Botnet

Botnet-ul este un sistem de dispozitive interconectate prin Internet, fiecare dintre acestea rulează unul sau mai mulți roboți. Botnet-ul poate fi utilizat pentru a efectua un atac DDoS, pentru furtul de date^[1], distribuirea de spam și permite atacatorului să acceseze dispozitivul și conexiunea acestuia. Proprietarul botnet-ului poate controla boții utilizând software-ul de comandă și control (C&C).^[2] Cuvântul „botnet” este o combinație dintre cuvintele „robot” și „rețea”. Termenul este de obicei utilizat cu o conotație negativă sau rău intenționată.

Diagrama botnet Stacheldraht care arată un atac DDoS. (Rețineți că acesta este, de asemenea, un exemplu de tip client-server al unei botnet.)

Prezentare generală

Un botnet este o colecție logică de dispozitive conectate la Internet, cum ar fi computerul, smartphone-ul sau dispozitive IoT a căror securitate a fost compromisă deja, putând fi controlată de o a treia parte. Dispozitivul compromis este cunoscut sub numele de "bot", compromiterea dispozitivului este realizată atunci când dispozitivul este pătruns de software-ul dintr-o distribuție malware (software rău intenționat). Controlerul unei botnet este capabil să direcționeze activitățile acestor computere compromise prin canale de comunicare formate din protocoale de comunicații standarde, cum ar fi IRC și Hypertext Transfer Protocol (HTTP).^{[3] [4]}

Închirierea de boți se practică din ce în ce mai mult de către infractorii cibernetici pentru diverse scopuri.^[5]

Arhitectură

Arhitectura Botnet-ului a evoluat de-a lungul timpului într-un efort de a nu fi detectat și perturbat. În mod tradițional, programele bot sunt construite drept program client care comunică prin servere existente. Acest lucru permite bot herder-ului (persoana care controlează bot-ul) să controleze programul de la distanță.^[6] Boți mai recenți se bazează pe rețele existente peer-to-peer pentru a comunica. Aceste programe bot P2P efectuează aceleași acțiuni ca modelul server-client, dar nu necesită un server central pentru a comunica.

Modelul client-server

 

O rețea bazată pe modelul client-server, în care clienții individuali solicită servicii și resurse de la servere centralizate

Primii boți de pe internet au folosit un model client-server pentru a-și îndeplini sarcinile. În mod obișnuit, aceste boți funcționează prin intermediul rețelelor de comunicare IRC, domenii sau site-uri web. Clienții infectați accesează o locație predeterminată și așteaptă comenzi primite de la server. Bot herder-ul trimite comenzi către server, care le transmite clienților. Clienții execută comenzile și își raportează rezultatele înapoi la bot herder.

În cazul boți-lor IRC, clienții infectați se conectează la un server IRC infectat și se alătură unui canal pre-desemnat pentru C&C de către herder-ul bot. Bot herder trimite comenzi către canal prin intermediul serverului IRC. Fiecare client preia comenzile și le execută. Clienții trimit mesaje înapoi la canalul IRC cu rezultatele acțiunilor lor. ^[6]

Peer-to-peer (de la persoană la persoană)

 

O rețea peer-to-peer (P2P) în care nodurile interconectate („peer”) împărtășesc resurse între ele fără utilizarea unui sistem administrativ centralizat

Ca răspuns la eforturile de detectare și decapitare a boți-lor IRC, botnet-ul a început sa se folosească de comunicarea peer-to-peer. Acești roboți pot utiliza semnături digitale, astfel încât numai cineva cu cheia privată poate controla bot-ul.^[7]

Boți mai noi funcționează pe deplin prin rețelele P2P. În loc să comunice cu un server centralizat, roboții P2P funcționează atât ca server de distribuție de comenzi, cât și ca client care primește comenzi. ^[8] Acest lucru evită să aibă un singur punct de eșec, ceea ce este o problemă pentru boții centralizați la un server.

Pentru a găsi mașini infectate, botul sondează discret adrese IP aleatorii până când contactează o altă mașină infectată. Botul contactat răspunde cu informații, cum ar fi versiunea software și lista de roboți cunoscuți. Dacă unul dintre versiunile de roboți este mai mic decât celălalt, va iniția un transfer de fișiere pentru actualizare. ^[7] În acest fel, fiecare bot își dezvoltă lista de mașini infectate și se actualizează prin comunicarea periodică a tuturor roboților cunoscuți.

Componentele de bază

Un inițiator de botnet (cunoscut sub numele de "bot herder" sau "bot master") controlează de la distanță bot-ul. Aceasta este cunoscută sub numele de comandă și control (C&C). Programul trebuie să comunice printr-un canal ascuns pe mașina victimei (computer zombii).

