Botnet — Botnet

Schemat botnetu Stacheldraht przedstawiający atak DDoS. (Zauważ, że jest to również przykład typu modelu klient-serwer botnetu).

Botnet szereg Internecie -connected urządzeń, z których każdy jest uruchomiony jeden lub więcej botów . Botnety mogą być wykorzystywane do przeprowadzania ataków typu Distributed Denial-of-Service (DDoS) , kradzieży danych, wysyłania spamu oraz umożliwiania atakującemu dostępu do urządzenia i jego połączenia. Właściciel może kontrolować botnet za pomocą oprogramowania sterującego (C&C). Słowo „botnet” to kontaminacja słów „ robota ” i „ sieć ”. Termin ten jest zwykle używany z negatywnymi lub złośliwymi konotacjami.

Przegląd

Botnet to logiczny zbiór urządzeń podłączonych do Internetu , takich jak komputery, smartfony lub urządzenia Internetu rzeczy (IoT), których zabezpieczenia zostały naruszone, a kontrolę przekazano stronie trzeciej. Każde urządzenie naruszona, znany jako „bot” jest tworzony, kiedy urządzenie jest przebijana przez oprogramowanie z złośliwego oprogramowania (złośliwego oprogramowania) dystrybucji. Kontroler botnetu jest w stanie kierować działaniami tych zainfekowanych komputerów za pośrednictwem kanałów komunikacyjnych utworzonych przez oparte na standardach protokoły sieciowe , takie jak IRC i Hypertext Transfer Protocol (HTTP).

Botnety są coraz częściej wynajmowane przez cyberprzestępców jako towary do różnych celów.

Architektura

Architektura botnetu ewoluowała z biegiem czasu w celu uniknięcia wykrycia i zakłócenia. Tradycyjnie programy botów są konstruowane jako klienci, którzy komunikują się za pośrednictwem istniejących serwerów. Dzięki temu bot herder (kontroler botnetu) może wykonywać całą kontrolę ze zdalnej lokalizacji, co zaciemnia ruch. Wiele ostatnich botnetów wykorzystuje do komunikacji istniejące sieci peer-to-peer . Te programy botów P2P wykonują te same czynności, co model klient-serwer, ale do komunikacji nie wymagają centralnego serwera.

Model klient-serwer

Sieć oparta na modelu klient-serwer , w której poszczególni klienci żądają usług i zasobów od scentralizowanych serwerów

Pierwsze botnety w Internecie wykorzystywały model klient-serwer do realizacji swoich zadań. Zazwyczaj te botnety działają za pośrednictwem sieci, domen lub witryn Internet Relay Chat . Zainfekowani klienci uzyskują dostęp do określonej lokalizacji i oczekują na przychodzące polecenia z serwera. Bot herder wysyła polecenia do serwera, który przekazuje je klientom. Klienci wykonują polecenia i zgłaszają swoje wyniki z powrotem do bota pasterza.

W przypadku botnetów IRC zainfekowani klienci łączą się z zainfekowanym serwerem IRC i dołączają do kanału wstępnie wyznaczonego do C&C przez bota pasterza. Bot herder wysyła polecenia do kanału za pośrednictwem serwera IRC. Każdy klient pobiera polecenia i wykonuje je. Klienci odsyłają wiadomości z powrotem do kanału IRC z wynikami swoich działań.

peer-to-peer

Sieć peer-to-peer (P2P), w której połączone węzły („peery”) współdzielą między sobą zasoby bez użycia scentralizowanego systemu administracyjnego

W odpowiedzi na wysiłki mające na celu wykrycie i dekapitację botnetów IRC, pasterze botów rozpoczęli wdrażanie złośliwego oprogramowania w sieciach peer-to-peer . Boty te mogą używać podpisów cyfrowych, dzięki czemu tylko osoba mająca dostęp do klucza prywatnego może kontrolować botnet. Zobacz np. Gameover ZeuS i botnet ZeroAccess .

