Botnet-ul este un sistem de dispozitive interconectate prin Internet, fiecare dintre acestea rulează unul sau mai mulți roboți. Botnet-ul poate fi utilizat pentru a efectua un atac DDoS, pentru furtul de date[1], distribuirea de spam și permite atacatorului să acceseze dispozitivul și conexiunea acestuia. Proprietarul botnet-ului poate controla boții utilizând software-ul de comandă și control (C&C).[2] Cuvântul „botnet” este o combinație dintre cuvintele „robot” și „rețea”. Termenul este de obicei utilizat cu o conotație negativă sau rău intenționată.

Diagrama botnet Stacheldraht care arată un atac DDoS. (Rețineți că acesta este, de asemenea, un exemplu de tip client-server al unei botnet.)

Prezentare generală

modificare

Un botnet este o colecție logică de dispozitive conectate la Internet, cum ar fi computerul, smartphone-ul sau dispozitive IoT a căror securitate a fost compromisă deja, putând fi controlată de o a treia parte. Dispozitivul compromis este cunoscut sub numele de "bot", compromiterea dispozitivului este realizată atunci când dispozitivul este pătruns de software-ul dintr-o distribuție malware (software rău intenționat). Controlerul unei botnet este capabil să direcționeze activitățile acestor computere compromise prin canale de comunicare formate din protocoale de comunicații standarde, cum ar fi IRC și Hypertext Transfer Protocol (HTTP).[3] [4]

Închirierea de boți se practică din ce în ce mai mult de către infractorii cibernetici pentru diverse scopuri.[5]

Arhitectură

modificare

Arhitectura Botnet-ului a evoluat de-a lungul timpului într-un efort de a nu fi detectat și perturbat. În mod tradițional, programele bot sunt construite drept program client care comunică prin servere existente. Acest lucru permite bot herder-ului (persoana care controlează bot-ul) să controleze programul de la distanță.[6] Boți mai recenți se bazează pe rețele existente peer-to-peer pentru a comunica. Aceste programe bot P2P efectuează aceleași acțiuni ca modelul server-client, dar nu necesită un server central pentru a comunica.

Modelul client-server

modificare
 
O rețea bazată pe modelul client-server, în care clienții individuali solicită servicii și resurse de la servere centralizate

Primii boți de pe internet au folosit un model client-server pentru a-și îndeplini sarcinile. În mod obișnuit, aceste boți funcționează prin intermediul rețelelor de comunicare IRC, domenii sau site-uri web. Clienții infectați accesează o locație predeterminată și așteaptă comenzi primite de la server. Bot herder-ul trimite comenzi către server, care le transmite clienților. Clienții execută comenzile și își raportează rezultatele înapoi la bot herder.

În cazul boți-lor IRC, clienții infectați se conectează la un server IRC infectat și se alătură unui canal pre-desemnat pentru C&C de către herder-ul bot. Bot herder trimite comenzi către canal prin intermediul serverului IRC. Fiecare client preia comenzile și le execută. Clienții trimit mesaje înapoi la canalul IRC cu rezultatele acțiunilor lor. [6]

Peer-to-peer (de la persoană la persoană)

modificare
 
O rețea peer-to-peer (P2P) în care nodurile interconectate („peer”) împărtășesc resurse între ele fără utilizarea unui sistem administrativ centralizat

Ca răspuns la eforturile de detectare și decapitare a boți-lor IRC, botnet-ul a început sa se folosească de comunicarea peer-to-peer. Acești roboți pot utiliza semnături digitale, astfel încât numai cineva cu cheia privată poate controla bot-ul.[7]

Boți mai noi funcționează pe deplin prin rețelele P2P. În loc să comunice cu un server centralizat, roboții P2P funcționează atât ca server de distribuție de comenzi, cât și ca client care primește comenzi. [8] Acest lucru evită să aibă un singur punct de eșec, ceea ce este o problemă pentru boții centralizați la un server.

Pentru a găsi mașini infectate, botul sondează discret adrese IP aleatorii până când contactează o altă mașină infectată. Botul contactat răspunde cu informații, cum ar fi versiunea software și lista de roboți cunoscuți. Dacă unul dintre versiunile de roboți este mai mic decât celălalt, va iniția un transfer de fișiere pentru actualizare. [7] În acest fel, fiecare bot își dezvoltă lista de mașini infectate și se actualizează prin comunicarea periodică a tuturor roboților cunoscuți.

