봇넷

Botnet
DDoS 공격을 보여주는 Stacheldraht 봇넷 다이어그램. (이는 봇넷의 클라이언트-서버 모델 유형의 예이기도 합니다.)

봇넷은 각각 하나 이상의 을 실행하는 인터넷 연결 장치 그룹입니다. 봇넷을 사용하여 DDoS(분산 서비스 거부) 공격을 수행하고, 데이터를 [1]훔치고, 스팸을 전송하며, 공격자가 장치와 장치 연결에 액세스할 수 있도록 할 수 있습니다. 소유자는 명령 및 제어(C&C) 소프트웨어를 사용하여 봇넷을 제어할 수 있습니다.[2] "봇넷"은 "로봇"과 "네트워크"의 합성어입니다. 이 용어는 일반적으로 부정적이거나 악의적인 의미로 사용됩니다.

개요

봇넷은 보안이 침해되고 제어권이 제3자에게 양도된 컴퓨터, 스마트폰 또는 사물 인터넷(IoT) 장치와 같이 인터넷에 연결된 장치의 논리적 모음입니다. "봇"으로 알려진 각각의 손상된 장치는 악성 소프트웨어(악성 소프트웨어) 배포에서 소프트웨어에 의해 장치가 침투할 때 생성됩니다. 봇넷의 컨트롤러는 IRC 및 HTTP(Hypertext Transfer Protocol)와 같은 표준 기반 네트워크 프로토콜에 의해 형성된 통신 채널을 통해 이러한 손상된 컴퓨터의 활동을 지시할 수 있습니다.[3][4]

봇넷은 점점 더 사이버 범죄자들에 의해 부츠터/스트레스 서비스를 [5]포함한 다양한 목적의 상품으로 대여되고 있습니다.

건축

봇넷 아키텍처는 탐지 및 중단을 피하기 위해 시간이 지남에 따라 진화해 왔습니다. 전통적으로 봇 프로그램은 기존 서버를 통해 통신하는 클라이언트로 구성됩니다. 를 통해 봇더더(봇넷의 컨트롤러)가 원격 위치에서 모든 제어를 수행할 수 있으므로 트래픽이 난독해집니다.[6] 최근의 많은 봇넷은 이제 통신하기 위해 기존의 피어 투 피어 네트워크에 의존합니다. 이러한 P2P 봇 프로그램은 클라이언트-서버 모델과 동일한 작업을 수행하지만 통신을 위해 중앙 서버가 필요하지 않습니다.

클라이언트-서버 모델

클라이언트-서버 모델에 기반한 네트워크로, 개별 클라이언트가 중앙 집중식 서버에 서비스 및 리소스를 요청합니다.

인터넷 최초의 봇넷은 클라이언트-서버 모델을 사용하여 작업을 수행했습니다.[7] 일반적으로 이러한 봇넷은 인터넷 릴레이 채팅 네트워크, 도메인 또는 웹 사이트를 통해 작동합니다. 감염된 클라이언트는 미리 지정된 위치에 액세스하여 서버에서 수신되는 명령을 기다립니다. 보더는 명령을 서버로 전송하고, 서버는 명령을 클라이언트로 릴레이합니다. 클라이언트는 명령을 실행하고 결과를 다른 사람에게 보고합니다.

IRC 봇넷의 경우, 감염된 클라이언트는 감염된 IRC 서버에 접속하여 C&C를 위해 사전에 지정된 채널에 가입합니다. Botherer는 IRC 서버를 통해 채널로 명령을 보냅니다. 각 클라이언트는 명령을 검색하여 실행합니다. 클라이언트는 작업 결과와 함께 메시지를 IRC 채널로 보냅니다.[6]

피어투피어

중앙 집중식 관리 시스템을 사용하지 않고 상호 연결된 노드("peer")가 서로 리소스를 공유하는 P2P(Peer-to-peer) 네트워크

IRC 봇넷을 탐지하고 목을 자르기 위한 노력에 대응하여, 두 개의 브로커는 피어 투 피어 네트워크에 악성 프로그램을 배치하기 시작했습니다. 이러한 봇은 Gameover ZeuSZeroAccess 봇넷[8]같이 개인 키에 액세스할 수 있는 사용자만 봇넷을 제어할 수 있도록 디지털 서명을 사용할 수 있습니다.

새로운 봇넷은 P2P 네트워크를 통해 완전히 작동합니다. P2P 봇은 중앙 집중식 서버와 통신하는 것이 아니라 명령 분산 서버와 명령을 받는 클라이언트의 역할을 모두 수행합니다.[9] 이를 통해 중앙 집중식 봇넷의 문제인 단일 장애 지점이 발생하지 않습니다.

감염된 다른 컴퓨터를 찾기 위해 P2P 봇은 다른 감염된 컴퓨터를 식별할 때까지 무작위 IP 주소를 조심스럽게 탐색합니다. 연락한 봇은 소프트웨어 버전 및 알려진 봇 목록과 같은 정보로 회신합니다. 봇의 버전 중 하나가 다른 버전보다 낮으면 업데이트하기 위해 파일 전송을 시작합니다.[8] 이러한 방식으로 각 봇은 감염된 기계 목록을 확장하고 알려진 모든 봇과 주기적으로 통신하여 자체 업데이트합니다.

