Ett botnet är ett nätverk av datorer som styrs av en och samma angripare. Angriparen har infekterat datorerna med malware, och kan nu styra dessa datorer precis som den vill.
Ordet botnet kommer från bot – robot och net – nätverk. Datorerna används som robotar i ett stort nätverk. Botnets kan bli otroligt stora och användas i stora cyberattacker såsom distribution av skadlig kod eller DDoS-attacker.
Hur fungerar botnets?
Botnets är utformade för att öka effektiviteten av en attack. Med ett botnet kan attacken växa i snabbare takt, men också utföras snabbare och automatiskt. Det gör att hackern kan utföra större attacker än om den bara använt sina egna enheter.
Hackare bakom botnets kallas bot hoarders, bot masters eller bot spreaders. De styr sitt botnet med en styrande nod.
En nod är vad man kallar en slutpunkt eller förgrening i ett datornätverk. I det här fallet är noden den slutpunkten som styr botnätet.
Bottarna i ett botnet kallas ibland för zombies. De är ofta ovetande om att de drabbats av malware.
Vad används botnets till?
Botnets kan användas för att stjäla pengar eller information, sabotera tjänster med DDoS-attacker, för kryptomining eller för att stjäla åtkomst och sälja vidare.
Hur många bottar finns i ett botnet?
Antalet bottar eller zombies i ett botnet varierar kraftigt beroende på vad målet med attacken som ska utföras är. Ju fler bottar nätverket innehåller, desto större skada kan göras.
Hur skapas botnets?
För att bygga ett botnet finns det vissa steg som hackern följer.
- En server skapas. För att skapa ett botnet måste hackern ställa in en server att styra botnätet ifrån. Detta är vanligtvis en webbapplikation byggd ovanpå en LAMP-miljö som använder PHP och MySQL.
- En bot builder införskaffas. Hackern behöver en så kallad “bot builder” vars jobb är att packa malware (skadligt programvara) med serverns adress. Kits för att bygga botnets finns att köpa färdigt på darknet som SaaS (Software as a Service). ICE9 (Ice IX) och Neutrino är två exempel.
- Sprida den skadliga programvaran i exempelvis nätfisk-mail som innehåller malware. Vissa botnets kan sprida sig själva. De söker nätet efter sårbara internetanslutna enheter som saknar vissa operativsystemuppdateringar eller antivirusprogram. Oavsett tar botnets tid att växa.
Sårbara enheter
Botnets kan drabba nästan alla enheter som är kopplade enhet-till-enhet eller till internet. Allt från stationära datorer till kylskåp med WiFi. Det är kanske svårt att tänka sig sin kaffebryggare vara en del av ett stort cyberbrott men med IoT (Internet of Things) händer det oftare än vi tror.
Hur kontrolleras botnets?
Serverkällan som hackern sätter upp kallas command-and-control (C&C) och bottarna får kommandon från den. Det finns två olika tillvägagångssätt att sprida kommandon på: centraliserade klientservermodeller och decentraliserade peer-to-peer (P2P) modeller.
Centraliserad klientservermodell
Med den här metoden skickas alla kommandon från hackern som högst upp i en hierarki. Kommandot skickas i både centraliserade och proxybaserade hierarkier. Det gör dock att den som försöker stoppa attacken kan följa hierarkin uppåt och tillslut hitta den som ursprungligen startat attacken.
Decentraliserad peer-to-peer (P2P) modell
Det här är det vanligaste sättet för hackers att sprida kommandon till sina bottar på. Det är via P2P modeller. Det innebär att alla enheter behandlas lika. Då sprids kommandona mellan datorerna utan att det går att spåra vilken av dem som startat attacken.
Är botnets olagligt?
Att ha ett botnet är egentligen inte olagligt i sig. Om det är enheter som du äger eller har tillåtelse att kontrollera så är det bara ett nätverk av datorer.
Men, att installera malware på någon annans enhet utan lov är olagligt. Att sedan använda enheterna för att utföra andra olagliga handlingar är givetvis också olagligt.
Olika sorters botnet-attacker
Botnets används oftast som verktyg i cyberattacker och det här är några av de mest förekommande:
- Distributed Denial-of-Service (DDoS)
Med DDoS-attacker är målet att överösa ett specifikt datasystem med stora mängder datatrafik som skickas från olika enheter. Målet med attacken är att det drabbade datasystemet inte ska kunna fungera som det ska och förhoppningsvis stängas ner helt och hållet.
- Nätfiske
Vid en nätfiskeattack uppger sig angriparen att vara en pålitlig avsändare för att lura till sig pengar, information eller åtkomst.
Med ett botnet kan många avsändare bidra till en storskalig skräppostkampanj för att lura mottagarna. Det blir svårare att blockera då mailen inte kommer från en och samma avsändare.
