web-dev-qa-db-ja.com

ボットネットはどのように正確に自己増殖しますか?

マルウェアとボットネットについて学んでいて、ボットネットが「自己増殖」する可能性があることに遭遇しました。ボットネットがこれをどのように実行できるかについて混乱しています。ボットネットは複数の人が悪意のあるソフトウェアをダウンロードしたり、悪意のあるリンク/メールの添付ファイルをクリックしたりすることで作成されることを知っていますが、感染したコンピューターが他のコンピューターに感染する可能性はありますか?

それは、電子メールサーバーのようなものを介してのみ行うことができますか、またはマルウェアペイロードを持つボットが、ボットマスターによって開始されたインターネット経由で接続されている他のコンピューターへのオープンポートを介した接続を強制しようとするだけですか?ボットマスターは、たとえば感染したコンピューターがp2pネットワークに接続されている場合、ファイルを強制的に通過させることができますか?

ホームネットワーク上の他のデバイスとインターネット上のデバイスを感染させる場合との違いは何ですか?

networkmalwarebotnet
1
HotWheels

ボットネットの標的は誰ですか?

多くのボットネットは、デフォルトでは安全でないか、脆弱なソフトウェアが同梱されているコンシューマデバイスを使用しています。

ACME HomeLink™ワイヤレスルーターを購入するとします。このルーターには、快適な管理コンソールが付属しています。問題が発生した場合、カスタマーサービスはポート32123でルーターに接続し、パスワードshibb0l33tを使用するだけで、リモートで問題を解決できます。

もちろん、これは非常に安全ではないため、ボットネットはWebの特定の部分をスキャンして開いているポート32123を探し、一般に知られているパスワードを使用してログインを試みることができます。その後、カスタムファームウェアを使用してルーターをリモートフラッシュすることができます。これにより、ルーターもボットネットの一部になります。

ここでは例としてルーターを使用しています。これは、ボットネットのターゲットとして最適であるためです。それらは本質的に外部からアクセス可能で、常にオンラインです。これはそれらを非常に有利にします。もちろん、IoTデバイス、パッチ未適用のサーバーなど、他のデバイスがボットネットの一部になる可能性があります。

これはすべてユーザーの操作を必要としませんか?

質問の組み立て方は、ネットワークが主にユーザーインタラクションの目的に役立つことを示唆しているようです。これは誤りです。実際、圧倒的多数のネットワークトラフィックは自動化されており、ユーザーの操作なしで発生します。この例としては、ソフトウェアの更新があり、ユーザーの操作をまったく必要とせずに完全に行われます。

さらに、ボットネットは主に悪意のあるダウンロードまたはリンクを使用して作成されることをお勧めします。パーソナルコンピュータは「ボット」ほど優れていないため、これは当てはまりません。前に述べたように、理想的なボットは簡単にアクセスでき、常にオンラインです。通常、パソコンは常時オンラインではありません。ほとんどの人はコンピュータを1日数時間しか使用せず、他のことをしたり、スリープ状態になったときにコンピュータの電源を切ります。

もちろん、パソコンは悪意のある人物によって悪用される可能性があります。マルウェアの他のカテゴリは、次の理由により、ルーターよりもパーソナルコンピュータで顕著です。

  • 通常、コンピューターにはより個人的なデータが含まれているため、ルーターにはany個人データがほとんどありません。そのため、ランサムウェアは、このような貴重なファイルを暗号化し、それらを保持したいという私たちの欲求を利用することによって、これを標的にしています。ルーターが機能しなくなったら、新しいルーターを購入するだけです。
  • 通常、コンピューターはルーターよりもはるかに強力であるため、暗号化マイナーはルーターよりもPCで効率的です。稼働時間は限られていますが、ホームルーターと比較したラップトップの計算能力の極端な違いにより、コンピューターはターゲットにとってより望ましいものになっています。
  • コンピューターは、オンラインバンキング、Paypalなどの貴重なサービスへの接続に使用されます。これにより、マルウェアはこれらのサービスで使用されるパスワードにアクセスしたり、それらと直接やり取りしたりできます(例:Paypalから攻撃者が使用したアカウントに送金) 。

コントロールを取得したボットは何ができますか?

それはソフトウェアに大きく依存します。一部のボットネットはP2Pシステムを介して通信します。つまり、どのボットも他のボットに命令を転送できます。つまり、感染したボットは必ずしも「マスター」サーバーに直接リンクする必要はありません。マスターが1つのボットに何をするかを指示し、このボットが情報を伝達するだけで十分です。

他のボットネットは、「コマンドアンドコントロール」サーバーと通信するように設計されています。

ボットのアクションはボットネットによって異なります。一部はスパムメールの送信に使用され、その他はWebサーバーのDDoSに使用され、その他はビットコインのマイニングに使用されます。基本的に、匿名で10万台以上のマシンを制御している場合にどうするかを自問すると、さらにいくつかの例を考えることができると思います。

家庭用デバイスはどうですか?

ボットネットは通常、感染するデバイスの種類がかなり制限されています。実際、ボットネットの運営者はyoまたはすべてのデバイスyoを攻撃することを少しも気にしません。 ACME HomeLink™ルーターの安全でない構成を悪用するだけで十分なボットを取得できる場合、それだけです。もちろん、ボットはすべてのデバイスのポート32123に接続しようとする可能性がありますが、同じ機能を提供していないため機能しません。ホームデバイスあったが何らかの方法で脆弱であったとしても、ボットネットが以前にそうするように設計されていなければ、ボットネットはそれらに感染しません。

4
MechMK1