Protocoale de control

IRC este un mijloc de C&C datorită protocolului său de comunicare. Un bot herder creează un canal IRC pentru clienții infectați să se alăture. Mesajele trimise către canal sunt transmise tuturor membrilor canalului. Herder-ul poate seta subiectul canalului să comande bot-ul. De exemplu mesajul :herder!herder@example.com TOPIC #channel DDoS www.victim.com de la bot herder avertizează toți clienții infectați aparținând la #channel pentru a începe un atac DDoS pe site-ul www.victim.com. Un exemplu de răspuns :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com către un client bot avertizează botul că a început atacul.^[7]

Unii boți implementează versiuni personalizate ale unor protocoale binecunoscute. Diferențele de implementare pot fi utilizate pentru detectarea boți-lor. De exemplu, Mega-D dispune de o implementare SMTP ușor modificată pentru testarea capacității de spam. Deconectarea serverului SMTP de la Mega-D dezactivează întregul set de roboți care se bazează pe același server SMTP . ^[9]

Calculator zombi

În informatică, un computer zombi este un computer conectat la Internet care a fost compromis de un hacker, virus informatic sau cal troian și poate fi controlat de la distanta pentru a efectua sarcini rău intenționate de diferite feluri. Boții de pe calculatoarele zombi sunt adesea folosite pentru a răspândi mesaje spam prin e-mail și pentru a lansa atacuri denial-of-service. Majoritatea proprietarilor de calculatoare zombi nu știu că sistemul lor este utilizat în acest mod. Deoarece proprietarul tinde să nu știe, aceste computere sunt metaforic zombi. Un atac DDoS coordonat de mai multe mașini de botnet seamănă și cu un atac de hoardă zombi. Mulți utilizatori de computere nu știu că computerul lor este infectat de botnet. ^[10]

Procesul de sustragere a resurselor de calcul ca urmare a unui sistem alăturat unui "botnet" este uneori denumit "scrumping". ^[11]

Comanda și control

Protocoalele de comandă și control Botnet (C&C) au fost implementate în diferite moduri, de la abordări IRC tradiționale la versiuni mai sofisticate.

Telnet

Boții Telnet utilizează un protocol de botnet C&C simplu în care roboții se conectează la serverul principal de comandă pentru a găzdui bot-ul. Boții sunt adăugați la botnet folosind un script de scanare, scriptul de scanare este rulat pe un server extern și scanează intervalele IP pentru autentificările implicite ale serverului telnet și SSH. După ce a fost găsită o autentificare, aceasta este adăugată la o listă de infecții și infectată cu o linie dăunătoare prin SSH de pe serverul scanerului. Când se execută comanda SSH, infectează serverul și comandă serverul să facă ping pe serverul de control și devine sclavul său din codul rău intenționat care îl infectează. Odată ce serverele sunt infectate pe server, controlerul bot poate lansa atacuri DDoS de volum mare folosind panoul C&C de pe serverul gazdă.

IRC

Rețelele IRC utilizează metode de comunicare simple, cu lățime de bandă simplă, ceea ce le face utilizate pe scară largă pentru a găzdui boții. Acestea tind să fie relativ simple în construcții și au fost utilizate cu un succes moderat pentru coordonarea atacurilor DDoS și a campaniilor spam, în timp ce sunt capabile să comute în permanență canalele pentru a a supraviețuii. Cu toate acestea, în unele cazuri, simpla blocare a anumitor cuvinte cheie s-a dovedit eficientă în stoparea boți-lor bazate pe IRC. Standardul RFC 1459 (IRC) este popular în rândul botneții-lor. Primul script cunoscut pentru controlorul de botneti, "MaXiTE Bot", folosea protocolul IRC XDCC pentru comenzile de control privat.

O problemă cu utilizarea IRC este că fiecare client bot trebuie să cunoască serverul, portul și canalul IRC pentru a fi de folos. Organizațiile anti-malware pot detecta și închide aceste servere și canale, oprind atacul botnet. Dacă se întâmplă acest lucru, clienții rămân încă infectați, dar, de obicei, stau în stare latentă, deoarece nu au niciun fel de a primi instrucțiuni.^[7] Pentru a atenua această problemă, botnet-ul poate conține mai multe servere sau canale. Dacă unul dintre servere sau canale devine dezactivat, botnet-ul trece pur și simplu la altul. Este încă posibil să detectați și să perturbați serverele sau canalele botnet suplimentare prin urmărirea traficului IRC. Un adversar de botnet poate chiar să dobândească cunoștințe despre schema de control și să imite botul prin emiterea de comenzi corecte. ^[12]

P2P

Deoarece majoritatea boților care folosesc rețele IRC și domenii pot fi oprite cu timpul, hackerii s-au mutat la boți P2P cu C&C ca o modalitate de a îngreuna eliminarea.