Componentele de bază

modificare

Un inițiator de botnet (cunoscut sub numele de "bot herder" sau "bot master") controlează de la distanță bot-ul. Aceasta este cunoscută sub numele de comandă și control (C&C). Programul trebuie să comunice printr-un canal ascuns pe mașina victimei (computer zombii).

Protocoale de control

modificare

IRC este un mijloc de C&C datorită protocolului său de comunicare. Un bot herder creează un canal IRC pentru clienții infectați să se alăture. Mesajele trimise către canal sunt transmise tuturor membrilor canalului. Herder-ul poate seta subiectul canalului să comande bot-ul. De exemplu mesajul :herder!herder@example.com TOPIC #channel DDoS www.victim.com de la bot herder avertizează toți clienții infectați aparținând la #channel pentru a începe un atac DDoS pe site-ul www.victim.com. Un exemplu de răspuns :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com către un client bot avertizează botul că a început atacul.[7]

Unii boți implementează versiuni personalizate ale unor protocoale binecunoscute. Diferențele de implementare pot fi utilizate pentru detectarea boți-lor. De exemplu, Mega-D dispune de o implementare SMTP ușor modificată pentru testarea capacității de spam. Deconectarea serverului SMTP de la Mega-D dezactivează întregul set de roboți care se bazează pe același server SMTP . [9]

Calculator zombi

modificare

În informatică, un computer zombi este un computer conectat la Internet care a fost compromis de un hacker, virus informatic sau cal troian și poate fi controlat de la distanta pentru a efectua sarcini rău intenționate de diferite feluri. Boții de pe calculatoarele zombi sunt adesea folosite pentru a răspândi mesaje spam prin e-mail și pentru a lansa atacuri denial-of-service. Majoritatea proprietarilor de calculatoare zombi nu știu că sistemul lor este utilizat în acest mod. Deoarece proprietarul tinde să nu știe, aceste computere sunt metaforic zombi. Un atac DDoS coordonat de mai multe mașini de botnet seamănă și cu un atac de hoardă zombi. Mulți utilizatori de computere nu știu că computerul lor este infectat de botnet. [10]

Procesul de sustragere a resurselor de calcul ca urmare a unui sistem alăturat unui "botnet" este uneori denumit "scrumping". [11]

Comanda și control

modificare

Protocoalele de comandă și control Botnet (C&C) au fost implementate în diferite moduri, de la abordări IRC tradiționale la versiuni mai sofisticate.

Boții Telnet utilizează un protocol de botnet C&C simplu în care roboții se conectează la serverul principal de comandă pentru a găzdui bot-ul. Boții sunt adăugați la botnet folosind un script de scanare, scriptul de scanare este rulat pe un server extern și scanează intervalele IP pentru autentificările implicite ale serverului telnet și SSH. După ce a fost găsită o autentificare, aceasta este adăugată la o listă de infecții și infectată cu o linie dăunătoare prin SSH de pe serverul scanerului. Când se execută comanda SSH, infectează serverul și comandă serverul să facă ping pe serverul de control și devine sclavul său din codul rău intenționat care îl infectează. Odată ce serverele sunt infectate pe server, controlerul bot poate lansa atacuri DDoS de volum mare folosind panoul C&C de pe serverul gazdă.

Rețelele IRC utilizează metode de comunicare simple, cu lățime de bandă simplă, ceea ce le face utilizate pe scară largă pentru a găzdui boții. Acestea tind să fie relativ simple în construcții și au fost utilizate cu un succes moderat pentru coordonarea atacurilor DDoS și a campaniilor spam, în timp ce sunt capabile să comute în permanență canalele pentru a a supraviețuii. Cu toate acestea, în unele cazuri, simpla blocare a anumitor cuvinte cheie s-a dovedit eficientă în stoparea boți-lor bazate pe IRC. Standardul RFC 1459 (IRC) este popular în rândul botneții-lor. Primul script cunoscut pentru controlorul de botneti, "MaXiTE Bot", folosea protocolul IRC XDCC pentru comenzile de control privat.

