A robothálózat (továbbiakban botnet) egy fertőzött informatikai eszközökből álló hálózat, amelyet a botnet gazdája többféle károkozásra is alkalmazhat. A fertőzött munkaállomások felhasználásának célja főképp kéretlen levelek kiküldése, szolgáltatás megtagadást okozó támadások (Denial-of-Service ─ DoS) indítása, vagy éppen szenzitív (például banki) adatok eltulajdonítása.
A támadónak elsőként hozzáférést kell szereznie az áldozat eszközéhez, ami sokféleképpen történhet. Egyik szokványos mód az ún. exploit kitek segítségével történő fertőzés, amelynek során a támadó egy weboldalon keresztül ─ valamilyen sérülékenység kihasználásával ─ automatikusan telepíti a káros kódot (bot) a site-ot meglátogatók gépére. Másik, szintén gyakori módszer a káros kódot tartalmazó kéretlen levelek útján történő fertőzés is. A célpontok klasszikusan asztali számítógépek, de egyre gyakrabban kerülnek a célkeresztbe IP kamerák, mobiltelefonok, vagy akár routerek is.
A botnetek irányítását általában a vezérlőszerverek (Command & Control szerver) végzik, azonban előfordulnak decentralizált P2P (peer-to-peer) hálózatban működő botnetek is, ahol nincs kitüntetett szerepben lévő node, így a hálózat bármely tagjának kiesése esetén is működőképes marad a botnet.
Hogyan védekezhetünk?
A számítógépek kártevő programokkal történő fertőződését megelőzhetjük átfogó végpont védelmi szoftverek használatával ─ pl. vírusvédelmi szoftver, szoftveres tűzfal, kártevő program felderítő szoftver (anti-malware) ─ illetve a számítógépre telepített szoftverek rendszeres frissítésével, ami általában megfelelő beállításokkal automatikussá tehető.
Fontos kiemelni a biztonságtudatos magatartást is, ami segíthet elkerülni a fertőződést, azaz például ne kattintsunk kéretlen levelekben szereplő hivatkozásokra és ne töltsünk le fájlokat ellenőrizetlen forrásból.
A széles körben fertőző botnetek felismeréséhez, eltávolításához további információkat találhat az alábbi hivatkozásokon:
Avalanche, Citadel-B54, Downadup, Dridex, Gameover-Zeus, Nivdort, Ponmocup, Redyms, Sality, Virut, ZeroAccess
2019 Q3-as adatok alapján az EMOTET botnet rendelkezik a legnagyobb hálózattal. A robothálózat több káros kód terjesztéséért felelős, köztük az azonos nevű banki trójai programért.
(A kártevő egy friss variánsáról bővebb információ az https://nki.gov.hu/figyelmeztetesek/karos-kod/ szekciójában, itt érhető el.)
Az EMOTET trójai detektálásához a japán CERT készített egy programot, amely ingyenesen hozzáférhető.
Források:
- https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/botnets
- https://www.f-secure.com/en/web/labs_global/botnets
- https://spamhaus-cdn.s3.amazonaws.com/uploads/2019/02/Spamhaus-Botnet-Threat-Report-2019.pdf
- https://securelist.com/bots-and-botnets-in-2018/90091/
- https://www.spamhaus.org/news/article/784/
- https://www.us-cert.gov/ncas/alerts/TA18-201A