Nowsze botnety w pełni działają w sieciach P2P. Zamiast komunikować się ze scentralizowanym serwerem, boty P2P działają zarówno jako serwer dystrybucji poleceń, jak i klient, który odbiera polecenia. Pozwala to uniknąć pojedynczego punktu awarii, co jest problemem dla scentralizowanych botnetów.

Aby znaleźć inne zainfekowane maszyny, bot dyskretnie sprawdza losowe adresy IP, dopóki nie skontaktuje się z inną zainfekowaną maszyną. Bot, z którym się skontaktowano, odpowiada informacjami, takimi jak wersja oprogramowania i lista znanych botów. Jeśli jedna z wersji botów jest niższa od drugiej, zainicjują one transfer plików w celu aktualizacji. W ten sposób każdy bot powiększa swoją listę zainfekowanych maszyn i aktualizuje się, okresowo komunikując się ze wszystkimi znanymi botami.

Podstawowe komponenty

Twórca botnetu (znany jako „ bot herder ” lub „bot master”) zdalnie kontroluje botnet. Jest to znane jako dowodzenie i kontrola (C&C). Program do operacji musi komunikować się przez ukryty kanał z klientem na komputerze ofiary (komputer zombie).

Protokoły kontrolne

IRC jest historycznie preferowanym środkiem C&C ze względu na jego protokół komunikacyjny . Botherder tworzy kanał IRC, do którego mogą dołączać zainfekowani klienci. Wiadomości wysyłane do kanału są emitowane do wszystkich członków kanału. Bot herder może ustawić temat kanału, aby sterować botnetem. Np. wiadomość :herder!herder@example.com TOPIC #channel DDoS www.victim.comod bot herdera ostrzega wszystkich zainfekowanych klientów należących do #channel, aby rozpoczęli atak DDoS na stronę www.victim.com. Przykładowa odpowiedź :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.comklienta bota informuje opiekuna bota, że ​​rozpoczął atak.

Niektóre botnety implementują niestandardowe wersje dobrze znanych protokołów. Różnice w implementacji można wykorzystać do wykrywania botnetów. Na przykład Mega-D zawiera nieco zmodyfikowaną implementację Simple Mail Transfer Protocol (SMTP) do testowania możliwości spamowania. Wszystko się wali Mega-D serwera SMTP „s wyłącza całą pulę boty, które opierają się na tym samym serwerze SMTP.

Komputer zombie

W informatyce , wykorzystując komputer zombie jest komputer podłączony do Internetu, który został ujawniony przez hakera , wirus komputerowy lub konia trojańskiego i mogą być używane do wykonywania zadań zgodnie złośliwych zdalnego kierunku. Botnety komputerów zombie są często wykorzystywane do rozprzestrzeniania spamu e-mailowego i przeprowadzania ataków typu „odmowa usługi” (DDoS). Większość właścicieli komputerów zombie nie zdaje sobie sprawy, że ich system jest wykorzystywany w ten sposób. Ponieważ właściciel bywa nieświadomy, komputery te są metaforycznie porównywane do zombie . Skoordynowany atak DDoS przez wiele maszyn botnetowych również przypomina atak hordy zombie.

Proces kradzieży zasobów komputerowych w wyniku dołączenia systemu do „botnetu” jest czasami określany jako „scrumping”.

Dowodzenie i kontrola

Protokoły dowodzenia i kontroli botnetu (C&C) zostały zaimplementowane na wiele sposobów, od tradycyjnych podejść IRC po bardziej zaawansowane wersje.

Telnet

Botnety Telnet używają prostego protokołu botnetowego C&C, w którym boty łączą się z głównym serwerem dowodzenia, aby hostować botnet. Boty są dodawane do botnetu za pomocą skryptu skanującego , który działa na zewnętrznym serwerze i skanuje zakresy adresów IP w poszukiwaniu domyślnych loginów serwera telnet i SSH . Po znalezieniu loginu serwer skanujący może zainfekować go przez SSH złośliwym oprogramowaniem, które pinguje serwer kontrolny.

