Penjenayah dan Botnet

Terima Kasih Atas Sokongan Anda

Apakah Botnet ?

Sebuah botnet adalah kumpulan peranti yang terhubung ke Internet, di mana setiap satu menjalankan satu atau lebih bot. Botnet boleh digunakan untuk melakukan serangan gangguan perkhidmatan teragih (DDoS), mencuri data, menghantar spam, dan membolehkan penyerang mengakses peranti dan sambungannya. Pemilik boleh mengawal botnet menggunakan perisian perintah dan kawalan (C&C).

Gambaran Keseluruhan

Botnet adalah kumpulan logik peranti yang terhubung ke Internet, seperti komputer, telefon pintar, atau peranti Internet of Things (IoT) yang keselamatannya telah dicabuli dan kawalan diserah kepada pihak ketiga. Setiap peranti yang terjejas, dikenali sebagai “bot,” dicipta apabila peranti dicerobohi oleh perisian daripada pengedaran perisian berbahaya (malware). Pemegang kawalan botnet boleh mengarahkan aktiviti komputer yang terjejas ini melalui saluran komunikasi yang terbentuk oleh protokol rangkaian berasaskan standard, seperti IRC dan Protokol Pemindahan Hypertext (HTTP).

Senibina

Senibina botnet telah berkembang dari masa ke semasa dalam usaha untuk mengelakkan pengesanan dan gangguan. Secara tradisinya, program bot dibina sebagai pelanggan yang berkomunikasi melalui pelayan sedia ada. Sebagai respons kepada usaha-usaha untuk mengesan dan memotong kepala botnet IRC, pengembala bot telah mula menyebarkan perisian berbahaya di rangkaian peer-to-peer. Bot-bot ini mungkin menggunakan tandatangan digital supaya hanya seseorang dengan akses kepada kunci peribadi boleh mengawal botnet, seperti dalam Gameover ZeuS dan botnet ZeroAccess.

Botnet Terkenal

Satu contoh yang ketara adalah botnet Storm, yang pada puncaknya pada September 2007 beroperasi di antara 1 juta hingga 50 juta sistem komputer dan menyumbang kepada 8% daripada semua perisian berbahaya pada komputer Windows Microsoft. Botnet Storm mula mengalami penurunan pada akhir tahun 2007 dan pada pertengahan tahun 2008 telah berkurang untuk menginfeksi kira-kira 85,000 komputer.

Penyebaran Botnet

Botnet biasanya menyebar ke peranti baru melalui beberapa cara biasa:

  • Memanfaatkan kelemahan perisian: Perisian botnet mengimbas internet untuk peranti dengan kelemahan yang diketahui dan menginfeksi mereka. Ini membolehkan botnet menyebar secara eksponensial kerana setiap peranti yang terinfeksi mula mengimbas untuk lebih banyak hos yang rentan.
  • Menggunakan kata laluan asal atau lemah: Banyak botnet IoT menyebar dengan mencuba kata laluan asal yang biasa pada peranti seperti router dan kamera. Jika peranti menggunakan kata laluan yang mudah diteka, botnet dengan mudah dapat mengawalnya.
  • Kejuruteraan sosial dan penipuan: Botnet sering menyebar melalui emel phishing, iklan berbahaya, atau muatan perisian palsu yang menipu pengguna untuk memasang perisian berbahaya. Mengklik pautan atau lampiran akan menginfeksi peranti.
  • Menyebar melalui rangkaian tempatan: Setelah peranti dijangkiti, perisian botnet mungkin mengimbas dan menginfeksi peranti lain dalam rangkaian tempatan yang sama, seperti melalui kongsi SMB terbuka.
  • Memanfaatkan kelemahan IoT: Ledakan peranti IoT telah menjadikan lebih mudah bagi botnet untuk menyebar, kerana banyak produk IoT mempunyai langkah keselamatan yang lebih lemah daripada PC. Botnet dapat dengan mudah menginfeksi peranti ini melalui kelemahan yang diketahui.

