Lord777
Professional
- Messages
- 2,579
- Reaction score
- 1,471
- Points
- 113
Ботнет - это сеть компьютеров, зараженных вредоносным ПО, которая позволяет злоумышленнику - ботмастеру - управлять ими удаленно. Зараженные компьютеры - боты - обмениваются данными с командным сервером (C&C) для получения своих приказов. Вариантов использования ботов слишком много, чтобы перечислять их здесь, но обычно они включают:
Ограниченное предложение канадских ботов
Мы наблюдаем за таким рынком в течение нескольких месяцев и хорошо понимаем, как работают такие рынки.
Наше первое открытие заключается в том, что ежедневное предложение новых канадских ботов на этом крупном рынке кажется очень низким и составляет двузначные, если не однозначные числа в день. Это говорит о том, что рыночные продавцы не могут заразить множество ботов в Канаде - хорошие новости! - или что они оставляют зараженных ботов для себя. На графике ниже показано количество новых ботов, выставленных на продажу на рынке за неделю в январе.
Рисунок 1. Количество новых канадских ботов, выставленных на продажу в день
Наш второй вывод заключается в том, что, хотя в Канаде продается много ботов, продавцы выставляют старые боты вместе с новыми, чтобы было похоже, что для покупки доступны тысячи. Однако есть только ограниченное подмножество ботов, которые можно считать свежими, что означает, что они были недавно заражены и, вероятно, все еще находятся под контролем ботмастера. На графике ниже представлено распределение ботов на продажу в зависимости от даты заражения. Поскольку наш сбор данных охватывал первые недели января, в 2021 году было заражено всего несколько сотен ботов. Большинство ботов были заражены в 2018 и 2019 годах, а не в 2020 году, как мы ожидали. Эти старые боты представляют собой слабую ценность для злоумышленников, поскольку они, скорее всего, больше не будут находиться под контролем бот-мастеров.
Рисунок 2. Распределение ботов в зависимости от года заражения.
Как оцениваются боты
Похоже, что вендоры основывают цену канадских ботов на дату их заражения. Когда все данные учтены, общая средняя цена канадского бота составляет 9 долларов. Однако боты, которые были недавно обновлены, получают среднюю цену в 35 долларов, а боты, обновленные в 2019 году, получают низкую среднюю цену в 5 долларов. Максимальная цена обновленного бота в 2021 году - 350 долларов. Эти цифры предполагают, что канадских ботов можно купить менее чем за 100 долларов.
Рисунок 3. Распределение цен канадских ботов на основе последнего обновления.
Распределение цен предполагает, что злоумышленники могут рискнуть и заплатить низкую цену за бота, который не обновлялся годами, с вероятной более низкой выплатой. Они также могут обратиться к более дорогому боту, который недавно был заражен, по более высокой цене.
Спрос и предложение на канадских ботов
С ограниченным предложением канадских ботов и потенциальным высоким вознаграждением за аренду бота мы были удивлены, обнаружив, что цена ботов в среднем составляла десятки долларов. Это делает ботов относительно дешевым товаром, который может быть куплен широким кругом злоумышленников.
Наш анализ показывает, насколько злоумышленники уделяют внимание свежести ботов, которых они ищут. Боты, которые были заражены несколько месяцев назад, теряют большую часть своей ценности. Это говорит о том, что бот-мастера должны постоянно расширять свой ботнет, иначе его ценность со временем будет быстро снижаться. Это также говорит о том, что бот-мастера могут вкладывать больше энергии в заражение новых ботов, а не на поддержание тех, которые они уже контролируют. Это снижает вероятность того, что компьютеры, зараженные давным-давно, будут подвергнуты тщательному изучению и станут жертвами не меньше, чем недавно зараженные.
Наконец, квалификация, по-видимому, является основным фактором высоких цен. Боты позволяют захватить учетную запись, что является слишком распространенным и опасным инцидентом. Боты могут красть имена пользователей и пароли, но менее вероятно, что они будут иметь доступ к аутентификации второго фактора, такой как SMS или приложение Authenticator. Это серьезное напоминание о важности включения многофакторной аутентификации для служб, особенно когда речь идет о конфиденциальных учетных записях, таких как электронная почта и корпоративные учетные записи.