핵심부품

봇넷의 발신자("botherder" 또는 "bot master"로 알려져 있음)는 봇넷을 원격으로 제어합니다. 이를 C&C(명령 및 제어)라고 합니다. 작업을 위한 프로그램은 피해자의 컴퓨터(좀비 컴퓨터)에 있는 클라이언트와 비밀 채널을 통해 통신해야 합니다.

제어 프로토콜

IRC는 통신 프로토콜 때문에 역사적으로 선호되는 C&C 수단입니다. 양치기는 감염된 클라이언트가 가입할 수 있도록 IRC 채널을 만듭니다. 채널로 전송되는 메시지는 모든 채널 구성원에게 방송됩니다. 봇더는 봇넷을 명령하도록 채널의 주제를 설정할 수 있습니다. 예를 들어, 메시지는 :herder!herder@example.com TOPIC #channel DDoS www.victim.com bother에서 #channel에 속한 모든 감염된 클라이언트에게 웹사이트 www.victim.com 에서 DDoS 공격을 시작하도록 경고합니다. 예제 반응 :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com 봇 클라이언트가 공격을 시작했음을 보더에게 알립니다.[8]

일부 봇넷은 잘 알려진 프로토콜의 사용자 지정 버전을 구현합니다. 구현 차이는 봇넷 탐지에 사용할 수 있습니다. 예를 들어, Mega-D는 스팸 기능을 테스트하기 위해 약간 수정된 SMTP(Simple Mail Transfer Protocol) 구현을 특징으로 합니다. Mega-D의 SMTP 서버를 다운시키면 동일한 SMTP 서버에 의존하는 전체 봇 풀이 비활성화됩니다.[10]

좀비 컴퓨터

컴퓨터 과학에서 좀비 컴퓨터(zombie computer)는 해커, 컴퓨터 바이러스 또는 트로이 목마에 의해 손상된 인터넷에 연결된 컴퓨터로 원격 지시 하에서 악의적인 작업을 수행하는 데 사용될 수 있습니다. 좀비 컴퓨터의 봇넷은 종종 이메일 스팸을 퍼뜨리고 서비스 거부 공격(DDoS)을 시작하는 데 사용됩니다. 좀비 컴퓨터의 대부분의 소유자는 자신의 시스템이 이러한 방식으로 사용되고 있다는 것을 알지 못합니다. 주인이 모르는 경향이 있기 때문에 이 컴퓨터들은 좀비에 비유적으로 비유됩니다. 여러 봇넷 머신의 조정된 DDoS 공격도 좀비 무리 공격과 비슷합니다.[11]

시스템이 "봇넷"에 결합된 결과로 컴퓨팅 리소스를 훔치는 과정을 "스크럼핑"이라고 부르기도 합니다.[12]

지휘통제

봇넷 명령 및 제어(C&C) 프로토콜은 기존의 IRC 접근 방식에서 보다 정교한 버전에 이르기까지 다양한 방식으로 구현되었습니다.

텔넷

텔넷 봇넷은 봇이 메인 명령 서버에 접속하여 봇넷을 호스팅하는 간단한 C&C 봇넷 프로토콜을 사용합니다. 봇은 외부 서버에서 실행되고 IP 범위에서 텔넷 및 SSH 서버 기본 로그인을 검색하는 검색 스크립트를 사용하여 봇넷에 추가됩니다. 일단 로그인이 발견되면, 검색 서버는 SSH를 통해 악성 프로그램으로 감염시킬 수 있으며, 이는 제어 서버를 ping시킵니다.

IRC

IRC 네트워크는 간단하고 낮은 대역폭의 통신 방법을 사용하므로 봇넷을 호스팅하는 데 널리 사용됩니다. 구축이 비교적 단순한 경향이 있으며 DDoS 공격 및 스팸 캠페인을 조정하는 데 중간 정도의 성공을 거두면서 채널을 지속적으로 전환하여 다운을 방지할 수 있습니다. 그러나 경우에 따라 특정 키워드를 차단하는 것만으로도 IRC 기반 봇넷을 중단하는 데 효과적인 것으로 입증되었습니다. RFC 1459(IRC) 표준은 봇넷에서 인기가 있습니다. 최초의 대중적인 봇넷 컨트롤러 스크립트인 "MaxITE Bot"은 비공개 제어 명령에 IRC XDCC 프로토콜을 사용했습니다.

IRC를 사용하는 데 있어 한 가지 문제는 각 봇 클라이언트가 IRC 서버, 포트 및 채널을 알아야 봇넷에 사용할 수 있다는 것입니다. 안티 멀웨어 조직은 이러한 서버와 채널을 탐지하고 종료하여 봇넷 공격을 효과적으로 중단할 수 있습니다. 이런 일이 발생하면 고객은 여전히 감염되지만 일반적으로 지시를 받을 방법이 없기 때문에 휴면 상태에 놓입니다.[8] 이 문제를 완화하기 위해 봇넷은 여러 서버 또는 채널로 구성될 수 있습니다. 서버 또는 채널 중 하나가 비활성화되면 봇넷이 다른 채널로 전환됩니다. IRC 트래픽을 스니핑하여 추가 봇넷 서버 또는 채널을 탐지하고 중단할 수 있습니다. 봇넷 상대는 제어 체계에 대한 지식을 얻을 수 있으며 명령을 올바르게 실행하여 봇넷 상대를 모방할 수도 있습니다.[13]

P2P

IRC 네트워크와 도메인을 사용하는 대부분의 봇넷은 시간이 지남에 따라 제거될 수 있기 때문에 해커들은 봇넷을 더 탄력적이고 종료에 저항하도록 만들기 위해 C&C와 함께 P2P 봇넷으로 이동했습니다.