Botnet memanfaatkan kecacatan perisian, kata laluan lemah, kejuruteraan sosial, dan kelemahan peranti IoT untuk cepat menyebar ke hos baru dan memperluas rangkaian mesin yang terinfeksi. Menyelenggara perisian terpatch, menggunakan kata laluan yang kuat, dan berhati-hati dalam talian adalah kunci untuk mencegah jangkitan botnet.

Komunikasi Botnet

Botnet biasanya berkomunikasi dengan pengendalinya menggunakan pelbagai protokol, termasuk:

  • IRC (Internet Relay Chat): Protokol ini biasanya digunakan untuk komunikasi botnet. Seorang pelanggan IRC dipasang pada komputer yang terinfeksi semasa infeksi, yang membantu menubuhkan komunikasi dengan pelayan IRC di pelayan Pemacu dan Kawalan (C&C). Walau bagaimanapun, paket IRC sering menimbulkan bendera merah dan sering disekat oleh firewall, menjadikannya kurang popular bagi botnet moden.
  • HTTP (Protokol Pemindahan Hypertext): HTTP adalah protokol lain yang digunakan untuk komunikasi botnet. Ia dianggap lebih mesra firewall dan sering digunakan oleh botnet seperti Zeus, yang berkomunikasi melalui HTTP.
  • Peer-to-Peer (P2P): Botnet P2P beroperasi sebagai rangkaian terdesentralisasi di mana peranti yang terinfeksi berkomunikasi secara langsung satu sama lain, mengurangkan kebergantungan pada pelayan C&C terpusat. Ini menjadikan pengesanan dan pengecutan lebih mencabar.
  • Protokol lain: Botnet boleh menggunakan protokol lain seperti FTP, SSH, atau protokol khusus untuk berkomunikasi dengan pengendalinya.

Botnet menggunakan pelbagai protokol untuk mengekalkan komunikasi dengan pengendalinya, dengan IRC dan HTTP menjadi yang paling biasa.

Perbezaan utama antara model botnet klien-pelayan dan peer-to-peer adalah dalam senibina, pengurusan sumber, dan struktur keselamatan mereka:

Botnet Klien-Pelayan

  • Senibina: Dalam botnet klien-pelayan, peranti yang terinfeksi (bot) bertindak sebagai pelanggan, dan pelayan pusat mengawal botnet. Pelayan ini menguruskan komunikasi antara bot dan penyerang.
  • Pengurusan Sumber: Pelayan pusat menguruskan sumber dan perkhidmatan yang diminta oleh bot, yang biasanya adalah serangan gangguan perkhidmatan teragih (DDoS), pencurian data, dan penghantaran spam.
  • Keselamatan: Pelayan pusat adalah titik kegagalan tunggal, menjadikannya lebih mudah dikesan dan dihentikan botnet. Pelayan juga mengendalikan semua komunikasi, yang boleh dipantau dan disekat oleh langkah-langkah keselamatan.

Botnet Peer-to-Peer

  • Senibina: Botnet peer-to-peer beroperasi tanpa pelayan pusat. Setiap bot bertindak sebagai pelanggan dan pelayan, berkomunikasi secara langsung dengan peranti yang terinfeksi lain. Struktur terdesentralisasi ini menjadikannya lebih mencabar untuk dikesan dan dihentikan botnet.
  • Pengurusan Sumber: Dalam botnet peer-to-peer, setiap bot menguruskan sumber dan perkhidmatannya sendiri, yang boleh termasuk serangan gangguan perkhidmatan teragih (DDoS), pencurian data, dan penghantaran spam. Pengurusan terdesentralisasi ini menjadikannya lebih sukar untuk mengenal pasti dan menghala sasaran botnet.
  • Keselamatan: Botnet peer-to-peer lebih sukar dikesan dan dihentikan kerana tiada pelayan pusat untuk disasarkan. Setiap bot boleh berfungsi secara bebas, dan komunikasi di antara mereka lebih sukar untuk dipantau dan disekat.