Unii au folosit, de asemenea, criptarea ca o modalitate de a proteja sau de a bloca boții de la alții. Criptarea cel mai des utilizată este criptografie cu cheie asimetrică și a prezentat provocări atât în implementarea ei, cât și în spargerea ei.

Domenii

Multi boți de mărimi mari tind să folosească domenii mai degrabă decât canalele IRC (a se vedea botnet Rustock și Srizbi). De obicei sunt găzduite cu ajutorul serviciilor de hosting bulletproof. Acesta este unul dintre primele tipuri de C&C utilizat. Un computer zombi accesează o pagină web sau domenii special concepute care servește lista comenzilor de control. Avantajele utilizării paginilor web sau domeniilor ca C&C este că un botnet de dimensiune mare poate fi controlat și întreținut eficient cu ajutorul unui cod foarte simplu care poate fi actualizat ușor.

Dezavantajele utilizării acestei metode sunt că folosește o cantitate considerabilă de lățime de bandă la scară largă, iar domeniile pot fi confiscate rapid de către agențiile guvernamentale fără prea multe probleme sau eforturi. Dacă domeniile care controlează boții nu sunt confiscate, acestea sunt ținte atacurilor DDoS.

Fast-flux DNS este utilizat ca o modalitate de a îngreuna urmărirea și închiderea serverelor de control, care se pot schimba de la o zi la alta. Serverele de control pot, de asemenea, să treacă de la domeniul DNS la alt domeniul DNS, cu ajutorul unor algoritmii de generare a domeniului, se creează DNS-uri noi pentru server-ul de control.

Unii boți folosesc servicii de găzduire DNS gratuite, cum ar fi DynDns.org, No-IP.com și Afraid.org, pentru a-i comunica un subdomeniu server-ului IRC care adăpostește roboții. În timp ce aceste servicii DNS gratuite nu găzduiește în sine atacurile, acestea oferă puncte de referință (adesea cu coduri grele în executabilul botnet). Înlăturarea acestor servicii poate elimina o întreagă rețea botnet.

Altele

Apelarea la mari site-uri de socializare cum ar fi GitHub,^[13] Twitter,^{[14] [15]} Reddit,^[16] Instagram,^[17] Protocolul de mesaje instantanee open source XMPP ^[18] și serviciile ascunse Tor ^[19] sunt modalități populare de evitare a filtrării pentru comunicarea cu server-ul C&C.^[20]

Construcție

Tradițional

Acest exemplu ilustrează modul în care botnet-ul este creat și folosit rău intenționat.

1. Un hacker cumpără sau construiește un malware/troian pentru a infecta calculatoarele utilizatorilor, a căror sarcină utilă este o aplicație dăunătoare - bot .
2. Bot-ul instruiește PC-ul infectat să se conecteze la un anumit server de comandă și control (C&C). (Acest lucru permite atacatorului să primească rapoarte despre boți, câți sunt activi și online, etc.)
3. Botmaster-ul poate utiliza botul pentru a înregistra apăsarea tastelor sau poate fura datele introduse în formularele online, pentru a efectua un atac DDoS, spam sau să direcționeze trafic pe anumite siteuri online pentru un profit.
4. Valoarea roboților este funcție de calitatea și capacitatea lor

Boții mai noi pot scana automat mediul și se pot propaga folosind vulnerabilități și parole slabe. În general, cu cât sunt mai multe vulnerabilități prin care un bot poate să scaneze și să se propage, cu atât mai valoros devine pentru o comunitate de control.^[21]

Calculatoarele pot fi cooptate într-un botnet atunci când execută software rău intenționat. Acest lucru se poate realiza prin atragerea utilizatorilor în efectuarea unei descărcări drive-by, prin exploatarea vulnerabilităților browser-ului web sau prin păcălirea utilizatorului în executarea unui program de cal Troian, care poate proveni dintr-un atașament primit pe e-mail. Acest malware va instala de obicei module care să permită computerului să fie comandat și controlat. După ce software-ul este descărcat, acesta va "suna acasă" (trimite un pachet de reconectare) către computerul gazdă. Când se face re-conexiunea, în funcție de modul în care este scris, un troian poate apoi să se șteargă sau poate rămâne prezent pentru a actualiza și întreține modulele.