일부는 다른 사람들로부터 봇넷을 보호하거나 잠그기 위한 방법으로 암호화를 사용하기도 했는데, 암호화를 사용하는 대부분의 경우 공개암호화이며 암호화를 구현하는 것과 암호화를 깨는 것 모두에서 어려움을 겪고 있습니다.

도메인

많은 대형 봇넷은 구축에 IRC가 아닌 도메인을 사용하는 경향이 있습니다(Rustock botnetSrizbi botnet 참조). 일반적으로 방탄 호스팅 서비스로 호스팅됩니다. 이것은 초기 유형의 C&C 중 하나입니다. 좀비 컴퓨터는 제어 명령 목록을 제공하는 특수하게 설계된 웹 페이지나 도메인에 액세스합니다. 웹 페이지나 도메인을 C&C로 활용할 경우 쉽게 업데이트할 수 있는 매우 간단한 코드로 큰 봇넷을 효과적으로 제어하고 유지할 수 있다는 장점이 있습니다.

이 방법을 사용할 경우 상당한 양의 대역폭을 대규모로 사용하고, 적은 노력으로 정부 기관에서 도메인을 신속하게 탈취할 수 있다는 단점이 있습니다. 봇넷을 제어하는 도메인이 압류되지 않으면 서비스 거부 공격으로 쉽게 타협할 수 있는 대상이기도 합니다.

빠른 흐름의 DNS를 사용하면 제어 서버를 추적하기가 어려워지고, 매일 변경될 수 있습니다. 또한 제어 서버는 DNS 도메인에서 DNS 도메인으로 홉핑할 수 있으며, 도메인 생성 알고리즘을 사용하여 컨트롤러 서버의 새 DNS 이름을 만듭니다.

일부 봇넷은 DynDns.org , No-IP.com 및 Afraid.org 과 같은 무료 DNS 호스팅 서비스를 사용하여 봇을 포함하는 IRC 서버로 하위 도메인을 가리킵니다. 이러한 무료 DNS 서비스는 자체적으로 공격을 호스팅하지는 않지만 참조 지점을 제공합니다(종종 봇넷 실행 파일에 하드 코딩됨). 이러한 서비스를 제거하면 전체 봇넷이 마비될 수 있습니다.

다른이들

Calling back to large social media sites[14] such as GitHub,[15] Twitter,[16][17] Reddit,[18] Instagram,[19] the XMPP open source instant message protocol[20] and Tor hidden services[21] are popular ways of avoiding egress filtering to communicate with a C&C server.[22]

시공

전통적인.

이 예는 봇넷이 악성 이득을 위해 생성되고 사용되는 방법을 보여줍니다.

  1. 해커는 트로이 목마 및/또는 악용 키트를 구입하거나 구축한 후 이 키트를 사용하여 페이로드가 악성 애플리케이션인 봇인 사용자의 컴퓨터를 감염시키기 시작합니다.
  2. 은 감염된 PC에게 특정 C&C 서버에 연결하도록 지시합니다. (이를 통해 봇 마스터는 얼마나 많은 봇이 활성화되어 있는지와 온라인 상태를 기록할 수 있습니다.)
  3. 그런 다음 봇 마스터는 봇을 사용하여 키 입력을 수집하거나 양식 파악을 사용하여 온라인 자격 증명을 훔칠 수 있으며 봇넷을 DDoS 및/또는 스팸으로 임대하거나 수익을 위해 온라인에서 자격 증명을 판매할 수 있습니다.
  4. 봇의 품질과 능력에 따라 가치가 증가하거나 감소합니다.

새로운 봇은 취약성과 취약한 암호를 사용하여 환경을 자동으로 검색하고 자체 전파할 수 있습니다. 일반적으로 봇이 검색하고 전파할 수 있는 취약점이 많을수록 봇넷 컨트롤러 커뮤니티에 더 가치가 있습니다.[23]

컴퓨터는 악성 소프트웨어를 실행할 때 봇넷으로 공동 작업할 수 있습니다. 이는 사용자가 드라이브 바이 다운로드를 하도록 유인하거나 웹 브라우저 취약성을 이용하거나 사용자를 속여 트로이 목마 프로그램을 실행함으로써 달성할 수 있습니다. 이는 이메일 첨부 파일에서 발생할 수 있습니다. 이 멀웨어는 일반적으로 봇넷의 운영자가 컴퓨터를 명령하고 제어할 수 있는 모듈을 설치합니다. 소프트웨어가 다운로드되면 호스트 컴퓨터로 홈을 호출합니다(재연결 패킷 전송). 다시 연결되면 작성 방법에 따라 트로이 목마는 자체를 삭제하거나 모듈을 업데이트하고 유지 관리하기 위해 존재할 수 있습니다.