O problemă cu utilizarea IRC este că fiecare client bot trebuie să cunoască serverul, portul și canalul IRC pentru a fi de folos. Organizațiile anti-malware pot detecta și închide aceste servere și canale, oprind atacul botnet. Dacă se întâmplă acest lucru, clienții rămân încă infectați, dar, de obicei, stau în stare latentă, deoarece nu au niciun fel de a primi instrucțiuni.[7] Pentru a atenua această problemă, botnet-ul poate conține mai multe servere sau canale. Dacă unul dintre servere sau canale devine dezactivat, botnet-ul trece pur și simplu la altul. Este încă posibil să detectați și să perturbați serverele sau canalele botnet suplimentare prin urmărirea traficului IRC. Un adversar de botnet poate chiar să dobândească cunoștințe despre schema de control și să imite botul prin emiterea de comenzi corecte. [12]

Deoarece majoritatea boților care folosesc rețele IRC și domenii pot fi oprite cu timpul, hackerii s-au mutat la boți P2P cu C&C ca o modalitate de a îngreuna eliminarea.

Unii au folosit, de asemenea, criptarea ca o modalitate de a proteja sau de a bloca boții de la alții. Criptarea cel mai des utilizată este criptografie cu cheie asimetrică și a prezentat provocări atât în implementarea ei, cât și în spargerea ei.

Multi boți de mărimi mari tind să folosească domenii mai degrabă decât canalele IRC (a se vedea botnet Rustock și Srizbi). De obicei sunt găzduite cu ajutorul serviciilor de hosting bulletproof. Acesta este unul dintre primele tipuri de C&C utilizat. Un computer zombi accesează o pagină web sau domenii special concepute care servește lista comenzilor de control. Avantajele utilizării paginilor web sau domeniilor ca C&C este că un botnet de dimensiune mare poate fi controlat și întreținut eficient cu ajutorul unui cod foarte simplu care poate fi actualizat ușor.

Dezavantajele utilizării acestei metode sunt că folosește o cantitate considerabilă de lățime de bandă la scară largă, iar domeniile pot fi confiscate rapid de către agențiile guvernamentale fără prea multe probleme sau eforturi. Dacă domeniile care controlează boții nu sunt confiscate, acestea sunt ținte atacurilor DDoS.

Fast-flux DNS este utilizat ca o modalitate de a îngreuna urmărirea și închiderea serverelor de control, care se pot schimba de la o zi la alta. Serverele de control pot, de asemenea, să treacă de la domeniul DNS la alt domeniul DNS, cu ajutorul unor algoritmii de generare a domeniului, se creează DNS-uri noi pentru server-ul de control.

Unii boți folosesc servicii de găzduire DNS gratuite, cum ar fi DynDns.org, No-IP.com și Afraid.org, pentru a-i comunica un subdomeniu server-ului IRC care adăpostește roboții. În timp ce aceste servicii DNS gratuite nu găzduiește în sine atacurile, acestea oferă puncte de referință (adesea cu coduri grele în executabilul botnet). Înlăturarea acestor servicii poate elimina o întreagă rețea botnet.

Apelarea la mari site-uri de socializare cum ar fi GitHub,[13] Twitter,[14] [15] Reddit,[16] Instagram,[17] Protocolul de mesaje instantanee open source XMPP [18] și serviciile ascunse Tor [19] sunt modalități populare de evitare a filtrării pentru comunicarea cu server-ul C&C.[20]

Construcție

modificare

Tradițional

modificare

Acest exemplu ilustrează modul în care botnet-ul este creat și folosit rău intenționat.