IRC

Sieci IRC wykorzystują proste metody komunikacji o niskiej przepustowości, co sprawia, że ​​są szeroko stosowane do hostowania botnetów. Są one zwykle stosunkowo proste w konstrukcji i były używane z umiarkowanym powodzeniem do koordynowania ataków DDoS i kampanii spamowych, przy jednoczesnym umożliwieniu ciągłej zmiany kanałów, aby uniknąć usunięcia. Jednak w niektórych przypadkach samo blokowanie niektórych słów kluczowych okazało się skuteczne w powstrzymywaniu botnetów opartych na IRC. Standard RFC 1459 ( IRC ) jest popularny wśród botnetów. Pierwszy znany popularny skrypt kontrolera botnetu, „MaXiTE Bot”, wykorzystywał protokół IRC XDCC do prywatnych poleceń sterujących.

Jednym z problemów związanych z używaniem IRC jest to, że każdy klient bota musi znać serwer IRC, port i kanał, aby mógł być użyteczny dla botnetu. Organizacje zajmujące się zwalczaniem złośliwego oprogramowania mogą wykryć i zamknąć te serwery i kanały, skutecznie powstrzymując atak botnetów. Jeśli tak się stanie, klienty nadal są zainfekowane, ale zazwyczaj są uśpione, ponieważ nie mają możliwości otrzymywania instrukcji. Aby złagodzić ten problem, botnet może składać się z kilku serwerów lub kanałów. Jeśli jeden z serwerów lub kanałów zostanie wyłączony, botnet po prostu przełącza się na inny. Nadal możliwe jest wykrywanie i zakłócanie dodatkowych serwerów lub kanałów botnetów poprzez sniffowanie ruchu IRC. Przeciwnik botnetu może nawet potencjalnie zdobyć wiedzę na temat schematu kontroli i naśladować bot pasterza poprzez prawidłowe wydawanie poleceń.

P2P

Ponieważ większość botnetów korzystających z sieci i domen IRC może zostać z czasem unieruchomiona, hakerzy przenieśli się do botnetów P2P z kontrolą C&C, aby uczynić botnet bardziej odpornym i odpornym na zakończenie.

Niektórzy stosowali również szyfrowanie jako sposób na zabezpieczenie lub zablokowanie botnetu przed innymi, w większości przypadków, gdy używają szyfrowania, jest to kryptografia z kluczem publicznym i stanowi wyzwanie zarówno przy jego wdrażaniu, jak i łamaniu.

Domeny

Wiele dużych botnetów wykorzystuje do budowy domeny zamiast IRC (patrz botnet Rustock i botnet Srizbi ). Zazwyczaj są one hostowane za pomocą kuloodpornych usług hostingowych . Jest to jeden z najwcześniejszych typów C&C. Komputer zombie uzyskuje dostęp do specjalnie zaprojektowanej strony internetowej lub domen, które udostępniają listę poleceń sterujących. Zaletą korzystania ze stron internetowych lub domen jako C&C jest to, że duży botnet może być skutecznie kontrolowany i utrzymywany za pomocą bardzo prostego kodu, który można łatwo aktualizować.

Wadą korzystania z tej metody jest to, że wykorzystuje ona znaczną przepustowość na dużą skalę, a domeny mogą być szybko przejęte przez agencje rządowe przy niewielkim wysiłku. Jeśli domeny kontrolujące botnety nie zostaną przejęte, są one również łatwym celem do skompromitowania w przypadku ataków typu „odmowa usługi” .

Fast-flux DNS może być używany do utrudniania śledzenia serwerów kontrolnych, które mogą się zmieniać z dnia na dzień. Serwery kontrolne mogą również przeskakiwać z domeny DNS do domeny DNS, a algorytmy generowania domeny są używane do tworzenia nowych nazw DNS dla serwerów kontrolerów.