Botnet klien-pelayan lebih terpusat dan lebih mudah dikesan, manakala botnet peer-to-peer lebih terdesentralisasi dan lebih sukar dihentikan.

Botnet Terkenal

1. Botnet Mirai: Dinamakan sempena anime “Mirai Nikki,” botnet ini menjadi terkenal kerana serangan DDoS massifnya yang menjatuhkan sebahagian besar Internet di Pantai Timur AS pada tahun 2016. Ia mengeksploitasi tetapan kata laluan asal pada peranti IoT dan mudah diperluaskan kerana sifatnya yang sumber terbuka.

2. Botnet Mantis: Botnet ini, dinamakan sempena udang lipan, mencapai serangan DDoS yang memecahkan rekod sebanyak 26 juta permintaan per saat menggunakan hanya 5,000 peranti. Ia memberi tumpuan kepada hos maya dengan sumber CPU dan RAM yang tinggi untuk meningkatkan bilangan permintaan yang setiap peranti boleh hantar.

3. Botnet Meris: Pada Ogos 2022, botnet Meris menjalankan serangan DDoS yang meningkat dari 100,000 permintaan per saat kepada 46 juta permintaan per saat dalam tempoh sejam. Ia menginfeksi router dan perkakasan rangkaian yang dikeluarkan oleh MikroTik dan menggunakan pengaliran HTTP untuk meningkatkan kapasitinya.

4. Botnet RSOCKS: Botnet ini unik kerana digunakan untuk menjual alamat IP yang terjejas sebagai pelayan proxy, membolehkan penyerang lain menggunakannya untuk pelbagai aktiviti yang berbahaya.

5. Botnet Storm: Salah satu botnet peer-to-peer yang pertama dikenali, Storm aktif dari tahun 2007 dan terlibat dalam pelbagai aktiviti jenayah, termasuk serangan DDoS dan pencurian identiti. Ia terlibat dalam jumlah komputer yang terinfeksi yang signifikan, dari 250,000 hingga 1 juta.

6. Botnet Cutwail: Botnet ini aktif dari tahun 2007 dan dikenali kerana kemampuannya untuk menghantar jumlah besar emel spam. Ia terdiri daripada kira-kira 1.5 juta mesin yang terinfeksi dan sukar untuk ditutup kerana sifatnya yang terdesentralisasi.

Botnet ini telah memberikan impak yang signifikan dalam landskap keselamatan siber, seringkali menyebabkan gangguan yang meluas dan kerugian kewangan.

Botnet 911 S5

Botnet 911 S5 adalah perkhidmatan proxy kediaman yang besar dan botnet yang merompak lebih daripada 19 juta alamat IP di hampir 200 negara. Ia dicipta dengan menyebarkan perisian berbahaya melalui program VPN percuma dan perisian lain, menargetkan komputer Windows kediaman dan peranti yang terhubung ke rangkaian perniagaan dan sekolah. Botnet ini membolehkan penjenayah siber menyambungkan sambungan internet mereka melalui peranti yang terjejas, menjadikannya sukar untuk menjejaki aktiviti mereka kembali ke peranti mereka sendiri.

Ciri-ciri Utama dan Aktiviti

  • Pengedaran Perisian Berbahaya: Botnet menyebarkan perisian berbahaya melalui program VPN percuma seperti MaskVPN, DewVPN, dan ProxyGate, serta melalui versi palsu perisian sah.
  • Perkhidmatan Proksi Kediaman: Botnet membolehkan pengguna memilih alamat IP tertentu untuk kelihatan seolah-olah aktiviti internet mereka datang dari lokasi tertentu atau melalui penyedia perkhidmatan internet tertentu.
  • Jenayah Siber: Botnet digunakan untuk pelbagai jenayah siber, termasuk penipuan skala besar, serangan siber, gangguan dalam talian, ancaman bom, pelanggaran eksport, dan eksploitasi kanak-kanak.
  • Kerugian Kewangan: Botnet mengakibatkan kerugian kewangan yang besar, seperti $5.9 bilion hilang melalui tuntutan insurans pengangguran palsu dan lebih dari 47,000 permohonan Pinjaman Bencana Cedera Ekonomi (EIDL) palsu.
  • Jangkauan Antarabangsa: Botnet aktif di hampir 200 negara, dengan lebih daripada 613,000 alamat IP yang disandera hanya di Amerika Syarikat sahaja.