다른이들

어떤 경우에는 2010년 프로젝트 채널로지에서 4chan 멤버들이 사용한 저궤도 이온 대포의 구현과 같이 자원봉사자 핵티비스트들에 의해 봇넷이 일시적으로 생성될 수도 있습니다.[24]

중국의 Great Cannon of China인터넷 백본의 합법적인 웹 브라우징 트래픽을 중국으로 수정하여 2015년 GitHub와 같은 대규모 목표를 공격하기 위한 거대한 일시적 봇넷을 만들 수 있습니다.[25]

일반적인 용도

  • 분산 서비스 거부 공격은 봇넷에 대한 가장 일반적인 사용 중 하나로, 여러 시스템이 하나의 인터넷 컴퓨터나 서비스에 가능한 한 많은 요청을 제출하여 오버로드하고 합법적인 요청을 서비스하지 못하도록 합니다. 피해자의 서버에 대한 공격이 그 예입니다. 피해자의 서버는 봇이 요청을 퍼부어 서버에 연결하려고 시도하여 과부하가 발생합니다. 구글 사기꾼 슈만 고세마주머는 봇넷을 서비스로 사용하기 때문에 주요 웹사이트에서 정전을 일으키는 이러한 유형의 공격이 정기적으로 계속 발생할 것이라고 말했습니다.[26]
  • 스파이웨어는 일반적으로 암호, 신용 카드 번호 및 암시장에서 판매할 수 있는 기타 정보와 같은 사용자의 활동에 대한 정보를 작성자에게 전송하는 소프트웨어입니다. 기업 네트워크 내에 위치한 손상된 기계는 종종 기업 기밀 정보에 액세스할 수 있기 때문에 더 많은 가치를 부여할 수 있습니다. 오로라 봇넷과 같이 민감한 정보를 훔치는 것을 목표로 한 대기업에 대한 여러 표적 공격이 있었습니다.[27]
  • 전자 메일 스팸은 사람들의 메시지로 위장된 전자 메일 메시지이지만 광고, 성가시거나 악의적입니다.
  • 클릭 사기는 사용자의 컴퓨터가 개인적 또는 상업적 이익을 위해 허위 웹 트래픽을 만들기 위해 사용자 인식 없이 웹 사이트를 방문할 때 발생합니다.[28]
  • CHEQ, 광고 사기 2019, 인터넷에서 나쁜 행위자들의 경제적 비용에 따르면, 광고 사기는 종종 악의적인 봇 활동의 결과입니다.[29] 봇의 상업적 목적에는 추정되는 인기를 높이기 위해 이를 사용하는 인플루언서와 광고가 받는 클릭 수를 늘리기 위해 봇을 사용하는 온라인 게시자가 포함되어 사이트가 광고주로부터 더 많은 수수료를 얻을 수 있습니다.
  • 자격 증명 스터핑 공격은 봇넷을 사용하여 2022년 제너럴 모터스 공격과 같이 도난당한 암호로 많은 사용자 계정에 로그인합니다.[30]
  • 비트코인 채굴은 봇넷 운영자에게 수익을 창출하기 위해 비트코인 채굴을 기능으로 포함하는 최근 봇넷 중 일부에서 사용되었습니다.[31][32]
  • 사전 구성된 명령 및 제어(CNC) 푸시 명령을 찾기 위한 자체 확산 기능은 더 많은 감염을 목표로 하는 표적 장치 또는 네트워크를 포함합니다. 일부 봇넷은 감염을 자동화하기 위해 이 기능을 사용합니다.

시장.

봇넷 컨트롤러 커뮤니티는 누가 가장 많은 봇, 가장 높은 전체 대역폭, 그리고 대학, 기업 및 심지어 정부 기계와 같이 가장 "고품질" 감염된 기계를 가지고 있는지를 두고 끊임없이 경쟁합니다.[33]

봇넷은 해당 봇넷을 만든 멀웨어의 이름을 따서 명명되는 경우가 많지만, 여러 봇넷은 일반적으로 동일한 멀웨어를 사용하지만 서로 다른 엔티티에 의해 운영됩니다.[34]

피싱

봇넷은 많은 전자 사기에 사용될 수 있습니다. 이 봇넷은 바이러스와 같은 악성 소프트웨어를 배포하여 일반 사용자의 컴퓨터/소프트웨어를[35] 제어하는 데 사용될 수 있습니다. 누군가의 개인 컴퓨터를 제어함으로써 그들은 비밀번호와 계정 로그인 정보를 포함한 개인 정보에 무제한으로 접근할 수 있습니다. 이것을 피싱이라고 합니다. 피싱은 "피해자"가 클릭한 링크가 이메일이나 문자를 통해 전송되는 "피해자" 계정에 대한 로그인 정보를 획득하는 것입니다.[36] 버라이즌의 조사에 따르면 전자 "간첩" 사건의 약 3분의 2가 피싱에서 발생합니다.[37]

대책

봇넷의 지리적 분산은 각 모집자를 개별적으로 식별/상관/수리해야 하며 필터링의 이점을 제한한다는 것을 의미합니다.