  1. Un hacker cumpără sau construiește un malware/troian pentru a infecta calculatoarele utilizatorilor, a căror sarcină utilă este o aplicație dăunătoare - bot .
  2. Bot-ul instruiește PC-ul infectat să se conecteze la un anumit server de comandă și control (C&C). (Acest lucru permite atacatorului să primească rapoarte despre boți, câți sunt activi și online, etc.)
  3. Botmaster-ul poate utiliza botul pentru a înregistra apăsarea tastelor sau poate fura datele introduse în formularele online, pentru a efectua un atac DDoS, spam sau să direcționeze trafic pe anumite siteuri online pentru un profit.
  4. Valoarea roboților este funcție de calitatea și capacitatea lor

Boții mai noi pot scana automat mediul și se pot propaga folosind vulnerabilități și parole slabe. În general, cu cât sunt mai multe vulnerabilități prin care un bot poate să scaneze și să se propage, cu atât mai valoros devine pentru o comunitate de control.[21]

Calculatoarele pot fi cooptate într-un botnet atunci când execută software rău intenționat. Acest lucru se poate realiza prin atragerea utilizatorilor în efectuarea unei descărcări drive-by, prin exploatarea vulnerabilităților browser-ului web sau prin păcălirea utilizatorului în executarea unui program de cal Troian, care poate proveni dintr-un atașament primit pe e-mail. Acest malware va instala de obicei module care să permită computerului să fie comandat și controlat. După ce software-ul este descărcat, acesta va "suna acasă" (trimite un pachet de reconectare) către computerul gazdă. Când se face re-conexiunea, în funcție de modul în care este scris, un troian poate apoi să se șteargă sau poate rămâne prezent pentru a actualiza și întreține modulele.

În unele cazuri, bot-ul poate fi creat temporar de hacktiviști voluntari, cum ar fi cu implementările Low Orbit Ion Cannon așa cum au fost utilizate de către membrii 4chan în timpul proiectului Chanology în 2010. [22]

Marele tun al Chinei permite modificarea traficului legitim de navigare pe internet în bazele de internet ale Chinei pentru a crea un bot efemeră mare pentru a ataca ținte mari, cum ar fi GitHub, în 2015 [23]

Aspecte comune

modificare
  • Cei mai multi boți în prezent sunt pentru atacuri DDoS în care mai multe sisteme depun cât mai multe solicitări unui singur computer sau serviciu Internet, supraîncărcându-l și împiedicându-l să furnizeze cereri legitime. Un exemplu este un atac asupra serverului victimei. Serverul victimei este bombardat cu solicitări de către roboți, încercând să se conecteze la server, prin urmare, supraîncărcându-l.
  • Spyware- ul este un software care trimite informații creatorilor săi despre activitățile unui utilizator - de obicei parole, numere de cărți de credit și alte informații care pot fi vândute pe piața neagră. Mașinile compromise care sunt amplasate într-o rețea corporativă pot valora mai mult pentru bot, deoarece acesta poate obține adesea acces la informații corporative confidențiale. Mai multe atacuri vizate asupra marilor corporații au urmărit furtul de informații sensibile, cum ar fi botnetul Aurora. [24]
  • Spam-urile prin e-mail, sunt mesaje de e-mail deghizate în mesaje legitime, dar sunt fie publicitate, enervante, fie rău intenționată.
  • Fraudă a clicurilor apare atunci când computerul utilizatorului vizitează site-urile web fără a conștientiza utilizatorul pentru a crea trafic web fals pentru un câștig personal sau comercial. [25]
  • Mineritul Bitcoin a fost introdus în unii din cei mai recenți botneti pentru a genera profituri pentru operatorul botnet-ului. [26] [27]
  • Răspândire de sine, funcționalitate de a cauta instrucțiuni de comandă (CNC) care conține dispozitive sau rețele direcționate, pentru a se răspândii, este de asemenea observată în mai multi boți. Unii dintre ei folosesc această funcție pentru a automatiza infecțiile lor.

Comunitatea controlorilor de botnet prezintă o luptă constantă și continuă pentru cine are cei mai mulți roboți, cea mai mare lățime de bandă generală și cele mai „de înaltă calitate”, mașini infectate, cum ar fi mașinile universitare, corporative și chiar guvernamentale. [28]

În timp ce boții sunt adesea numiți după malware-ul care le-a creat, mai multi botneti utilizează de obicei același malware, dar sunt operate de entități diferite. [29]

Phishingul

modificare

Boții pot fi utilizate pentru multe escrocherii electronice. Acești boți pot fi utilizați pentru a distribui malware, cum ar fi viruși, pentru a prelua controlul unui computer/software al utilizatorilor obișnuiți [30] Prin preluarea controlului computerului personal al cuiva, acestea au acces nelimitat la informațiile personale, inclusiv parolele și informațiile de conectare la conturi. Aceasta se numește phishing. Phishingul este achiziționarea de informații de conectare la conturile „victimei” cu un link pe care „victima” face clic, unde este trimis prin e-mail sau text.[31] Un sondaj realizat de Verizon a constatat că aproximativ două treimi din cazurile de „spionaj” electronic provin din phishing.[32]

Contramasuri

modificare

Dispersia geografică a boți-lor înseamnă că fiecare recrutare trebuie identificată/corralizată /reparată individual și limitează avantajele filtrării.