Niektóre botnety korzystają z bezpłatnych usług hostingowych DNS , takich jak DynDns.org , No-IP.com i Afraid.org , aby skierować subdomenę na serwer IRC, na którym znajdują się boty. Chociaż te bezpłatne usługi DNS same w sobie nie obsługują ataków, zapewniają punkty odniesienia (często zakodowane na stałe w pliku wykonywalnym botnetu). Usunięcie takich usług może sparaliżować cały botnet.

Inni

Oddzwanianie do dużych serwisów społecznościowych, takich jak GitHub , Twitter , Reddit , Instagram , protokół wiadomości błyskawicznych XMPP o otwartym kodzie źródłowym i ukryte usługi Tora to popularne sposoby na uniknięcie filtrowania ruchu wychodzącego w celu komunikacji z serwerem C&C.

Budowa

Tradycyjny

Ten przykład ilustruje, w jaki sposób botnet jest tworzony i wykorzystywany do złośliwego zysku.

  1. Haker kupuje lub buduje trojana i/lub zestaw exploitów i używa go do infekowania komputerów użytkowników, których ładunkiem jest złośliwa aplikacja — bot .
  2. Bot instruuje zainfekowanego komputera do podłączenia do konkretnego dowodzenia i kontroli (C & C) serwera. (Dzięki temu botmaster może prowadzić dzienniki dotyczące liczby botów aktywnych i online).
  3. Botmaster może następnie wykorzystać boty do zbierania naciśnięć klawiszy lub używać przechwytywania formularzy do kradzieży danych uwierzytelniających online i może wynajmować botnet jako DDoS i/lub spam jako usługę lub sprzedawać dane uwierzytelniające online z zyskiem.
  4. W zależności od jakości i możliwości botów wartość jest zwiększana lub zmniejszana.

Nowsze boty mogą automatycznie skanować swoje środowisko i rozprzestrzeniać się za pomocą luk w zabezpieczeniach i słabych haseł. Ogólnie rzecz biorąc, im więcej luk w zabezpieczeniach bot może skanować i rozprzestrzeniać, tym cenniejszy staje się dla społeczności kontrolerów botnetów.

Komputery mogą zostać dokooptowane do botnetu, gdy uruchamiają złośliwe oprogramowanie. Można to osiągnąć, nakłaniając użytkowników do pobrania danych typu drive-by download , wykorzystując luki w przeglądarce internetowej lub nakłaniając użytkownika do uruchomienia konia trojańskiego , który może pochodzić z załącznika do wiadomości e-mail. To złośliwe oprogramowanie zazwyczaj instaluje moduły, które pozwalają na kierowanie komputerem i kontrolowanie go przez operatora botnetu. Po pobraniu oprogramowania zadzwoni do domu (wyśle pakiet ponownego połączenia ) do komputera hosta. Po ponownym nawiązaniu połączenia, w zależności od tego, jak zostało napisane, trojan może następnie usunąć się lub pozostać obecny w celu aktualizacji i konserwacji modułów.

Inni

W niektórych przypadkach botnet może zostać tymczasowo utworzony przez ochotników haktywistów , na przykład w przypadku implementacji działa jonowego o niskiej orbicie używanego przez członków 4chan podczas Project Chanology w 2010 roku.

Chińska Wielka Armata pozwala na modyfikację legalnego ruchu przeglądania stron internetowych w sieciach szkieletowych do Chin w celu stworzenia dużego efemerycznego botnetu do atakowania dużych celów, takich jak GitHub w 2015 roku.