Pembongkaran dan Sanksi

  • Penangkapan dan Tuduhan: Pengurus yang didakwa, Yunhe Wang, ditangkap dan dituduh dengan empat tuduhan persekongkolan, penipuan komputer, persekongkolan untuk melakukan penipuan kabel, dan persekongkolan untuk melakukan pengubahan wang.
  • Sanksi: Jabatan Kewangan Amerika Syarikat mengenakan sekatan ke atas tiga warganegara China, termasuk Yunhe Wang, dan tiga syarikat berpangkalan di Thailand atas keterlibatan mereka dalam botnet.
  • Pembongkaran: Botnet itu dibongkar, dan infrastrukturnya dimatikan.

Impak dan Tindak Balas

  • Impak: Botnet itu memberikan impak yang signifikan terhadap keselamatan siber, menyorot keperluan akan langkah-langkah yang kukuh terhadap serangan DDoS, pencetusan kelayakan automatik, dan serangan lain yang dipermudahkan oleh botnet yang jahat.
  • Tindak Balas: FBI, Defense Criminal Investigative Service, dan Pejabat Penguatkuasaan Eksport Jabatan Perdagangan Amerika Syarikat bekerjasama untuk mengenal pasti dan mengeluarkan aplikasi VPN yang mengandungi pintu belakang 911 S5, dan Jabatan Kehakiman Amerika Syarikat memimpin siasatan dengan bantuan rakan kongsi antarabangsa untuk membongkar botnet.

Perlindungan daripada Botnet

Untuk melindungi peranti dari botnet seperti 911 S5, individu boleh mengambil langkah-langkah berikut:

Gunakan Kata Laluan dan Pengesahan yang Kuat: Pastikan semua peranti mempunyai kata laluan yang kuat dan unik dan gunakan pengesahan faktor berganda (MFA) jika memungkinkan. Ini akan menjadikannya lebih sukar bagi perisian berbahaya untuk tersebar melalui kata laluan asal atau lemah.

Menyimpan Perisian Terkini: Secara berkala kemas kini sistem operasi, pelayar, dan perisian lain untuk memastikan sebarang kelemahan dipatch. Ini akan membantu mencegah perisian berbahaya daripada mengeksploitasi kelemahan yang diketahui.

Gunakan Perisian Antivirus dan Anti-Malware: Pasang dan kemas kini perisian antivirus dan anti-malware untuk mengesan dan mengeluarkan perisian berbahaya. Pastikan perisian itu ditetapkan untuk mengimbas perisian berbahaya secara berkala dan memberi amaran kepada anda mengenai sebarang ancaman yang mungkin.

Berhati-hati dengan Perisian Percuma dan VPN: Elakkan menggunakan VPN percuma dan perisian yang mungkin dibundel dengan perisian berbahaya. Sebaliknya, pilih VPN yang dipercayai dan dibayar dan perisian daripada sumber yang dipercayai.

Memantau Aktiviti Peranti: Secara berkala pantau aktiviti peranti untuk mengesan sebarang tingkah laku yang tidak biasa yang boleh menunjukkan jangkitan perisian berbahaya. Ini termasuk memantau log sistem, aktiviti rangkaian, dan penggunaan cakera.