- Кража конфиденциальной и финансовой информации
- Кража учетных данных
- Рассылка спама
- Ботнет распространяется на другие машины в локальной сети или в Интернете.
Ограниченное предложение канадских ботов
Мы наблюдаем за таким рынком в течение нескольких месяцев и хорошо понимаем, как работают такие рынки.
Наше первое открытие заключается в том, что ежедневное предложение новых канадских ботов на этом крупном рынке кажется очень низким и составляет двузначные, если не однозначные числа в день. Это говорит о том, что рыночные продавцы не могут заразить множество ботов в Канаде - хорошие новости! - или что они оставляют зараженных ботов для себя. На графике ниже показано количество новых ботов, выставленных на продажу на рынке за неделю в январе.
Рисунок 1. Количество новых канадских ботов, выставленных на продажу в день
Наш второй вывод заключается в том, что, хотя в Канаде продается много ботов, продавцы выставляют старые боты вместе с новыми, чтобы было похоже, что для покупки доступны тысячи. Однако есть только ограниченное подмножество ботов, которые можно считать свежими, что означает, что они были недавно заражены и, вероятно, все еще находятся под контролем ботмастера. На графике ниже представлено распределение ботов на продажу в зависимости от даты заражения. Поскольку наш сбор данных охватывал первые недели января, в 2021 году было заражено всего несколько сотен ботов. Большинство ботов были заражены в 2018 и 2019 годах, а не в 2020 году, как мы ожидали. Эти старые боты представляют собой слабую ценность для злоумышленников, поскольку они, скорее всего, больше не будут находиться под контролем бот-мастеров.
Рисунок 2. Распределение ботов в зависимости от года заражения.
Как оцениваются боты
Похоже, что вендоры основывают цену канадских ботов на дату их заражения. Когда все данные учтены, общая средняя цена канадского бота составляет 9 долларов. Однако боты, которые были недавно обновлены, получают среднюю цену в 35 долларов, а боты, обновленные в 2019 году, получают низкую среднюю цену в 5 долларов. Максимальная цена обновленного бота в 2021 году - 350 долларов. Эти цифры предполагают, что канадских ботов можно купить менее чем за 100 долларов.
Рисунок 3. Распределение цен канадских ботов на основе последнего обновления.
Распределение цен предполагает, что злоумышленники могут рискнуть и заплатить низкую цену за бота, который не обновлялся годами, с вероятной более низкой выплатой. Они также могут обратиться к более дорогому боту, который недавно был заражен, по более высокой цене.
Спрос и предложение на канадских ботов
С ограниченным предложением канадских ботов и потенциальным высоким вознаграждением за аренду бота мы были удивлены, обнаружив, что цена ботов в среднем составляла десятки долларов. Это делает ботов относительно дешевым товаром, который может быть куплен широким кругом злоумышленников.
Наш анализ показывает, насколько злоумышленники уделяют внимание свежести ботов, которых они ищут. Боты, которые были заражены несколько месяцев назад, теряют большую часть своей ценности. Это говорит о том, что бот-мастера должны постоянно расширять свой ботнет, иначе его ценность со временем будет быстро снижаться. Это также говорит о том, что бот-мастера могут вкладывать больше энергии в заражение новых ботов, а не на поддержание тех, которые они уже контролируют. Это снижает вероятность того, что компьютеры, зараженные давным-давно, будут подвергнуты тщательному изучению и станут жертвами не меньше, чем недавно зараженные.
Наконец, квалификация, по-видимому, является основным фактором высоких цен. Боты позволяют захватить учетную запись, что является слишком распространенным и опасным инцидентом. Боты могут красть имена пользователей и пароли, но менее вероятно, что они будут иметь доступ к аутентификации второго фактора, такой как SMS или приложение Authenticator. Это серьезное напоминание о важности включения многофакторной аутентификации для служб, особенно когда речь идет о конфиденциальных учетных записях, таких как электронная почта и корпоративные учетные записи.