Wspólne cechy

  • Większość botnetów oferuje obecnie rozproszone ataki typu „odmowa usługi”, w których wiele systemów przesyła jak najwięcej żądań do jednego komputera lub usługi w Internecie, przeciążając go i uniemożliwiając obsługę uzasadnionych żądań. Przykładem jest atak na serwer ofiary. Serwer ofiary jest bombardowany żądaniami przez boty próbujące połączyć się z serwerem, a tym samym przeciążając go.
  • Spyware to oprogramowanie, które wysyła do swoich twórców informacje o działaniach użytkownika – zazwyczaj hasła, numery kart kredytowych i inne informacje, które można sprzedać na czarnym rynku. Zaatakowane komputery, które znajdują się w sieci firmowej, mogą być więcej warte dla robotników, ponieważ często mogą uzyskać dostęp do poufnych informacji firmowych. Kilka ataków ukierunkowanych na duże korporacje miało na celu kradzież poufnych informacji, takich jak botnet Aurora.
  • Spam e-mail to wiadomości e-mail podszywające się pod wiadomości od ludzi, ale albo reklamowe, irytujące, albo złośliwe.
  • Oszustwo związane z kliknięciami ma miejsce, gdy komputer użytkownika odwiedza witryny internetowe bez wiedzy użytkownika w celu tworzenia fałszywego ruchu w sieci w celu uzyskania korzyści osobistych lub handlowych.
  • Oszustwa reklamowe są często konsekwencją złośliwej aktywności botów, według CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet. Komercyjne cele botów obejmują wpływowe osoby, które wykorzystują je, aby zwiększyć swoją rzekomą popularność, oraz wydawcy internetowi, którzy używają botów do zwiększenia liczby kliknięć otrzymywanych przez reklamę, dzięki czemu witryny mogą zarabiać więcej prowizji od reklamodawców.
  • Bitcoin mining użyto w niektórych nowszych botnetów zostały których należą Bitcoin mining jako cechy w celu generowania zysków dla operatora botnetu.
  • Funkcjonalność samorozprzestrzeniania się, polegająca na wyszukiwaniu wstępnie skonfigurowanych instrukcji push-and-control (CNC) zawierających docelowe urządzenia lub sieć, w celu zwiększenia liczby infekcji, jest również wykrywana w kilku botnetach. Niektóre botnety wykorzystują tę funkcję do automatyzacji swoich infekcji.

Rynek

Społeczność kontrolerów botnetów toczy nieustanną walkę o to, kto ma najwięcej botów, największą przepustowość i najwięcej zainfekowanych maszyn „wysokiej jakości”, takich jak maszyny uniwersyteckie, korporacyjne, a nawet rządowe.

Podczas gdy nazwy botnetów często noszą nazwę szkodliwego oprogramowania, które je stworzyło, wiele botnetów zazwyczaj używa tego samego szkodliwego oprogramowania, ale są obsługiwane przez różne podmioty.

Wyłudzanie informacji

Botnety mogą być wykorzystywane do wielu oszustw elektronicznych. Te botnety mogą być wykorzystywane do rozpowszechniania złośliwego oprogramowania, takiego jak wirusy, w celu przejęcia kontroli nad komputerem/oprogramowaniem zwykłego użytkownika. Przejmując kontrolę nad czyimś komputerem osobistym, mają nieograniczony dostęp do jego danych osobowych, w tym haseł i danych logowania do kont. Nazywa się to phishingiem . Wyłudzanie informacji to pozyskiwanie danych logowania do kont „ofiary” za pomocą linku, który klika „ofiara”, który jest wysyłany w wiadomości e-mail lub SMS-ie. Ankieta przeprowadzona przez Verizon wykazała, że ​​około dwie trzecie przypadków „szpiegostwa elektronicznego” pochodzi z phishingu.

Środki zaradcze

Rozproszenie geograficzne botnetów oznacza, że ​​każdy rekrut musi być indywidualnie zidentyfikowany/zajęty/naprawiony i ogranicza korzyści płynące z filtrowania .

Eksperci ds. bezpieczeństwa komputerowego odnieśli sukces w niszczeniu lub podważaniu sieci dowodzenia i kontroli szkodliwego oprogramowania, między innymi poprzez przejmowanie serwerów lub odcinanie ich od Internetu, odmawianie dostępu do domen, które miały być wykorzystywane przez szkodliwe oprogramowanie do kontaktowania się z jego infrastrukturą C&C, aw niektórych przypadkach włamywanie się do samej sieci C&C. W odpowiedzi na to, operatorzy C&C uciekli się do stosowania technik, takich jak nakładanie swoich sieci C&C na inną istniejącą, niegroźną infrastrukturę, taką jak IRC lub Tor , używając systemów sieciowych peer-to-peer , które nie są zależne od żadnych stałych serwerów, i używając klucza publicznego szyfrowanie w celu udaremnienia prób włamania lub sfałszowania sieci.