컴퓨터 보안 전문가들은 서버를 탈취하거나 인터넷에서 서버를 차단하는 등 멀웨어 명령 및 제어 네트워크를 파괴하거나 전복시키는 데 성공했습니다. 멀웨어가 C&C 인프라에 접속하기 위해 사용해야 할 도메인에 대한 액세스를 거부하고, 경우에 따라서는 C&C 네트워크 자체에 침입하는 등의 방법으로 말웨어 명령 및 제어 네트워크를 파괴하거나 전복시키는 데 성공했습니다.[38][39][40] 이에 대응하여 C&C 운영자는 C&C 네트워크를 IRC 또는 Tor와 같은 기존의 다른 양성 인프라에 오버레이하거나 고정 서버에 의존하지 않는 피어 투 피어 네트워킹 시스템을 사용하고 공개 암호화를 사용하여 네트워크에 침입하거나 스푸핑하려는 시도를 물리치는 등의 기술을 사용하기로 했습니다.[41]

Norton AntiBot은 소비자를 대상으로 했지만, 대부분은 기업 및/또는 ISP를 대상으로 합니다. 호스트 기반 기술은 휴리스틱을 사용하여 기존 안티바이러스 소프트웨어를 우회한 봇 동작을 식별합니다. 네트워크 기반 접근 방식은 C&C 서버를 종료하거나 DNS 항목을 널 라우팅하거나 IRC 서버를 완전히 종료하는 등 위에서 설명한 기법을 사용하는 경향이 있습니다. 봇헌터 미 육군 연구청의 지원을 받아 개발된 소프트웨어로 네트워크 트래픽을 분석해 악성 프로세스의 특징적인 패턴과 비교해 네트워크 내 봇넷 활동을 탐지합니다.

Sandia National Laboratory의 연구원들은 4,480 노드의 고성능 컴퓨터 클러스터에 있는 가상 머신으로 봇넷과 비슷한 규모의 리눅스 커널 100만 개를 동시에 실행하여 매우 큰 네트워크를 에뮬레이트함으로써 봇넷의 작동 방식을 관찰하고 이를 막을 방법을 실험할 수 있도록 함으로써 봇넷의 행동을 분석하고 있습니다.[42]

더 새롭고 정교한 세대의 봇이 공격자에 의해 시작됨에 따라 자동화된 봇 공격을 탐지하는 것은 매일 더 어려워지고 있습니다. 예를 들어 자동화된 공격은 대규모 봇 군대를 배치하고 사용자 이름과 암호 목록이 매우 정확한 무차별 공격 방식을 적용하여 계정을 해킹할 수 있습니다. 이 아이디어는 전 세계의 다양한 IP에서 수만 건의 요청을 받는 사이트를 압도하지만, 각 봇은 10분 정도마다 단일 요청을 제출할 뿐이므로 하루에 500만 건 이상의 시도가 발생할 수 있습니다.[43] 이러한 경우 많은 도구가 체적 감지를 활용하려고 하지만 자동화된 봇 공격은 이제 체적 감지의 트리거를 우회하는 방법이 있습니다.

이러한 봇 공격을 탐지하는 기술 중 하나는 소프트웨어가 요청 패킷의 패턴을 탐지하려고 시도하는 "시그니처 기반 시스템"이라고 하는 것입니다. 그러나 공격은 지속적으로 발전하고 있으므로 수천 개의 요청에서 패턴을 식별할 수 없는 경우 실행 가능한 옵션이 아닐 수 있습니다. 봇을 좌절시키기 위한 행동적 접근법도 있는데, 이는 궁극적으로 봇을 인간과 구별하려고 노력합니다. 사람이 아닌 행동을 식별하고 알려진 봇 행동을 인식함으로써 사용자, 브라우저 및 네트워크 수준에서 이 프로세스를 적용할 수 있습니다.

바이러스와 싸우기 위해 소프트웨어를 사용하는 가장 가능한 방법은 허니팟 소프트웨어를 사용하여 악성 소프트웨어가 시스템에 취약하다는 것을 확신시키는 것이었습니다. 그런 다음 법의학 소프트웨어를 사용하여 악성 파일을 분석합니다.

2014년 7월 15일, 미국 상원 사법위원회의[44] 범죄 및 테러 소위원회는 봇넷이 제기하는 위협과 이를 방해하고 해체하려는 공공 및 민간의 노력에 대한 청문회를 개최했습니다.[45]

취약한 IoT 기기의 증가는 IoT 기반 봇넷 공격의 증가로 이어졌습니다. 이를 해결하기 위해 새로운 네트워크 기반의 IoT 이상 탐지 방법인 N-BaIoT가 도입되었습니다. 네트워크 동작 스냅샷을 캡처하고 딥 오토 인코더를 사용하여 손상된 IoT 장치의 비정상적인 트래픽을 식별합니다. 이 방법은 9개의 IoT 디바이스를 Mirai 및 BASHLITE 봇넷에 감염시켜 테스트되었으며, 봇넷 내에서 손상된 IoT 디바이스에서 발생하는 공격을 정확하고 신속하게 탐지하는 능력을 보여줍니다.[46]

