Che cos’è una botnet DDoS?

Gli attacchi botnet sono responsabili dei più vasti attacchi DDoS mai registrati. Ecco come i dispositivi si infettano con malware botnet, come si comandano i bot a distanza e come si protegge una rete da un'invasione botnet.

Share facebook icon linkedin icon twitter icon email icon

Botnet

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire una botnet DDoS
  • Spiegare perché vengono create le botnet
  • Capire in che modo le botnet vengono controllate da malintenzionati
  • Illustrare strategie per disabilitare una botnet e prevenire l'eventuale infezione

Che cos’è una botnet?

Una "botnet" si riferisce a un gruppo di computer che sono stati infettati da malware e che sono passati sotto il controllo di un soggetto malintenzionato. Il termine botnet deriva dalla crasi delle parole "robot" e "network", e ogni dispositivo infetto viene detto bot. Le botnet possono essere configurate per eseguire attività illegali o dannose, tra cui invio di spam,furto di dati, ransomware , clic fraudolenti su annunci o attacchi denial-of-service distribuiti (DDoS).


Se alcuni malware, come il ransomware, hanno un impatto diretto sul proprietario del dispositivo infettato, i malware botnet DDoS possono in realtà avere diversi livelli di visibilità. Alcuni sono progettati per assumere il controllo totale di un dispositivo, altri vengono eseguiti invece in modalità silente, come processo in background, in attesa di istruzioni dall'aggressore, detto "bot herder”, letteralmente “pastore di bot”.


Le botnet auto-propaganti reclutano ulteriori bot attraverso una varietà di canali diversi. I percorsi di infezione includono lo sfruttamento delle vulnerabilità dei siti Web, malware di tipo Trojan horse e cracking di password deboli per ottenere l'accesso remoto. Una volta ottenuto l'accesso, tutti questi metodi di infezione comportano l'installazione di malware sul dispositivo bersaglio, consentendo il controllo remoto da parte dell'operatore della botnet. Una volta che un dispositivo è infetto, può tentare di auto-propagare il malware botnet reclutando altri dispositivi hardware nella rete circostante.


Le stime del numero totale di bot in una botnet sofisticata possono andare da alcune migliaia a oltre un milione, anche se è impossibile sapere con precisione quanti bot comprenda una particolare botnet.

DDoS Botnet attack animation

Perché vengono create le botnet?

Le ragioni per utilizzare una botnet vanno dall'attivismo all'interruzione finanziata dallo stato, con molti attacchi che vengono effettuati semplicemente a scopo di lucro. La contrattazione di servizi di botnet online è relativamente economica, soprattutto in relazione alla quantità di danni che possono causare. La barriera per la creazione di una botnet è anche sufficientemente modesta da renderla un'attività redditizia per alcuni sviluppatori di software, specialmente in aree geografiche in cui la regolamentazione e le forze dell'ordine sono limitate. Questa combinazione ha portato a una proliferazione di servizi online che offrono attacchi a noleggio.

Come viene controllata una botnet?

Una caratteristica fondamentale di una botnet è la capacità di ricevere istruzioni aggiornate dal bot herder. La capacità di comunicare con ciascun bot nella rete consente all'aggressore di alternare i vettori di attacco, modificare l'indirizzo IP target, terminare un attacco e altre azioni personalizzate. Le progettazioni di botnet variano, ma le strutture di controllo possono essere suddivise in due categorie generali:

Il modello di botnet client/server

Il modello client/server imita il tradizionale flusso di lavoro della workstation remota in cui ogni singola macchina si connette a un server centralizzato (o un numero limitato di server centralizzati) per accedere alle informazioni. In questo modello ogni bot si connetterà a una risorsa del centro di comando e controllo (CnC) come dominio web o canale IRC per ricevere istruzioni. Utilizzando questi repository centralizzati per fornire nuovi comandi per la botnet, l'aggressore deve semplicemente modificare il materiale di origine a cui ogni botnet attinge da un centro di comando per aggiornare le istruzioni alle macchine infette. Il server centralizzato che controlla la botnet può essere un dispositivo posseduto e gestito dall'aggressore oppure un dispositivo infetto.


Sono state osservate numerose popolari topologie di botnet centralizzate, tra cui:

Topologia di rete a stella

Star network topology animation

Topologia di rete multiserver

Multi server network topology animation

Topologia di rete gerarchica

Hierarchical network topology animation

In uno di questi modelli client/server, ciascun bot si connetterà a una risorsa del centro di comando come dominio Web o canale IRC per ricevere istruzioni. Utilizzando questi repository centralizzati per fornire nuovi comandi per la botnet, l'aggressore deve semplicemente modificare il materiale di origine che ogni botnet consuma da un centro di comando per aggiornare le istruzioni alle macchine infette.


La semplicità di aggiornamento delle istruzioni alla botnet da un numero limitato di fonti centralizzate si accompagna alla vulnerabilità di tali macchine; per rimuovere una botnet con un server centralizzato, infatti, basta bloccare il server. A causa di questa vulnerabilità, i creatori di malware botnet si sono evoluti e si sono orientati verso un nuovo modello, meno suscettibile di essere bloccato mediante un unico o pochi punti di errore.

Il modello di botnet peer-to-peer

Per aggirare le vulnerabilità del modello client/server, le botnet ultimamente sono state configurate utilizzando componenti di condivisione file decentralizzata peer-to-peer. L'incorporamento della struttura di controllo all'interno della botnet elimina il singolo punto di errore presente in una botnet con server centralizzato, rendendo più difficili gli sforzi di mitigazione. I bot P2P possono essere sia client che centri di comando, lavorando fianco a fianco con i vicini nodi per propagare i dati.