Experții în securitate informatică au reușit să distrugă sau să abordeze rețelele de comandă și control malware, prin preluarea serverelor sau scoaterea lor de pe Internet, refuzând accesul la domenii care trebuiau folosite de malware pentru a contacta infrastructura C&C și în unele cazuri, intrarea în rețeaua C&C-ului în sine.[33] [34] [35] Ca răspuns la aceasta, operatorii C&C au apelat la utilizarea tehnicilor precum acoperirea rețelelor C&C pe alte infrastructuri benigne existente, cum ar fi IRC sau Tor, folosind sisteme de rețea peer-to-peer care nu depind de niciun server centralizat și folosesc criptare asimetrica pentru a învinge încercările de a pătrunde sau de a strica rețeaua.

Norton AntiBot s-a adresat consumatorilor, dar vizează mai mult întreprinderile și a ISP-urilor. Poate identifica comportamentul botului care a ocolit software-ul antivirus convențional. Abordările bazate pe rețea tind să utilizeze tehnicile descrise mai sus; închiderea serverelor C&C, înregistrări DNS de rutare nulă sau închiderea completă a serverelor IRC. BotHunter este un software dezvoltat cu sprijinul Biroului de Cercetare al Armatei SUA, care detectează activitatea botnetului în cadrul unei rețele prin analizarea traficului de rețea și compararea acestuia cu tiparele caracteristice proceselor dăunătoare.

Cercetătorii de la Sandia National Laboratories analizează comportamentul botnet-urilor, rulând simultan un milion de nuclee Linux - o scară similară unei botnet - ca mașini virtuale pe un cluster de calculatore de înaltă performanță de 4.480 noduri pentru a emula o rețea foarte mare, permițându-le să urmărească cum boții funcționează și se experimentează modalități de a le opri. [36]

Detectarea atacurilor automate de bot devine din ce în ce mai dificilă în fiecare zi, deoarece generații mai noi și mai sofisticate de roboți sunt lansate de atacatori. De exemplu, un atac automat poate implementa o armată boți și poate aplica metode de forță brută cu nume de utilizator și liste de parole extrem de exacte pentru a intra în conturi. Ideea este de a copleși site-urile cu zeci de mii de solicitări de la IP-uri diferite din întreaga lume, însă fiecare bot depune o singură solicitare la fiecare 10 minute sau cam așa ceva, ceea ce poate duce la peste 5 milioane de încercări pe zi. [37] În aceste cazuri, multe instrumente încearcă să utilizeze detecția volumetrică, dar atacurile bot automatizate au acum modalități de evitare a declanșatorilor de detecție volumetrică.

Una dintre tehnicile de detectare a acestor atacuri bot este cunoscut sub numele de "sisteme bazate pe semnături" în care software-ul va încerca să detecteze tiparele din pachetul de solicitare. Însă atacurile sunt în continuă evoluție, așa că este posibil să nu fie o opțiune bună atunci când modelele nu pot fi percepute de la mii de solicitări. Există, de asemenea, abordarea comportamentală de a distinge roboții și utilizatorii umani. Prin identificarea comportamentului non-uman și recunoașterea comportamentului robot, acest proces poate fi aplicat la nivel de utilizator, browser și rețea.