봇넷의 역사 목록

첫 번째 봇넷은 악명 높은 스팸 발송자 칸 C와의 소송 중에 어스링크에 의해 처음으로 인정되고 노출되었습니다. 2001년 스미스[47]. 봇넷은 대량 스팸을 목적으로 구축되었으며, 당시 전체 스팸의 거의 25%를 차지했습니다.[48]

2006년경, 탐지를 막기 위해 일부 봇넷은 크기를 축소하고 있었습니다.[49]

작성일자 해체일자 이름. 봇의 예상 수 스팸 용량(bn/day) 별칭
1999 !a 999,999,999 100000 !a
2003 맥시티 500-1000대의 서버 0 MaxXiTE XDCC 봇, MaxXiTE IRC TCL 스크립트, MaxServ
2004 (초기) 바글 230,000[50] 5.7 비글, 미틀라이더, 로데이트
마리나 봇넷 6,215,000[50] 92 데이먼 브라이언트, BOB.dc, 코트몽거, 핵툴.스패머, 크라켄
토르피그 180,000[51] 시노왈, 안세린
폭풍 160,000[52] 3 누와르 주, 피콤 주, 젤라틴 주
2006년 (대략) 2011년(3월) 러스트록 150,000[53] 30 RKRustok, Costrat
돈봇 125,000[54] 0.8 Buzus, Bachsoy
2007년 (대략) 커트와일 1,500,000[55] 74 판덱스, 뮤턴트(관련: 위곤, 푸쉬도)
2007 아크봇 1,300,000[56]
2007(3월) 2008년(11월) 스리즈비 450,000[57] 60 큐플레이, 교환기
치사성 260,000[50] 2 없음.
Xarvester 10,000[50] 0.15 Rlsloup, Pixoliz
2008년 (대략) 염도 1,000,000[58] 부문, 쿠쿠
2008년 (대략) 2009~12월 마리포사 12,000,000[59]
2008년(11월) 콘피커 10,500,000+[60] 10 Down Up, Down And Up, Down Ad Up, Kido
2008년(11월) 2010(3월) 왈레닥 80,000[61] 1.5 왈레드, 왈레드팍
마즈벤 50,000[50] 0.5 없음.
원워드서브 40,000[62] 1.8
게그 30,000[50] 0.24 Tofsee, Mondera
뉴크립트 20,000[62] 5 로스키, 록스키
워플라 20,000[62] 0.6 포키어, 슬로거, 크리틱
2008년 (대략) 아스프록스 15,000[63] 단멕, 히드라플럭스
0 스팸 스루 12,000[62] 0.35 스팸-DCOMServ, Covesmer, Xmiler
2008년 (대략) 검블러
2009(5월) 2010년 11월 (미완성) 브레도랩 30,000,000[64] 3.6 오피클라
2009년 (주위) 2012-07-19 그룸 560,000[65] 39.9 테드루
메가디 509,000[66] 10 오즈독
크라켄 495,000[67] 9 크라켄
2009(8월) 페스티 250,000[68] 2.25 스팸노스트
2010(3월) 벌컨봇
2010년(1월) 로우섹 11,000+[50] 0.5 낮은 보안, 무료 돈, Ring0.도구들
2010년 (대략) TDL4 4,500,000[69] TDSS, Alureon
제우스 3,600,000 (미국만 해당)[70] Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 (수: 2011, 2012) 켈리호스 300,000+ 4 활스
2011년 이전 2015-02 람니트 3,000,000[71]
2012년 (Around) 카멜레온 120,000[72] 없음.
2014 네쿠르스 6,000,000
2016년(8월) 미라이 380,000 없음.
2022 맨티스[73] 5000
  • 산타 바바라 캘리포니아 대학의 연구원들은 예상보다 6배 작은 봇넷을 장악했습니다. 일부 국가에서는 사용자가 하루에 몇 번씩 IP 주소를 변경하는 것이 일반적입니다. IP 주소 수에 의해 봇넷의 크기를 추정하는 것은 연구자들에 의해 종종 사용되어 부정확한 평가로 이어질 수 있습니다.[74]