Gunakan Firewall: Aktifkan firewall pada peranti anda untuk menyekat akses yang tidak dibenarkan dan mengehadkan penyebaran perisian berbahaya. Pastikan bahawa firewall ditetapkan untuk menyekat sambungan masuk dan keluar kecuali jika mereka dibenarkan secara khusus.

Gunakan Sambungan yang Selamat: Pastikan semua sambungan ke internet adalah selamat dengan menggunakan HTTPS dan memastikan bahawa sambungan itu disulitkan. Ini akan menghalang serangan man-in-the-middle dan bentuk lain penyelidikan.

Gunakan Pelayar yang Selamat: Gunakan pelayar yang boleh dipercayai dan selamat yang merangkumi ciri seperti pengeblok iklan, perlindungan penjejakan, dan pengesanan perisian berbahaya. Pastikan bahawa pelayar itu secara berkala dikemas kini untuk menyertakan patch keselamatan terkini.

Gunakan Enjin Carian yang Selamat: Gunakan enjin carian yang boleh dipercayai dan selamat yang merangkumi ciri seperti pengesanan perisian berbahaya dan pelayaran selamat. Pastikan bahawa enjin carian itu secara berkala dikemas kini untuk menyertakan patch keselamatan terkini.

Cadangkan Data: Secara berkala cadangkan data penting ke lokasi yang selamat, seperti cakera keras luaran atau perkhidmatan penyimpanan awan. Ini akan memastikan bahawa data selamat walaupun peranti dijangkiti oleh perisian berbahaya.

Dengan mengikuti langkah-langkah ini, individu dapat mengurangkan risiko peranti mereka dijangkiti oleh botnet seperti 911 S5.

Botnet 911 S5 | Cara Penyebaran

Botnet 911 S5 berjaya merompak begitu banyak alamat IP melalui gabungan taktik dan strategi berikut:

Pengedaran Perisian Berbahaya: Botnet menyebarkan perisian berbahaya melalui program VPN percuma seperti Mask VPN dan Dew VPN, serta melalui versi palsu perisian sah. Ini membolehkannya menginfeksi pelbagai peranti, termasuk komputer Windows kediaman dan peranti yang terhubung ke rangkaian perniagaan dan sekolah.

Jangkauan Global: Botnet menginfeksi peranti di hampir 200 negara, dengan lebih daripada 613,000 alamat IP yang disandera hanya di Amerika Syarikat sahaja. Jangkauan global ini membolehkannya menyerang banyak peranti dan membuat rangkaian alamat IP yang disandera secara massif.

Perkhidmatan Proksi Kediaman: Botnet beroperasi sebagai perkhidmatan proksi kediaman yang jahat, membolehkan penjenayah siber membeli akses ke alamat IP yang terinfeksi dan menggunakannya untuk menyembunyikan lokasi dan identiti sebenar mereka. Ini membolehkan mereka terlibat dalam pelbagai aktiviti haram, termasuk penipuan kewangan, serangan siber, dan eksploitasi kanak-kanak.

Infrastruktur Pelayan: Botnet mempunyai infrastruktur pelayan yang penting, dengan kira-kira 150 pelayan khusus di seluruh dunia, 76 daripadanya disewa dari pembekal berpangkalan di Amerika Syarikat. Pelayan ini digunakan untuk menyebarkan dan menguruskan aplikasi, mengawal dan mengawal peranti yang terinfeksi, dan memberi pelanggan yang membayar akses ke alamat IP yang disandera.

Akses Pintu Belakang yang Kekal: Perisian berbahaya yang disebarkan oleh botnet direka untuk mewujudkan akses pintu belakang yang kekal ke peranti yang terinfeksi. Ini membolehkan botnet mengekalkan kawalan terhadap peranti yang terinfeksi walaupun jangkitan asal dideteksi dan dikeluarkan.

Menyasar Pekerja Jauh: Botnet menyerang peranti yang terhubung ke rangkaian perniagaan dan sekolah, yang sering digunakan oleh pekerja jauh. Ini meningkatkan kemungkinan jangkitan dan membolehkan botnet menyebar dengan lebih mudah.