Cea mai capabilă metodă de utilizare a software-ului pentru a lupta împotriva unui virus a fost utilizarea software-ului de tip momeala pentru a convinge malware-ul că un sistem este vulnerabil. Fișierele dăunătoare sunt apoi analizate folosind software criminalistic. [38]

Pe 15 iulie 2014, Subcomisia pentru crimă și terorism a Comisiei pentru sistemul judiciar, Senatul Statelor Unite, a organizat o audiere cu privire la amenințările reprezentate de botneti și eforturile publice și private de a le perturba și demonta.[39]

Lista istorică de botneți

modificare

Primul botnet a fost recunoscut și expus pentru prima dată de Earthlink în 2001 în timpul unui proces cu spammer-ul, Khan C. Smith[40], pentru spam-ului în cantitate mare, reprezentând aproape 25% din tot spam-ul la momentul respectiv. [41]

În jurul anului 2006, pentru a îngreuna detectarea, unii botneți au fost redusi ca mărime. [42]

Data crearii Data eliminarii Nume botnet număr boți estimați Capacitate Spam (bilioane/zi) Pseudonime
1999 !a 999,999,999 100000 !a
2003 MaXiTE 500-1000 servere 0 MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
Începutul lui 2004 Bagle 230,000 5.7 Beagle, Mitglieder, Lodeight
Marina Botnet 6,215,000 92 Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
Torpig 180,000[43] Sinowal, Anserin
Storm 160,000[44] 3 Nuwar, Peacomm, Zhelatin
2006 Martie 2011 Rustock 150,000[45] 30 RKRustok, Costrat
Donbot 125,000[46] 0.8 Buzus, Bachsoy
2007 Cutwail 1,500,000[47] 74 Pandex, Mutant (related to: Wigon, Pushdo)
2007 Akbot 1,300,000[48]
Martie 2007 Noiembrie 2008 Srizbi 450,000[49] 60 Cbeplay, Exchanger
Lethic 260,000 2 none
Xarvester 10,000 0.15 Rlsloup, Pixoliz
2008 Sality 1,000,000[50] Sector, Kuku
2008 Decembrie 2009 Mariposa 12,000,000[51]
Noiembrie 2008 Conficker 10,500,000+[52] 10 DownUp, DownAndUp, DownAdUp, Kido
2008 Martie 2010 Waledac 80,000[53] 1.5 Waled, Waledpak
Maazben 50,000 0.5 None
Onewordsub 40,000[54] 1.8
Gheg 30,000 0.24 Tofsee, Mondera
Nucrypt 20,000 5 Loosky, Locksky
Wopla 20,000 0.6 Pokier, Slogger, Cryptic
2008 Asprox 15,000[55] Danmec, Hydraflux
0 Spamthru 12,000 0.35 Spam-DComServ, Covesmer, Xmiler
2008 Gumblar
Mai 2009 Noiembrie 2010 (ne finalizat) BredoLab 30,000,000[56] 3.6 Oficla
2009 2012-07-19 Grum 560,000[57] 39.9 Tedroo
Mega-D 509,000[58] 10 Ozdok
Kraken 495,000[59] 9 Kracken
August 2009 Festi 250,000[60] 2.25 Spamnost
Martie 2010 Vulcanbot
Ianuarie 2010 LowSec 11,000+ 0.5 LowSecurity, FreeMoney, Ring0.Tools
2010 TDL4 4,500,000[61] TDSS, Alureon
Zeus 3,600,000 (doar in SUA)[62] Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010 2011 și 2012 Kelihos 300,000+ 4 Hlux
2011 sau mai devreme 2015-02 Ramnit 3,000,000[63]
2020-04 SaintMalik 3,000,000[64]
Începutul lui 2013 2013 Zer0n3t 200+ servere 4 Fib3rl0g1c, Zer0n3t, Zer0Log1x
2012 Chameleon 120,000[65]
2016 (August) Mirai 380,000
2014 Necurs 6,000,000
2018 Smominru[necesită citare]
  • Cercetătorii de la Universitatea din California, Santa Barbara au preluat controlul unei botnet care era de șase ori mai mic decât se așteptau. În unele țări, este comun ca utilizatorii să își schimbe adresa IP de câteva ori într-o zi. Estimarea dimensiunii botnet-ului în funcție de numărul de adrese IP este adesea folosită de cercetători, ceea ce poate duce la evaluări inexacte. [66]