Altele

În unele cazuri, bot-ul poate fi creat temporar de hacktiviști voluntari, cum ar fi cu implementările Low Orbit Ion Cannon așa cum au fost utilizate de către membrii 4chan în timpul proiectului Chanology în 2010. ^[22]

Marele tun al Chinei permite modificarea traficului legitim de navigare pe internet în bazele de internet ale Chinei pentru a crea un bot efemeră mare pentru a ataca ținte mari, cum ar fi GitHub, în 2015 ^[23]

Aspecte comune

• Cei mai multi boți în prezent sunt pentru atacuri DDoS în care mai multe sisteme depun cât mai multe solicitări unui singur computer sau serviciu Internet, supraîncărcându-l și împiedicându-l să furnizeze cereri legitime. Un exemplu este un atac asupra serverului victimei. Serverul victimei este bombardat cu solicitări de către roboți, încercând să se conecteze la server, prin urmare, supraîncărcându-l.
• Spyware- ul este un software care trimite informații creatorilor săi despre activitățile unui utilizator - de obicei parole, numere de cărți de credit și alte informații care pot fi vândute pe piața neagră. Mașinile compromise care sunt amplasate într-o rețea corporativă pot valora mai mult pentru bot, deoarece acesta poate obține adesea acces la informații corporative confidențiale. Mai multe atacuri vizate asupra marilor corporații au urmărit furtul de informații sensibile, cum ar fi botnetul Aurora. ^[24]
• Spam-urile prin e-mail, sunt mesaje de e-mail deghizate în mesaje legitime, dar sunt fie publicitate, enervante, fie rău intenționată.
• Fraudă a clicurilor apare atunci când computerul utilizatorului vizitează site-urile web fără a conștientiza utilizatorul pentru a crea trafic web fals pentru un câștig personal sau comercial. ^[25]
• Mineritul Bitcoin a fost introdus în unii din cei mai recenți botneti pentru a genera profituri pentru operatorul botnet-ului. ^{[26] [27]}
• Răspândire de sine, funcționalitate de a cauta instrucțiuni de comandă (CNC) care conține dispozitive sau rețele direcționate, pentru a se răspândii, este de asemenea observată în mai multi boți. Unii dintre ei folosesc această funcție pentru a automatiza infecțiile lor.

Piață

Comunitatea controlorilor de botnet prezintă o luptă constantă și continuă pentru cine are cei mai mulți roboți, cea mai mare lățime de bandă generală și cele mai „de înaltă calitate”, mașini infectate, cum ar fi mașinile universitare, corporative și chiar guvernamentale. ^[28]

În timp ce boții sunt adesea numiți după malware-ul care le-a creat, mai multi botneti utilizează de obicei același malware, dar sunt operate de entități diferite. ^[29]

Phishingul

Boții pot fi utilizate pentru multe escrocherii electronice. Acești boți pot fi utilizați pentru a distribui malware, cum ar fi viruși, pentru a prelua controlul unui computer/software al utilizatorilor obișnuiți ^[30] Prin preluarea controlului computerului personal al cuiva, acestea au acces nelimitat la informațiile personale, inclusiv parolele și informațiile de conectare la conturi. Aceasta se numește phishing. Phishingul este achiziționarea de informații de conectare la conturile „victimei” cu un link pe care „victima” face clic, unde este trimis prin e-mail sau text.^[31] Un sondaj realizat de Verizon a constatat că aproximativ două treimi din cazurile de „spionaj” electronic provin din phishing.^[32]

Contramasuri

Dispersia geografică a boți-lor înseamnă că fiecare recrutare trebuie identificată/corralizată /reparată individual și limitează avantajele filtrării.

Experții în securitate informatică au reușit să distrugă sau să abordeze rețelele de comandă și control malware, prin preluarea serverelor sau scoaterea lor de pe Internet, refuzând accesul la domenii care trebuiau folosite de malware pentru a contacta infrastructura C&C și în unele cazuri, intrarea în rețeaua C&C-ului în sine.^{[33] [34] [35]} Ca răspuns la aceasta, operatorii C&C au apelat la utilizarea tehnicilor precum acoperirea rețelelor C&C pe alte infrastructuri benigne existente, cum ar fi IRC sau Tor, folosind sisteme de rețea peer-to-peer care nu depind de niciun server centralizat și folosesc criptare asimetrica pentru a învinge încercările de a pătrunde sau de a strica rețeaua.