참고 항목

참고문헌

  1. ^ "Thingbots: The Future of Botnets in the Internet of Things". Security Intelligence. 20 February 2016. Retrieved 28 July 2017.
  2. ^ "botnet". Retrieved 9 June 2016.
  3. ^ Ramneek, Puri (8 August 2003). "Bots &; Botnet: An Overview". SANS Institute. Retrieved 12 November 2013.
  4. ^ Putman, C. G. J.; Abhishta; Nieuwenhuis, L. J. M. (March 2018). "Business Model of a Botnet". 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP). pp. 441–445. arXiv:1804.10848. Bibcode:2018arXiv180410848P. doi:10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6. S2CID 13756969.
  5. ^ Danchev, Dancho (11 October 2013). "Novice cyberciminals offer commercial access to five mini botnets". Webroot. Retrieved 28 June 2015.
  6. ^ a b Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 January 2007). Botnets. Burlington, Virginia: Syngress. pp. 29–75. doi:10.1016/B978-159749135-8/50004-4. ISBN 9781597491358.
  7. ^ "Botnets: Definition, Types, How They Work". Crowdstrike. Retrieved 18 April 2021.
  8. ^ a b c d Heron, Simon (1 April 2007). "Botnet command and control techniques". Network Security. 2007 (4): 13–16. doi:10.1016/S1353-4858(07)70045-4.
  9. ^ Wang, Ping (2010). "Peer-to-peer botnets". In Stamp, Mark; Stavroulakis, Peter (eds.). Handbook of Information and Communication Security. Springer. ISBN 9783642041174.
  10. ^ C.Y. Cho, D. Babic, R. 신, 그리고 D. 송. 봇넷 명령 제어 프로토콜의 형식 모델 추론 분석, 2010 ACM 컴퓨터 통신 보안 컨퍼런스
  11. ^ Teresa Dixon Murray (28 September 2012). "Banks can't prevent cyber attacks like those hitting PNC, Key, U.S. Bank this week". Cleveland.com. Retrieved 2 September 2014.
  12. ^ Arntz, Pieter (30 March 2016). "The Facts about Botnets". Malwarebytes Labs. Retrieved 27 May 2017.
  13. ^ Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 January 2007). Botnets. Burlington, Virginia: Syngress. pp. 77–95. doi:10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8.
  14. ^ Zeltser, Lenny. "When Bots Use Social Media for Command and Control". zeltser.com.
  15. ^ Osborne, Charlie. "Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread". ZDNet. Retrieved 7 October 2017.
  16. ^ Singel, Ryan (13 August 2009). "Hackers Use Twitter to Control Botnet". Wired. Retrieved 27 May 2017.
  17. ^ "First Twitter-controlled Android botnet discovered". 24 August 2016. Retrieved 27 May 2017.
  18. ^ Gallagher, Sean (3 October 2014). "Reddit-powered botnet infected thousands of Macs worldwide". ARS Tecnica. Retrieved 27 May 2017.
  19. ^ Cimpanu, Catalin (6 June 2017). "Russian State Hackers Use Britney Spears Instagram Posts to Control Malware". Bleeping Computer. Retrieved 8 June 2017.
  20. ^ Dorais-Joncas, Alexis (30 January 2013). "Walking through Win32/Jabberbot.A instant messaging C&C". Retrieved 27 May 2017.
  21. ^ Constantin, Lucian (25 July 2013). "Cybercriminals are using the Tor network to control their botnets". PC World. Retrieved 27 May 2017.
  22. ^ "Cisco ASA Botnet Traffic Filter Guide". Retrieved 27 May 2017.
  23. ^ 유선 로봇 공격
  24. ^ Norton, Quinn (1 January 2012). "Anonymous 101 Part Deux: Morals Triumph Over Lulz". Wired.com. Retrieved 22 November 2013.
  25. ^ Peterson, Andrea (10 April 2015). "China deploys new weapon for online censorship in form of 'Great Cannon'". The Washington Post. Retrieved 10 April 2015.
  26. ^ "Here's why massive website outages will continue happening". Vox. 24 October 2016. Retrieved 31 July 2022.
  27. ^ "Operation Aurora — The Command Structure". Damballa.com. Archived from the original on 11 June 2010. Retrieved 30 July 2010.
  28. ^ Edwards, Jim (27 November 2013). "This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser". Retrieved 27 May 2017.
  29. ^ FTC. "Social Media Bots and Deceptive Advertising" (PDF).
  30. ^ Burt, Jeff. "Credential-stuffing attack on GM exposes car owners' data". www.theregister.com. Retrieved 31 July 2022.
  31. ^ Nichols, Shaun (24 June 2014). "Got a botnet? Thinking of using it to mine Bitcoin? Don't bother". Retrieved 27 May 2017.
  32. ^ "Bitcoin Mining". BitcoinMining.com. Archived from the original on 19 April 2016. Retrieved 30 April 2016.{{cite web}}: CS1 maint: bot: 원본 URL 상태 알 수 없음(링크)
  33. ^ "Trojan horse, and Virus FAQ". DSLReports. Retrieved 7 April 2011.
  34. ^ 다대다 봇넷 관계는 2016년 3월 4일 담발라웨이백 머신(Wayback Machine)에서 아카이브되었습니다, 2009년 6월 8일.
  35. ^ "Uses of botnets The Honeynet Project". www.honeynet.org. Archived from the original on 20 March 2019. Retrieved 24 March 2019.
  36. ^ "What is phishing? - Definition from WhatIs.com". SearchSecurity. Retrieved 24 March 2019.
  37. ^ Aguilar, Mario (14 April 2015). "The Number of People Who Fall for Phishing Emails Is Staggering". Gizmodo. Retrieved 24 March 2019.
  38. ^ "Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants". vhosts.eecs.umich.edu.
  39. ^ "DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis" (PDF). Annual Computer Security Applications Conference. ACM. December 2012.