Referințe

modificare
  1. ^ „Thingbots: The Future of Botnets in the Internet of Things”. Security Intelligence. . Accesat în . 
  2. ^ „botnet”. Accesat în . 
  3. ^ Ramneek, Puri (). „Bots &; Botnet: An Overview” (PDF). SANS Institute. Accesat în . 
  4. ^ Putman, C. G. J.; Abhishta; Nieuwenhuis, L. J. M. (martie 2018). „Business Model of a Botnet”. 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP): 441–445. Bibcode:2018arXiv180410848P. doi:10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6. 
  5. ^ Danchev, Dancho (). „Novice cyberciminals offer commercial access to five mini botnets”. Accesat în . 
  6. ^ a b Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (). Botnets. Burlington: Syngress. pp. 29–75. doi:10.1016/B978-159749135-8/50004-4. ISBN 9781597491358. 
  7. ^ a b c d Heron, Simon (). „Botnet command and control techniques”. Network Security. 2007 (4): 13–16. doi:10.1016/S1353-4858(07)70045-4. 
  8. ^ Wang, Ping (). „Peer-to-peer botnets”. În Stamp, Mark & Stavroulakis, Peter. Handbook of Information and Communication Security. Springer. ISBN 9783642041174.  Parametru necunoscut |arată-autori= ignorat (ajutor)
  9. ^ C.Y. Cho, D. Babic, R. Shin, and D. Song. Inference and Analysis of Formal Models of Botnet Command and Control Protocols, 2010 ACM Conference on Computer and Communications Security.
  10. ^ Teresa Dixon Murray. „Banks can't prevent cyber attacks like those hitting PNC, Key, U.S. Bank this week”. Cleveland.com. Accesat în . 
  11. ^ Arntz, Pieter (). „The Facts about Botnets”. Accesat în . 
  12. ^ Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (). Botnets. Burlington: Syngress. pp. 77–95. doi:10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8. 
  13. ^ Osborne, Charlie. „Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread”. ZDNet. Accesat în . 
  14. ^ Singel, Ryan (). „Hackers Use Twitter to Control Botnet”. Accesat în . 
  15. ^ „First Twitter-controlled Android botnet discovered”. . Accesat în . 
  16. ^ Gallagher, Sean (). „Reddit-powered botnet infected thousands of Macs worldwide”. Accesat în . 
  17. ^ Cimpanu, Catalin (). „Russian State Hackers Use Britney Spears Instagram Posts to Control Malware”. Accesat în . 
  18. ^ Dorais-Joncas, Alexis (). „Walking through Win32/Jabberbot.A instant messaging C&C”. Accesat în . 
  19. ^ Constantin, Lucian (). „Cybercriminals are using the Tor network to control their botnets”. Accesat în . 
  20. ^ „Cisco ASA Botnet Traffic Filter Guide”. Accesat în . 
  21. ^ Attack of the Bots at Wired
  22. ^ Norton, Quinn (). „Anonymous 101 Part Deux: Morals Triumph Over Lulz”. Wired.com. Accesat în . 
  23. ^ Peterson, Andrea (). „China deploys new weapon for online censorship in form of 'Great Cannon'. The Washington Post. Accesat în . 
  24. ^ „Operation Aurora — The Command Structure”. Damballa.com. Arhivat din original la . Accesat în . 
  25. ^ Edwards, Jim (). „This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser”. Arhivat din original la . Accesat în . 
  26. ^ Nichols, Shaun (). „Got a botnet? Thinking of using it to mine Bitcoin? Don't bother”. Accesat în . 
  27. ^ „Bitcoin Mining”. BitcoinMining.com. Arhivat din original în . Accesat în . 
  28. ^ „Trojan horse, and Virus FAQ”. DSLReports. Accesat în . 
  29. ^ Many-to-Many Botnet Relationships Arhivat în , la Wayback Machine., Damballa, 8 June 2009.
  30. ^ „Uses of botnets | The Honeynet Project”. www.honeynet.org. Arhivat din original la . Accesat în . 
  31. ^ „What is phishing? - Definition from WhatIs.com”. SearchSecurity (în engleză). Accesat în . 
  32. ^ Aguilar, Mario. „The Number of People Who Fall for Phishing Emails Is Staggering”. Gizmodo (în engleză). Accesat în . 
  33. ^ „Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants”. vhosts.eecs.umich.edu. 