Norton AntiBot s-a adresat consumatorilor, dar vizează mai mult întreprinderile și a ISP-urilor. Poate identifica comportamentul botului care a ocolit software-ul antivirus convențional. Abordările bazate pe rețea tind să utilizeze tehnicile descrise mai sus; închiderea serverelor C&C, înregistrări DNS de rutare nulă sau închiderea completă a serverelor IRC. BotHunter este un software dezvoltat cu sprijinul Biroului de Cercetare al Armatei SUA, care detectează activitatea botnetului în cadrul unei rețele prin analizarea traficului de rețea și compararea acestuia cu tiparele caracteristice proceselor dăunătoare.

Cercetătorii de la Sandia National Laboratories analizează comportamentul botnet-urilor, rulând simultan un milion de nuclee Linux - o scară similară unei botnet - ca mașini virtuale pe un cluster de calculatore de înaltă performanță de 4.480 noduri pentru a emula o rețea foarte mare, permițându-le să urmărească cum boții funcționează și se experimentează modalități de a le opri. ^[36]

Detectarea atacurilor automate de bot devine din ce în ce mai dificilă în fiecare zi, deoarece generații mai noi și mai sofisticate de roboți sunt lansate de atacatori. De exemplu, un atac automat poate implementa o armată boți și poate aplica metode de forță brută cu nume de utilizator și liste de parole extrem de exacte pentru a intra în conturi. Ideea este de a copleși site-urile cu zeci de mii de solicitări de la IP-uri diferite din întreaga lume, însă fiecare bot depune o singură solicitare la fiecare 10 minute sau cam așa ceva, ceea ce poate duce la peste 5 milioane de încercări pe zi. ^[37] În aceste cazuri, multe instrumente încearcă să utilizeze detecția volumetrică, dar atacurile bot automatizate au acum modalități de evitare a declanșatorilor de detecție volumetrică.

Una dintre tehnicile de detectare a acestor atacuri bot este cunoscut sub numele de "sisteme bazate pe semnături" în care software-ul va încerca să detecteze tiparele din pachetul de solicitare. Însă atacurile sunt în continuă evoluție, așa că este posibil să nu fie o opțiune bună atunci când modelele nu pot fi percepute de la mii de solicitări. Există, de asemenea, abordarea comportamentală de a distinge roboții și utilizatorii umani. Prin identificarea comportamentului non-uman și recunoașterea comportamentului robot, acest proces poate fi aplicat la nivel de utilizator, browser și rețea.

Cea mai capabilă metodă de utilizare a software-ului pentru a lupta împotriva unui virus a fost utilizarea software-ului de tip momeala pentru a convinge malware-ul că un sistem este vulnerabil. Fișierele dăunătoare sunt apoi analizate folosind software criminalistic. ^[38]

Pe 15 iulie 2014, Subcomisia pentru crimă și terorism a Comisiei pentru sistemul judiciar, Senatul Statelor Unite, a organizat o audiere cu privire la amenințările reprezentate de botneti și eforturile publice și private de a le perturba și demonta.^[39]

Lista istorică de botneți

Primul botnet a fost recunoscut și expus pentru prima dată de Earthlink în 2001 în timpul unui proces cu spammer-ul, Khan C. Smith^[40], pentru spam-ului în cantitate mare, reprezentând aproape 25% din tot spam-ul la momentul respectiv. ^[41]

În jurul anului 2006, pentru a îngreuna detectarea, unii botneți au fost redusi ca mărime. ^[42]