  40. ^ BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic. Proceedings of the 15th Annual Network and Distributed System Security Symposium. 2008. CiteSeerX 10.1.1.110.8092.
  41. ^ "IRCHelp.org – Privacy on IRC". www.irchelp.org. Retrieved 21 November 2020.
  42. ^ "Researchers Boot Million Linux Kernels to Help Botnet Research". IT Security & Network Security News. 12 August 2009. Retrieved 23 April 2011.[영구적 데드링크]
  43. ^ "Brute-Force Botnet Attacks Now Elude Volumetric Detection". DARKReading from Information Week. 19 December 2016. Retrieved 14 November 2017.
  44. ^ "Subcommittee on Crime and Terrorism United States Senate Committee on the Judiciary". www.judiciary.senate.gov. Retrieved 11 December 2022.
  45. ^ United States. Congress. Senate. Committee on the Judiciary. Subcommittee on Crime and Terrorism (2018). Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014. Washington, DC: U.S. Government Publishing Office. Retrieved 18 November 2018.
  46. ^ Meidan, Yair (2018). "N-BaIoT-Network-Based Detection of IoT Botnet Attacks Using Deep Autoencoders". IEEE Pervasive Computing. 17 (3): 12–22. arXiv:1805.03409. doi:10.1109/MPRV.2018.03367731. S2CID 13677639.
  47. ^ Credeur, Mary. "Atlanta Business Chronicle, Staff Writer". bizjournals.com. Retrieved 22 July 2002.
  48. ^ Mary Jane Credeur (22 July 2002). "EarthLink wins $25 million lawsuit against junk e-mailer". Retrieved 10 December 2018.
  49. ^ Paulson, L.D. (April 2006). "Hackers Strengthen Malicious Botnets by Shrinking Them" (PDF). Computer; News Briefs. IEEE Computer Society. 39 (4): 17–19. doi:10.1109/MC.2006.136. S2CID 10312905. The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs.The average botnet size is now about 20,000 computers, he said.
  50. ^ a b c d e f g "Symantec.cloud Email Security, Web Security, Endpoint Protection, Archiving, Continuity, Instant Messaging Security". Messagelabs.com. Archived from the original on 18 November 2020. Retrieved 30 January 2014.
  51. ^ Chuck Miller (5 May 2009). "Researchers hijack control of Torpig botnet". SC Magazine US. Archived from the original on 24 December 2007. Retrieved 7 November 2011.
  52. ^ "Storm Worm network shrinks to about one-tenth of its former size". Tech.Blorge.Com. 21 October 2007. Archived from the original on 24 December 2007. Retrieved 30 July 2010.
  53. ^ Chuck Miller (25 July 2008). "The Rustock botnet spams again". SC Magazine US. Archived from the original on 4 April 2016. Retrieved 30 July 2010.
  54. ^ Stewart, Joe (13 January 2009). "Spam Botnets to Watch in 2009". Secureworks.com. SecureWorks. Retrieved 9 March 2016.
  55. ^ "Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security". Msmvps.com. 2 February 2010. Archived from the original on 16 August 2010. Retrieved 30 July 2010.
  56. ^ "New Zealand teenager accused of controlling botnet of 1.3 million computers". The H security. 30 November 2007. Retrieved 12 November 2011.
  57. ^ "Technology Spam on rise after brief reprieve". BBC News. 26 November 2008. Retrieved 24 April 2010.
  58. ^ "Sality: Story of a Peer-to-Peer Viral Network" (PDF). Symantec. 3 August 2011. Retrieved 12 January 2012.
  59. ^ "How FBI, police busted massive botnet". theregister.co.uk. Retrieved 3 March 2010.
  60. ^ "Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab". F-secure.com. 16 January 2009. Retrieved 24 April 2010.
  61. ^ "Waledac botnet 'decimated' by MS takedown". The Register. 16 March 2010. Retrieved 23 April 2011.
  62. ^ a b c d Gregg Keizer (9 April 2008). "Top botnets control 1M hijacked computers". Computerworld. Retrieved 23 April 2011.
  63. ^ "Botnet sics zombie soldiers on gimpy websites". The Register. 14 May 2008. Retrieved 23 April 2011.
  64. ^ "Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com". .canada.com. Archived from the original on 11 May 2011. Retrieved 10 November 2011.
  65. ^ "Research: Small DIY botnets prevalent in enterprise networks". ZDNet. Retrieved 30 July 2010.
  66. ^ Warner, Gary (2 December 2010). "Oleg Nikolaenko, Mega-D Botmaster to Stand Trial". CyberCrime & Doing Time. Retrieved 6 December 2010.
  67. ^ "New Massive Botnet Twice the Size of Storm — Security/Perimeter". DarkReading. 7 April 2008. Retrieved 30 July 2010.
  68. ^ Kirk, Jeremy (16 August 2012). "Spamhaus Declares Grum Botnet Dead, but Festi Surges". PC World.
  69. ^ "Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)". kasperskytienda.es. 3 July 2011. Retrieved 11 July 2011.
  70. ^ "America's 10 most wanted botnets". Networkworld.com. 22 July 2009. Retrieved 10 November 2011.
  71. ^ "EU police operation takes down malicious computer network". phys.org.
  72. ^ "Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month". Spider.io. 19 March 2013. Retrieved 21 March 2013.
  73. ^ "This tiny botnet is launching the most powerful DDoS attacks yet". ZDNet. Retrieved 31 July 2022.
  74. ^ Espiner, Tom (8 March 2011). "Botnet size may be exaggerated, says Enisa Security Threats ZDNet UK". Zdnet.com. Retrieved 10 November 2011.

외부 링크