Le botnet peer-to-peer mantengono un elenco di computer affidabili con i quali possono comunicare e ricevere comunicazioni e aggiornare il loro malware. Limitando il numero di altre macchine a cui si connette il bot, ogni bot viene esposto solo a dispositivi adiacenti, rendendolo più difficile da tracciare e mitigare. La mancanza di un server di comando centralizzato rende una botnet peer-to-peer più vulnerabile al controllo da parte di un soggetto diverso dal creatore della botnet. Per proteggerle dalla perdita di controllo, le botnet decentralizzate sono in genere crittografate in modo da limitare l'accesso.

Peer-to-peer network topology animation

In che modo i dispositivi IoT si trasformano in botnet?

Nessuno accede all'internet banking con la telecamera CCTV wireless messa in cortile per guardare la mangiatoia degli uccelli, ma ciò non significa che il dispositivo non sia in grado di eseguire le necessarie richieste di rete. La potenza de dispositivi IoT, abbinata a una sicurezza debole o mal configurata, crea per il malware botnet l'opportunità di reclutare nuovi bot nel collettivo. L'aumento dei dispositivi IoT ha portato a un nuovo panorama per gli attacchi DDoS, in quanto molti dispositivi sono configurati in modo inadeguato e quindi vulnerabili.


Se la vulnerabilità di un dispositivo IoT è codificata nel firmware, gli aggiornamenti sono più difficili. Per mitigare il rischio, i dispositivi IoT con firmware obsoleto devono essere aggiornati, in quanto le credenziali predefinite rimangono generalmente invariate rispetto all'installazione iniziale del dispositivo. Molti produttori di hardware a buon mercato non sono incentivati a rendere i loro dispositivi più sicuri, rendendo la vulnerabilità rappresentata dal malware botnet per i dispositivi IoT un rischio di sicurezza irrisolto.

Come si disabilita una botnet esistente?

Disabilitare i centri di controllo di una botnet:

Le botnet configurate utilizzando uno schema di comando e controllo possono essere disabilitate più facilmente una volta identificati i centri di controllo. Far saltare i points of failure può portare offline l'intera botnet. Di conseguenza, gli amministratori di sistema e le forze dell'ordine si concentrano sulla chiusura dei centri di controllo di queste botnet. Il processo è più difficile se il centro di comando opera in un Paese in cui le forze dell'ordine sono meno esperte o propense a intervenire.

Eliminare l'infezione sui singoli dispositivi:

Nel caso dei singoli computer, le strategie per riprendere il controllo della macchina includono l'esecuzione di software antivirus, la reinstallazione del software da un backup sicuro o il riavvio da una macchina vergine dopo la riformattazione del sistema. Per i dispositivi IoT, le strategie possono includere il flashing del firmware, il ripristino delle impostazioni di fabbrica o la formattazione del dispositivo. Se tali opzioni non sono possibili, potrebbero essere disponibili altre strategie presso il produttore del dispositivo o un amministratore di sistema.

Come proteggere i propri dispositivi dalla possibilità di essere coinvolti in una botnet?

Creare password sicure:

Nel caso di molti dispositivi vulnerabili, ridurre l'esposizione alla vulnerabilità della botnet può essere semplice come cambiare le credenziali amministrative in qualcosa di diverso dal nome utente e dalla password predefiniti. Creare una password sicura rende difficile la violazione di password con forza bruta, ma creare una password molto sicura la rende virtualmente impossibile.Ad esempio, un dispositivo infetto dal malware Mirai eseguirà la scansione degli indirizzi IP alla ricerca di dispositivi che rispondano. Una volta che un dispositivo risponde a una richiesta di ping, il bot tenterà di accedere al dispositivo individuato con un elenco predefinito di credenziali predefinite. Se la password predefinita è stata modificata ed è stata creata una password sicura, il bot si arrenderà e passerà alla ricerca di dispositivi più vulnerabili.

Consentire solo l'esecuzione affidabile di codice di terze parti:

Se si adotta il modello di esecuzione del software del cellulare, è possibile eseguire solo le applicazioni autorizzate, garantendo un maggiore controllo per l'eliminazione del software ritenuto dannoso, incluse le botnet. Solo uno sfruttamento del software supervisore (ad es. Kernel) può comportare lo sfruttamento del dispositivo. Questo dipende innanzitutto dal fatto di avere un kernel sicuro, che la maggior parte dei dispositivi IoT non ha, e si applica per lo più alle macchine che eseguono software di terze parti.

Pulizia/ripristino periodici del sistema:

Il ripristino a un valido stato noto dopo un periodo prestabilito rimuoverà tutte le scorie raccolte da un sistema, incluso il software botnet. Questa strategia, se utilizzata come misura preventiva, assicura che anche il malware in esecuzione silenziosa venga svuotato dal cestino.

Implementare buone pratiche di filtraggio in ingresso e in uscita:

Altre strategie più avanzate includono pratiche di filtraggio su router di rete e firewall. Un principio nella configurazione di una rete sicura è la stratificazione: la restrizione per le risorse accessibili al pubblico è minima, con rinforzo continuo nella sicurezza degli elementi considerati sensibili. Inoltre, tutto ciò che varca questi confini deve essere esaminato: traffico di rete, unità USB, ecc. Pratiche di filtraggio di qualità aumentano la probabilità che i malware DDoS e i loro metodi di propagazione e comunicazione vengano catturati prima di entrare o uscire dalla rete.


Se si è sotto attacco, si possono immediatamente adottare alcune misure per alleviare la pressione. Se si è già utenti Cloudflare, per mitigare l’attacco si possono seguire questi passaggi. La protezione DDoS di Cloudflare è sfaccettata per consentire di mitigare i numerosi possibili vettori di attacco. Approfondimento sulla protezione DDoS di Cloudflare.