Data crearii	Data eliminarii	Nume botnet	număr boți estimați	Capacitate Spam (bilioane/zi)	Pseudonime
1999	!a	999,999,999	100000	!a
2003		MaXiTE	500-1000 servere	0	MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ
Începutul lui 2004		Bagle	230,000	5.7	Beagle, Mitglieder, Lodeight
		Marina Botnet	6,215,000	92	Damon Briant, BOB.dc, Cotmonger, Hacktool.Spammer, Kraken
		Torpig	180,000[43]		Sinowal, Anserin
		Storm	160,000[44]	3	Nuwar, Peacomm, Zhelatin
2006	Martie 2011	Rustock	150,000[45]	30	RKRustok, Costrat
		Donbot	125,000[46]	0.8	Buzus, Bachsoy
2007		Cutwail	1,500,000[47]	74	Pandex, Mutant (related to: Wigon, Pushdo)
2007		Akbot	1,300,000[48]
Martie 2007	Noiembrie 2008	Srizbi	450,000[49]	60	Cbeplay, Exchanger
		Lethic	260,000	2	none
		Xarvester	10,000	0.15	Rlsloup, Pixoliz
2008		Sality	1,000,000[50]		Sector, Kuku
2008	Decembrie 2009	Mariposa	12,000,000[51]
Noiembrie 2008		Conficker	10,500,000+[52]	10	DownUp, DownAndUp, DownAdUp, Kido
2008	Martie 2010	Waledac	80,000[53]	1.5	Waled, Waledpak
		Maazben	50,000	0.5	None
		Onewordsub	40,000[54]	1.8
		Gheg	30,000	0.24	Tofsee, Mondera
		Nucrypt	20,000	5	Loosky, Locksky
		Wopla	20,000	0.6	Pokier, Slogger, Cryptic
2008		Asprox	15,000[55]		Danmec, Hydraflux
0		Spamthru	12,000	0.35	Spam-DComServ, Covesmer, Xmiler
2008		Gumblar
Mai 2009	Noiembrie 2010 (ne finalizat)	BredoLab	30,000,000[56]	3.6	Oficla
2009	2012-07-19	Grum	560,000[57]	39.9	Tedroo
		Mega-D	509,000[58]	10	Ozdok
		Kraken	495,000[59]	9	Kracken
August 2009		Festi	250,000[60]	2.25	Spamnost
Martie 2010		Vulcanbot
Ianuarie 2010		LowSec	11,000+	0.5	LowSecurity, FreeMoney, Ring0.Tools
2010		TDL4	4,500,000[61]		TDSS, Alureon
		Zeus	3,600,000 (doar in SUA)[62]		Zbot, PRG, Wsnpoem, Gorhax, Kneber
2010	2011 și 2012	Kelihos	300,000+	4	Hlux
2011 sau mai devreme	2015-02	Ramnit	3,000,000[63]
2020-04	SaintMalik	3,000,000[64]
Începutul lui 2013	2013	Zer0n3t	200+ servere	4	Fib3rl0g1c, Zer0n3t, Zer0Log1x
2012		Chameleon	120,000[65]
2016 (August)		Mirai	380,000
2014		Necurs	6,000,000
2018		Smominru[necesită citare]

• Cercetătorii de la Universitatea din California, Santa Barbara au preluat controlul unei botnet care era de șase ori mai mic decât se așteptau. În unele țări, este comun ca utilizatorii să își schimbe adresa IP de câteva ori într-o zi. Estimarea dimensiunii botnet-ului în funcție de numărul de adrese IP este adesea folosită de cercetători, ceea ce poate duce la evaluări inexacte. ^[66]