  34. ^ „DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis” (PDF). Annual Computer Security Applications Conference. ACM. . 
  35. ^ BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic. Proceedings of the 15th Annual Network and Distributed System Security Symposium. . 
  36. ^ „Researchers Boot Million Linux Kernels to Help Botnet Research”. IT Security & Network Security News. . Accesat în . [nefuncțională]
  37. ^ „Brute-Force Botnet Attacks Now Elude Volumetric Detection”. DARKReading from Information Week. . Accesat în . 
  38. ^ Diva, Michael. „Marketing campaign efficiency and metrics - Finteza”. www.finteza.com (în engleză). Accesat în . 
  39. ^ United States. Congress. Senate. Committee on the Judiciary. Subcommittee on Crime and Terrorism (). Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014. Washington, DC: U.S. Government Publishing Office. Accesat în . 
  40. ^ Credeur, Mary. „Atlanta Business Chronicle, Staff Writer”. bizjournals.com. Accesat în . 
  41. ^ Mary Jane Credeur (). „EarthLink wins $25 million lawsuit against junk e-mailer”. Accesat în . 
  42. ^ Paulson, L.D. (aprilie 2006). „Hackers Strengthen Malicious Botnets by Shrinking Them” (PDF). Computer; News Briefs. IEEE Computer Society. 39 (4): 17–19. doi:10.1109/MC.2006.136. Accesat în . The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs.The average botnet size is now about 20,000 computers, he said. 
  43. ^ Chuck Miller (). „Researchers hijack control of Torpig botnet”. SC Magazine US. Arhivat din original la . Accesat în . 
  44. ^ „Storm Worm network shrinks to about one-tenth of its former size”. Tech.Blorge.Com. . Arhivat din original la . Accesat în . 
  45. ^ Chuck Miller (). „The Rustock botnet spams again”. SC Magazine US. Arhivat din original la . Accesat în . 
  46. ^ Stewart, Joe. „Spam Botnets to Watch in 2009”. Secureworks.com. SecureWorks. Accesat în . 
  47. ^ „Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security”. Msmvps.com. . Arhivat din original la . Accesat în . 
  48. ^ „New Zealand teenager accused of controlling botnet of 1.3 million computers”. The H security. . Accesat în . 
  49. ^ „Technology | Spam on rise after brief reprieve”. BBC News. . Accesat în . 
  50. ^ „Sality: Story of a Peer-to-Peer Viral Network” (PDF). Symantec. . Accesat în . 
  51. ^ „How FBI, police busted massive botnet”. theregister.co.uk. Accesat în . 
  52. ^ „Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab”. F-secure.com. . Accesat în . 
  53. ^ „Waledac botnet 'decimated' by MS takedown”. The Register. . Accesat în . 
  54. ^ Gregg Keizer (). „Top botnets control 1M hijacked computers”. Computerworld. Arhivat din original la . Accesat în . 
  55. ^ „Botnet sics zombie soldiers on gimpy websites”. The Register. . Accesat în . 
  56. ^ „Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com”. .canada.com. Arhivat din original la . Accesat în . 
  57. ^ „Research: Small DIY botnets prevalent in enterprise networks”. ZDNet. Accesat în . 
  58. ^ Warner, Gary (). „Oleg Nikolaenko, Mega-D Botmaster to Stand Trial”. CyberCrime & Doing Time. Accesat în . 
  59. ^ „New Massive Botnet Twice the Size of Storm — Security/Perimeter”. DarkReading. Accesat în . 
  60. ^ Kirk, Jeremy (). „Spamhaus Declares Grum Botnet Dead, but Festi Surges”. PC World. 
  61. ^ „Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)”. kasperskytienda.es. . Accesat în . 
  62. ^ „America's 10 most wanted botnets”. Networkworld.com. . Accesat în . 
  63. ^ „EU police operation takes down malicious computer network”. phys.org. 
  64. ^ „Botnet activities around the wolrd, all you need to know about botnet”. smtechub.com. 
  65. ^ „Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month”. Spider.io. . Accesat în . 
  66. ^ Espiner, Tom (). „Botnet size may be exaggerated, says Enisa | Security Threats | ZDNet UK”. Zdnet.com. Accesat în .