- Brute Force-attacker
Vid en brute force-attack körs program som är utformade för att bryta sig in på webbkonton med våld. Ordboksattacker och uttömmande attacker kan användas med botnets för att utnyttja svaga användarlösenord och snabbt få åtkomst till data.
Sälja och hyra botnets
På darknet är botnets en handelsvara. Du kan köpa eller hyra ett färdigt botnet som är redo att användas för ditt ändamål. Du betalar per timme eller per dygn, beroende på vad målet med attacken är.
Det innebär att de med väldigt lite teknisk kunskap ändå kan utnyttja kraften av ett botnet.
Botnets historia
Sedan den första kända attacken med ett botnet genomfördes år 2000, så har det funnits en del stora botnets som utfört kända attacker mot såväl företag som privatpersoner. Några av de mest välkända går vi igenom här:
EarthLink Spammer – 2000
Den första, stora attacken med ett botnet inträffade år 2000 styrt av Khan K. Smith. Hans botnet skickade över 1,25 miljoner nätfiske-emails under drygt ett års tid. Målet med attacken var att lura mottagarna till att uppge bankuppgifter.
Han lyckades till viss del och tjänade minst 3 miljoner dollar. Han blev dock tillslut stämd på 25 miljoner dollar.
Conficker – 2008
Conficker upptäcktes först i oktober 2008 och är den mest ökända och största i historien hittills. Conficker infekterade miljontals av datorer. Det drabbade bland att myndigheter, företag och privatpersoner i över 190 olika länder.
Mirai – 2016
Mirai är ett av de mest kända attackerna genom tiderna. Det var en DDoS-attack som inträffade 2016. Det var den allra första attacken med ett botnet som utnyttjade IoT-enheter (Internet of Things), som trådlösa routrar.
Totalt drabbades över 600 000 enheter. Mirai chockade världen då det slog ut en en stor del av internet på USA:s östkust. Bakom attacken låg ett gäng collegeelever vars mål var att vinna fördelar i Minecraft.
Så skyddar du dig mot botnets
Nu när du vet hur botnets fungerar kommer här vissa saker du kan göra för att skydda dig mot botnets:
- Undvik att köpa enheter med svag säkerhet. Allt som är kopplat enhet-till-enhet eller till internet bör ha möjligheten att skyddas med ett lösenord du själv kan välja.
- Använd starka lösenord även på dina smarta enheter, som smarta kylskåp och Bluetooth-utrustade fordon.
- Kolla igenom administratörinställningarna på alla dina enheter. Kontrollera alla möjliga integritets- och säkerhetsalternativ på allt som ansluter enhet-till-enhet eller till internet.
- Uppdatera dina operativsystem. De har inbyggda skydd mot malware.
- Öppna inte bifogade filer i mail som du inte vet är säkra.
- Ladda inte ner någonting från hemsidor där du inte är säker på är ursprungssidan.
- Klicka inte på misstänksamma länkar i mail, ens från personer du litar på. De kan också ha drabbats och då skickas malware vidare från deras e-postadress. Klicka inte heller på misstänksamma länkar på hemsidor eller annonser, såsom pop-up.
- Skaffa ett bra antivirusprogram kan ge dig bra skydd mot all sorts malware.
Sammanfattning
Ett botnet är ett nätverk av datorer. Datorerna kan vara alla de enheter som är kopplade enhet-till-enhet eller till internet, även IoT-enheter, som ett smart kylskåp eller kaffebryggare. Det gör att det är lättare än någonsin för hackern bakom attacken att samla så kallade bottar.
Bottarna är alla de olika enheter som tillsammans bildar ett botenet. Hackern kallas bot hoarders, bot masters eller bot spreaders och styr sitt botnet med en styrande nod via antingen centraliserade klientservermodeller eller decentraliserade peer-to-peer (P2P) modeller.
Ett botnet skapas genom att:
- En server skapas.
- En bot builder införskaffas.
- Spridning av den skadliga programvaran.
Botnets som används för att genomföra större cyberattacker är olagligt, men det går att köpa eller hyra botnets på darknet.
Botnet används för att stjäla pengar eller information, sabotera servrar, för kryptomining eller för att stjäla åtkomst och sälja till andra.
Några kända attacker som genomförts med botnets genom tiderna är EarthLink Spammer – 2000, Conficker – 2008 och Mirai – 2016.
Du kan skydda dig mot botnets genom att:
- Undvika att köpa enheter med svag säkerhet.
- Använd starka lösenord även på dina smarta enheter.
- Kolla igenom admininställningar.
- Uppdatera dina operativsystem.
- Öppna inte bifogade filer i mail.
- Ladda inte ner någonting från okända hemsidor.
- Klicka inte på misstänksamma länkar.
- Skaffa ett bra antivirus program.