Referințe

1. ^ „Thingbots: The Future of Botnets in the Internet of Things”. Security Intelligence. 20 februarie 2016. Accesat în 28 iulie 2017. 
2. ^ „botnet”. Accesat în 9 iunie 2016. 
3. ^ Ramneek, Puri (8 august 2003). „Bots &; Botnet: An Overview” (PDF). SANS Institute. Accesat în 12 noiembrie 2013. 
4. ^ Putman, C. G. J.; Abhishta; Nieuwenhuis, L. J. M. (martie 2018). „Business Model of a Botnet”. 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP): 441–445. Bibcode:2018arXiv180410848P. doi:10.1109/PDP2018.2018.00077. ISBN 978-1-5386-4975-6. 
5. ^ Danchev, Dancho (11 octombrie 2013). „Novice cyberciminals offer commercial access to five mini botnets”. Accesat în 28 iunie 2015. 
6. ^ ^{a b} Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 ianuarie 2007). Botnets. Burlington: Syngress. pp. 29–75. doi:10.1016/B978-159749135-8/50004-4. ISBN 9781597491358. 
7. ^ ^{a b c d} Heron, Simon (1 aprilie 2007). „Botnet command and control techniques”. Network Security. 2007 (4): 13–16. doi:10.1016/S1353-4858(07)70045-4. 
8. ^ Wang, Ping (2010). „Peer-to-peer botnets”. În Stamp, Mark & Stavroulakis, Peter. Handbook of Information and Communication Security. Springer. ISBN 9783642041174.  Parametru necunoscut |arată-autori= ignorat (ajutor)Mentenanță CS1: Utilizează parametrul autori (link) Mentenanță CS1: Nume multiple: lista editorilor (link)
9. ^ C.Y. Cho, D. Babic, R. Shin, and D. Song. Inference and Analysis of Formal Models of Botnet Command and Control Protocols, 2010 ACM Conference on Computer and Communications Security.
10. ^ Teresa Dixon Murray. „Banks can't prevent cyber attacks like those hitting PNC, Key, U.S. Bank this week”. Cleveland.com. Accesat în 2 septembrie 2014. 
11. ^ Arntz, Pieter (30 martie 2016). „The Facts about Botnets”. Accesat în 27 mai 2017. 
12. ^ Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (1 ianuarie 2007). Botnets. Burlington: Syngress. pp. 77–95. doi:10.1016/B978-159749135-8/50005-6. ISBN 978-159749135-8. 
13. ^ Osborne, Charlie. „Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread”. ZDNet. Accesat în 7 octombrie 2017. 
14. ^ Singel, Ryan (13 august 2009). „Hackers Use Twitter to Control Botnet”. Accesat în 27 mai 2017. 
15. ^ „First Twitter-controlled Android botnet discovered”. 24 august 2016. Accesat în 27 mai 2017. 
16. ^ Gallagher, Sean (3 octombrie 2014). „Reddit-powered botnet infected thousands of Macs worldwide”. Accesat în 27 mai 2017. 
17. ^ Cimpanu, Catalin (6 iunie 2017). „Russian State Hackers Use Britney Spears Instagram Posts to Control Malware”. Accesat în 8 iunie 2017. 
18. ^ Dorais-Joncas, Alexis (30 ianuarie 2013). „Walking through Win32/Jabberbot.A instant messaging C&C”. Accesat în 27 mai 2017. 
19. ^ Constantin, Lucian (25 iulie 2013). „Cybercriminals are using the Tor network to control their botnets”. Accesat în 27 mai 2017. 
20. ^ „Cisco ASA Botnet Traffic Filter Guide”. Accesat în 27 mai 2017. 
21. ^ Attack of the Bots at Wired
22. ^ Norton, Quinn (1 ianuarie 2012). „Anonymous 101 Part Deux: Morals Triumph Over Lulz”. Wired.com. Accesat în 22 noiembrie 2013. 
23. ^ Peterson, Andrea (10 aprilie 2015). „China deploys new weapon for online censorship in form of 'Great Cannon'”. The Washington Post. Accesat în 10 aprilie 2015. 
24. ^ „Operation Aurora — The Command Structure”. Damballa.com. Arhivat din original la 11 iunie 2010. Accesat în 30 iulie 2010. 
25. ^ Edwards, Jim (27 noiembrie 2013). „This Is What It Looks Like When A Click-Fraud Botnet Secretly Controls Your Web Browser”. Accesat în 27 mai 2017. 
26. ^ Nichols, Shaun (24 iunie 2014). „Got a botnet? Thinking of using it to mine Bitcoin? Don't bother”. Accesat în 27 mai 2017. 
27. ^ „Bitcoin Mining”. BitcoinMining.com. Arhivat din original în 15 noiembrie 2019. Accesat în 30 aprilie 2016. Mentenanță CS1: URL impropriu (link)
28. ^ „Trojan horse, and Virus FAQ”. DSLReports. Accesat în 7 aprilie 2011. 
29. ^ Many-to-Many Botnet Relationships Arhivat în 4 martie 2016, la Wayback Machine., Damballa, 8 June 2009.
30. ^ „Uses of botnets | The Honeynet Project”. www.honeynet.org. Arhivat din original la 20 martie 2019. Accesat în 24 martie 2019. 
31. ^ „What is phishing? - Definition from WhatIs.com”. SearchSecurity (în engleză). Accesat în 24 martie 2019. 
32. ^ Aguilar, Mario. „The Number of People Who Fall for Phishing Emails Is Staggering”. Gizmodo (în engleză). Accesat în 24 martie 2019. 
33. ^ „Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants”. vhosts.eecs.umich.edu. 
34. ^ „DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis” (PDF). Annual Computer Security Applications Conference. ACM. 2012. 
35. ^ BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic. Proceedings of the 15th Annual Network and Distributed System Security Symposium. 2008. 
