Botnet چیست و چرا برای امنیت شبکه مهم است؟

Botnet یعنی مجموعه‌ای از سیستم‌های آلوده که بدون اطلاع صاحبشان تحت کنترل یک مهاجم یا گروه مهاجم کار می‌کنند. هر سیستم آلوده یک bot است و وقتی تعداد زیادی از این botها کنار هم قرار می‌گیرند، یک شبکه فرمان‌پذیر ساخته می‌شود.

این موضوع فقط مربوط به کامپیوترهای قدیمی نیست. هر چیزی که سیستم‌عامل، شبکه و ضعف امنیتی داشته باشد می‌تواند وارد botnet شود: کامپیوتر کاربر، سرور، دوربین IP، مودم، روتر خانگی، یا حتی تجهیز IoT ساده‌ای که هیچ‌وقت patch نشده است.

Botnet چطور شکل می‌گیرد؟

معمولا یک بدافزار از طریق exploit، فایل آلوده، رمز ضعیف، سرویس باز یا phishing وارد سیستم می‌شود. بعد از اجرا، سیستم آلوده با یک سرور فرماندهی و کنترل یا همان C2 ارتباط می‌گیرد و منتظر دستور می‌ماند.

کاربر ممکن است هیچ نشانه واضحی نبیند. بدافزار می‌تواند در زمان idle فعال‌تر شود، مصرف شبکه را کم‌کم بالا ببرد، یا فقط گاهی برای دریافت دستور به بیرون وصل شود. همین پنهان‌کاری باعث می‌شود botnetها مدت زیادی زنده بمانند.

از Botnet چه استفاده‌ای می‌شود؟

کاربردهای مخرب botnet زیاد است. حمله DDoS، ارسال spam، سرقت اطلاعات، credential stuffing، توزیع بدافزار جدید، mining غیرمجاز و ساختن proxy network از استفاده‌های رایج آن هستند.

در DDoS، ارزش botnet به تعداد و پراکندگی سیستم‌های آلوده است. وقتی هزاران یا میلیون‌ها سیستم از نقاط مختلف دنیا به یک سرویس فشار بیاورند، فیلتر کردن حمله سخت‌تر می‌شود.

از نگاه ادمین شبکه چه چیزی مهم است؟

ما همیشه نمی‌توانیم اینترنت را تمیز کنیم، ولی می‌توانیم شبکه خودمان را بهتر ببینیم. اگر یک سیستم داخلی مدام به مقصدهای مشکوک وصل می‌شود، DNSهای عجیب می‌پرسد، یا ترافیک خروجی غیرعادی دارد، باید بررسی شود.

برای کنترل botnet، فقط antivirus کافی نیست. باید چند لایه را کنار هم داشته باشیم: patch management، محدود کردن دسترسی خروجی، DNS security، firewall policy، EDR یا endpoint protection، و لاگ قابل تحلیل.

کنترل ارتباط با C2

خیلی از botها برای گرفتن دستور باید به دامنه یا IPهای مشخصی وصل شوند. اگر بتوانیم این ارتباط را شناسایی و قطع کنیم، سیستم آلوده دیگر به راحتی فرمان نمی‌گیرد.

فایروال‌های امروزی، DNS filtering و threat intelligence feedها برای همین کمک می‌کنند. البته هیچ feedای کامل نیست، ولی برای کم کردن ریسک ارزش دارد.

Client infected host -> DNS request -> C2 domain
Client infected host -> HTTPS connection -> C2 server

در شبکه سازمانی بهتر است خروجی اینترنت هم policy داشته باشد. اینکه هر سیستم داخلی بتواند به هر destination و هر portی وصل شود، کار مهاجم را راحت می‌کند.

نشانه‌هایی که باید جدی گرفت

افزایش ناگهانی ترافیک خروجی، اتصال‌های تکراری به کشورها یا ASNهای غیرمرتبط، DNS queryهای زیاد و عجیب، alertهای endpoint، و رفتار غیرعادی سیستم‌ها همگی می‌توانند نشانه آلودگی باشند.

در برخورد با آلودگی، اول سیستم را isolate کنید، بعد شواهد را نگه دارید، سپس پاکسازی یا reimage انجام دهید. اگر فقط بدافزار را حذف کنیم ولی علت ورود را نبندیم، دوباره همان اتفاق تکرار می‌شود.

Botnet بیشتر از اینکه یک اصطلاح ترسناک باشد، نتیجه بی‌نظمی در patch، رمز، دسترسی خروجی و visibility است. هرچه این چهار بخش مرتب‌تر باشد، شانس آلوده شدن و ماندن در botnet کمتر می‌شود.