Norton AntiBot był skierowany do konsumentów, ale większość docelowych przedsiębiorstw i/lub dostawców usług internetowych. Techniki oparte na hoście wykorzystują heurystykę do identyfikowania zachowań botów, które ominęły konwencjonalne oprogramowanie antywirusowe . Podejścia oparte na sieci zwykle wykorzystują techniki opisane powyżej; wyłączanie serwerów C&C, zerowanie wpisów DNS lub całkowite wyłączanie serwerów IRC. BotHunter to oprogramowanie opracowane przy wsparciu Biura Badawczego Armii Stanów Zjednoczonych , które wykrywa aktywność botnetów w sieci poprzez analizę ruchu sieciowego i porównywanie go z wzorcami charakterystycznymi dla złośliwych procesów.

Badacze z Sandia National Laboratories analizują zachowanie botnetów, jednocześnie uruchamiając milion jąder Linuksa — w skali podobnej do botnetu — jako maszyny wirtualne na 4480-węzłowym klastrze komputerów o wysokiej wydajności, emulując bardzo dużą sieć, co pozwala im obserwować, jak botnety działają i eksperymentują ze sposobami ich powstrzymania.

Wykrywanie zautomatyzowanych ataków botów staje się z każdym dniem coraz trudniejsze, ponieważ atakujący uruchamiają nowsze i bardziej wyrafinowane generacje botów. Na przykład zautomatyzowany atak może rozmieścić dużą armię botów i zastosować metody brute-force z bardzo dokładnymi listami nazw użytkowników i haseł w celu włamania się na konta. Chodzi o to, aby przytłoczyć witryny dziesiątkami tysięcy żądań z różnych adresów IP na całym świecie, ale każdy bot wysyła tylko jedno żądanie co około 10 minut, co może skutkować ponad 5 milionami prób dziennie. W takich przypadkach wiele narzędzi próbuje wykorzystać wykrywanie wolumetryczne, ale zautomatyzowane ataki botów mają teraz sposoby na obejście wyzwalaczy wykrywania wolumetrycznego.

Jedną z technik wykrywania tych ataków botów jest tak zwany „system oparty na sygnaturach”, w którym oprogramowanie będzie próbowało wykryć wzorce w pakiecie żądania. Ale ataki stale ewoluują, więc może to nie być realną opcją, gdy wzorców nie można odróżnić od tysięcy żądań. Istnieje również podejście behawioralne do udaremniania botów, które ostatecznie próbuje odróżnić boty od ludzi. Identyfikując nieludzkie zachowanie i rozpoznając znane zachowanie botów, proces ten można zastosować na poziomie użytkownika, przeglądarki i sieci.

Najskuteczniejszą metodą wykorzystania oprogramowania do walki z wirusami jest wykorzystanie oprogramowania typu honeypot w celu przekonania złośliwego oprogramowania, że ​​system jest podatny na ataki. Złośliwe pliki są następnie analizowane za pomocą oprogramowania śledczego.

W dniu 15 lipca 2014 r. Podkomisja ds. Przestępczości i Terroryzmu Komisji Sądownictwa Senatu Stanów Zjednoczonych przeprowadziła przesłuchanie w sprawie zagrożeń stwarzanych przez botnety oraz publicznych i prywatnych wysiłków na rzecz ich zakłócenia i likwidacji.

Niezłośliwe użycie

Nieszkodliwe botnety często grasują w grze Minecraft w poszukiwaniu nasion, które mają pewne specyficzne funkcje, takie jak ekran tytułowy i domyślny obraz pakietu tekstur. Te botnety są dobrowolne, co pozwala każdemu użytkownikowi „zarejestrować” swój komputer w botnecie, a następnie usunąć go, gdy już nie chce go w botnecie.