Penggunaan VPN: Botnet menggunakan VPN untuk menyebarkan perisian berbahaya dan membuat rangkaian peranti yang terinfeksi. VPN digunakan untuk melepasi langkah-langkah keselamatan dan membuat sambungan yang selamat bagi penjenayah siber untuk mengakses peranti yang terinfeksi.

Ketidakwujudan Langkah-langkah Keselamatan: Botnet mengeksplorasi ketidakwujudan langkah-langkah keselamatan yang kukuh pada banyak peranti, terutamanya yang terhubung ke rangkaian perniagaan dan sekolah. Ini menjadikan ia lebih mudah bagi botnet untuk menyebar dan mengekalkan kawalan terhadap peranti yang terinfeksi.

Dengan menggabungkan taktik ini, botnet 911 S5 berjaya menginfeksi lebih daripada 19 juta alamat IP dan memfasilitasi pelbagai aktiviti haram.

Strategi Cadangan 3-2-1

Untuk melaksanakan strategi cadangan 3-2-1 yang tahan lama, ikuti langkah-langkah berikut:

Menyimpan Tiga Salinan Data Anda:

  • Pastikan anda mempunyai sekurang-kurangnya tiga salinan data anda, termasuk data utama anda dan dua salinan sandaran. Redundansi ini mengurangkan risiko kehilangan data secara kekal. Simpan Salinan Anda di Dua Media Penyimpanan yang Berbeza:
  • Pelbagaikan penyimpanan anda dengan menyimpan salinan dalam sekurang-kurangnya dua format atau media yang berbeza. Sebagai contoh, simpan satu salinan pada cakera keras luaran fizikal dan yang lain dalam awan. Ini melindungi daripada jenis kegagalan tertentu. Simpan Sekurang-kurangnya Satu Salinan di Luar Tapak:
  • Simpan satu salinan sandaran di lokasi luar tapak, jauh dari tempat anda membuat dan mengekalkan data utama anda. Ini melindungi daripada bahaya fizikal seperti bencana semula jadi atau pencurian yang boleh merosakkan tapak utama anda. Gunakan Penyimpanan Yang Tidak Boleh Diubah atau Air-Gapped:
  • Pastikan sekurang-kurangnya satu salinan sandaran disimpan dalam penyimpanan yang tidak boleh diubah atau air-gapped untuk mengekalkan integriti dan ketersediaan data penting. Sandaran tidak boleh diubah melindungi daripada serangan ransomware dan memastikan keaslian salinan sandaran. Uji dan Sahkan Sandaran Secara Berkala:
  • Sahkan bahawa sandaran anda adalah terkini dan berfungsi dengan menjalankan prosedur pemulihan sekurang-kurangnya sekali setahun. Ujian berkala memastikan bahawa sandaran anda adalah boleh dipercayai dan boleh digunakan secara berkesan dalam kes kehilangan data.

Dengan mengikuti langkah-langkah ini dan menyertakan strategi cadangan 3-2-1 ke dalam rancangan perlindungan data anda, anda dapat meningkatkan ketahanan sandaran anda dan memastikan ketersediaan dan integriti data penting anda dalam kes bencana atau kehilangan data.

Rujukan

Google | | Bing | | Pixabay | | Veritas | | Kaluari | | Corvusinsurance | | Veritas | | Westerndigital | | Scmagazine | | Infosecurity-Magazine | | Io | | Digitalassetredemption | | Malwarebytes | | Fbi Gov | | Treasury Gov | | Malwarebytes | | Securityweek | | The Hacker News | | Researchgate Net | | Threatx | | Threatstop | | Humansecurity | | Geeksf Eeks | | Intelli Paat | | Net | | Tutorchase | | Xenonstack | | Tuwien Ac At | | Indusface | | Reddit | | Co | | Co Uk | | Mimecast | |

Related Posts

Translate ยป