals het DHT-netwerk dat wordt gebruikt door BitTorrent en andere peer-to-peer-netwerkprotocollen. Het is misschien mogelijk om een peer-to-peer netwerk te bestrijden door valse commando's uit te voeren of door de bots van elkaar te isoleren.
Onlangs zijn enkele botnets begonnen te communiceren via het Tor-netwerk. Tor is een gecodeerd netwerk dat is ontworpen om zo anoniem mogelijk te zijn, dus een bot die is verbonden met een verborgen service in het Tor-netwerk is moeilijk te doorgronden. Het is theoretisch onmogelijk om erachter te komen waar een verborgen service zich feitelijk bevindt, hoewel het lijkt dat inlichtingennetwerken zoals de NSA een paar trucjes hebben uitgehaald. Je hebt misschien gehoord van Silk Road, een online winkelsite die bekend staat om illegale drugs. Het werd ook gehost als een verborgen Tor-service en daarom was het zo moeilijk om de site te verwijderen. Uiteindelijk lijkt het alsof ouderwets speurwerk de politie leidt naar de man die de site runt - hij is met andere woorden uitgegleden. Zonder die slip-ups hadden de politie geen manier om de server op te sporen en te verwijderen.
Botnets zijn eenvoudig georganiseerde groepen van geïnfecteerde computers die criminelen controleren voor hun eigen doeleinden. En als het op malware aankomt, is hun doel meestal om winst te maken.
Image Credit: Melinda Seckington op Flickr