Historyczna lista botnetów

Pierwszy botnet został po raz pierwszy zauważony i ujawniony przez EarthLink podczas procesu sądowego ze znanym spamerem Khanem C. Smithem w 2001 roku. Botnet został skonstruowany w celu masowego spamu i stanowił prawie 25% całego spamu w tym czasie.

Około 2006 r., aby udaremnić wykrywanie, niektóre botnety zmniejszyły swój rozmiar.

Data utworzenia Data zdemontowania Nazwa Szacunkowa nie. botów Pojemność spamu (mld/dzień) Skróty
1999 !a 999,999,999 100000 !a
2003 MaXiTE 500-1000 serwerów 0 MaXiTE XDCC Bot, Skrypt MaXiTE IRC TCL, MaxServ
2004 (wczesne) Bagle 230 000 5,7 Beagle, Mitglieder, Lodeight
Marina Botnet 6 215 000 92 Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Torpig 180 000 Sinowal, Anserin
Burza 160 000 3 Nuwar, Peacomm, Zhelatin
2006 (około) 2011 (marzec) Rustock 150 000 30 RKRustok, Kostrat
Donbot 125 000 0,8 Buzus, Bachsoy
2007 (około) Odcięcie 1 500 000 74 Pandex, Mutant (związane z: Wigon, Pushdo)
2007 Akbot 1 300 000
2007 (marzec) 2008 (listopad) Srizbi 450 000 60 Cbeplay, Wymiennik
Lethic 260 000 2 Żaden
Xarvester 10 000 0,15 Rlsloup, Pixoliz
2008 (około) Zasolenie 1 000 000 Sektor, Kuku
2008 (około) 2009-grudzień Motyl 12 000 000
2008 (listopad) Conficker 10 500 000+ 10 DownUp, DownAndUp, DownAdUp, Kido
2008 (listopad) 2010 (marzec) Waledac 80 000 1,5 Waled, Waledpak
Maazben 50 000 0,5 Nic
Jednosłowosub 40 000 1,8
Gheg 30 000 0,24 Tofsee, Mondera
Nucrypt 20 000 5 Loosky, Locksky
Wopla 20 000 0,6 Poker, Slogger, Cryptic
2008 (około) Asprox 15 000 Danmec, Hydraflux
0 Spamthru 12.000 0,35 Spam-DComServ, Covesmer, Xmiler
2008 (około) Gumblar
2009 (maj) Listopad 2010 (niekompletny) BredoLab 30 000 000 3,6 Oficla
2009 (wokół) 2012-07-19 Grum 560 000 39,9 Tedroo
Mega-D 509 000 10 Ozdok
Kraken 495 000 9 Kraken
2009 (sierpień) Festiwal 250 000 2,25 Spamnost
2010 (marzec) Vulcanbot
2010 (styczeń) Niski s 11 000+ 0,5 LowSecurity, FreeMoney, Ring0.Narzędzia
2010 (około) TDL4 4 500 000 TDSS, Alureon
Zeus 3 600 000 (tylko USA) Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 (kilka: 2011, 2012) Kelihos 300 000+ 4 Hlux
2011 lub wcześniej 2015-02 Ramnit 3 000 000
2012 (wokół) Kameleon 120 000 Nic
2016 (sierpień) Mirai 380 000 Nic
2014 Necurs 6 000 000
  • Naukowcy z Uniwersytetu Kalifornijskiego w Santa Barbara przejęli kontrolę nad botnetem, który był sześć razy mniejszy niż oczekiwano. W niektórych krajach użytkownicy często zmieniają swój adres IP w ciągu jednego dnia. Szacowanie rozmiaru botnetu na podstawie liczby adresów IP jest często wykorzystywane przez badaczy, co może prowadzić do niedokładnych ocen.

Zobacz też

Bibliografia

Zewnętrzne linki