36. ^ „Researchers Boot Million Linux Kernels to Help Botnet Research”. IT Security & Network Security News. 12 august 2009. Accesat în 23 aprilie 2011. ^{[nefuncțională]}
37. ^ „Brute-Force Botnet Attacks Now Elude Volumetric Detection”. DARKReading from Information Week. 19 decembrie 2016. Accesat în 14 noiembrie 2017. 
38. ^ Diva, Michael. „Marketing campaign efficiency and metrics - Finteza”. www.finteza.com (în engleză). Accesat în 7 octombrie 2019. 
39. ^ United States. Congress. Senate. Committee on the Judiciary. Subcommittee on Crime and Terrorism (2018). Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014. Washington, DC: U.S. Government Publishing Office. Accesat în 18 noiembrie 2018. 
40. ^ Credeur, Mary. „Atlanta Business Chronicle, Staff Writer”. bizjournals.com. Accesat în 22 iulie 2002. 
41. ^ Mary Jane Credeur (22 iulie 2002). „EarthLink wins $25 million lawsuit against junk e-mailer”. Accesat în 10 decembrie 2018. 
42. ^ Paulson, L.D. (aprilie 2006). „Hackers Strengthen Malicious Botnets by Shrinking Them” (PDF). Computer; News Briefs. IEEE Computer Society. 39 (4): 17–19. doi:10.1109/MC.2006.136. Accesat în 12 noiembrie 2013. The size of bot networks peaked in mid-2004, with many using more than 100,000 infected machines, according to Mark Sunner, chief technology officer at MessageLabs.The average botnet size is now about 20,000 computers, he said. 
43. ^ Chuck Miller (5 mai 2009). „Researchers hijack control of Torpig botnet”. SC Magazine US. Arhivat din original la 24 decembrie 2007. Accesat în 10 noiembrie 2011. 
44. ^ „Storm Worm network shrinks to about one-tenth of its former size”. Tech.Blorge.Com. 21 octombrie 2007. Arhivat din original la 24 decembrie 2007. Accesat în 30 iulie 2010. 
45. ^ Chuck Miller (25 iulie 2008). „The Rustock botnet spams again”. SC Magazine US. Arhivat din original la 4 aprilie 2016. Accesat în 30 iulie 2010. 
46. ^ Stewart, Joe. „Spam Botnets to Watch in 2009”. Secureworks.com. SecureWorks. Accesat în 9 martie 2016. 
47. ^ „Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security”. Msmvps.com. 2 februarie 2010. Arhivat din original la 16 august 2010. Accesat în 30 iulie 2010. 
48. ^ „New Zealand teenager accused of controlling botnet of 1.3 million computers”. The H security. 30 noiembrie 2007. Accesat în 12 noiembrie 2011. 
49. ^ „Technology | Spam on rise after brief reprieve”. BBC News. 26 noiembrie 2008. Accesat în 24 aprilie 2010. 
50. ^ „Sality: Story of a Peer-to-Peer Viral Network” (PDF). Symantec. 3 august 2011. Accesat în 12 ianuarie 2012. 
51. ^ „How FBI, police busted massive botnet”. theregister.co.uk. Accesat în 3 martie 2010. 
52. ^ „Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab”. F-secure.com. 16 ianuarie 2009. Accesat în 24 aprilie 2010. 
53. ^ „Waledac botnet 'decimated' by MS takedown”. The Register. 16 martie 2010. Accesat în 23 aprilie 2011. 
54. ^ Gregg Keizer (9 aprilie 2008). „Top botnets control 1M hijacked computers”. Computerworld. Accesat în 23 aprilie 2011. 
55. ^ „Botnet sics zombie soldiers on gimpy websites”. The Register. 14 mai 2008. Accesat în 23 aprilie 2011. 
56. ^ „Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com”. .canada.com. Arhivat din original la 11 mai 2011. Accesat în 10 noiembrie 2011. 
57. ^ „Research: Small DIY botnets prevalent in enterprise networks”. ZDNet. Accesat în 30 iulie 2010. 
58. ^ Warner, Gary (2 decembrie 2010). „Oleg Nikolaenko, Mega-D Botmaster to Stand Trial”. CyberCrime & Doing Time. Accesat în 6 decembrie 2010. 
59. ^ „New Massive Botnet Twice the Size of Storm — Security/Perimeter”. DarkReading. Accesat în 30 iulie 2010. 
60. ^ Kirk, Jeremy (16 d.Hr.). „Spamhaus Declares Grum Botnet Dead, but Festi Surges”. PC World. 
61. ^ „Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)”. kasperskytienda.es. 3 iulie 2011. Accesat în 11 iulie 2011. 
62. ^ „America's 10 most wanted botnets”. Networkworld.com. 22 iulie 2009. Accesat în 10 noiembrie 2011. 
63. ^ „EU police operation takes down malicious computer network”. phys.org. 
64. ^ „Botnet activities around the wolrd, all you need to know about botnet”. smtechub.com. 
65. ^ „Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month”. Spider.io. 19 martie 2013. Accesat în 21 martie 2013. 
66. ^ Espiner, Tom (8 martie 2011). „Botnet size may be exaggerated, says Enisa | Security Threats | ZDNet UK”. Zdnet.com. Accesat în 10 noiembrie 2011. 

• Proiectul Honeynet și Alianța de cercetare Arhivat în 30 septembrie 2019, la Wayback Machine. - „Cunoaște-ți dușmanul: urmărirea botnetelor”
• Fundația Shadowserver - un grup de voluntari pentru supraveghere de securitate, care adună, urmărește și rapoarteaza cu privire la malware, activitatea botnet și frauda electronică
• EWeek.com - "Bătălia de la Botnet a fost deja pierdută?"
• Botnet Botnet - „SpyEye Malware Mastermind pledează vinovat”, FBI