Botnet (ing. Botnet, "robot" və "network" (şəbəkə) sözlərindən) − istifadəçinin xəbəri olmadan kompüteri məsafədən idarə etməyə imkan verən ziyankar proqramlarla[1] − botlarla yoluxmuş kompüterlərdən ibarət şəbəkə.
Bot istifadəçinin kompüterində gizli quraşdırılan və bəd niyyətli şəxsin yoluxmuş kompüterin resurslarından istifadə etməklə müəyyən əməlləri yerinə yetirməsinə imkan verən proqramdır.[2]
Botnetlər adətən spam göndərilməsi, konfidensial informasiyanın toplanması, xidmətdən imtina hücumları (Dos-hücum), fişinq və s. üçün istifadə edilir.[3]
Botnet, təhlükəsizliyi pozulmuş və nəzarəti üçüncü tərəfə verilmiş kompüterlər, smartfonlar və ya əşyaların interneti (IoT) cihazları kimi İnternetə qoşulmuş cihazların məntiqi toplusudur. "bot" kimi tanınan hər bir təhlükəyə məruz qalmış cihaz, zərərli proqram (malicious software) paylanmasından proqram təminatı tərəfindən cihaza daxil olduqda yaradılır. Botnetin nəzarətçisi IRC və Hypertext Transfer Protocol (HTTP) kimi standartlara əsaslanan şəbəkə protokolları ilə yaradılmış rabitə kanalları vasitəsilə bu təhlükəyə məruz qalmış kompüterlərin fəaliyyətini idarə edə bilir.[4][5]
Botnetlər kibercinayətkarlar tərəfindən getdikcə daha çox müxtəlif məqsədlər üçün əmtəə kimi icarəyə verilir.[6]
Botnet arxitekturası zaman keçdikcə aşkarlanma və pozulmalardan yayınmaq üçün təkamül etmişdir. Ənənəvi olaraq, bot proqramları mövcud serverlər vasitəsilə əlaqə saxlayan müştərilər kimi qurulur. Bu, bot herder-inə (bot çobanı; botnetin nəzarətçisi) bütün nəzarəti uzaq bir yerdən həyata keçirməyə imkan verir ki, bu da trafiki qarışdırır. Bir çox yeni botnetlər indi ünsiyyət üçün mövcud peer-to-peer şəbəkələrinə etibar edirlər. Bu P2P bot proqramları klient-server modeli ilə eyni hərəkətləri yerinə yetirir, lakin ünsiyyət üçün mərkəzi server tələb etmir.[7]
İnternetdəki ilk botnetlər öz vəzifələrini yerinə yetirmək üçün müştəri-server modelindən istifadə edirdilər.[8] Tipik olaraq, bu botnetlər Internet Relay Chat şəbəkələri, domenlər və ya vebsaytlar vasitəsilə fəaliyyət göstərir. Yoluxmuş müştərilər əvvəlcədən müəyyən edilmiş yerə daxil olur və serverdən gələn əmrləri gözləyirlər. Bot çobanı əmrləri serverə göndərir, bu da onları müştərilərə ötürür. Müştərilər əmrləri yerinə yetirir və nəticələrini bot çobanına bildirirlər.
IRC botnetləri vəziyyətində, yoluxmuş müştərilər yoluxmuş IRC serverinə qoşulur və bot çobanı tərəfindən C&C üçün əvvəlcədən təyin edilmiş kanala qoşulur. Bot çobanı IRC serveri vasitəsilə kanala əmrlər göndərir. Hər bir müştəri əmrləri alır və onları yerinə yetirir. Müştərilər hərəkətlərinin nəticələri ilə IRC kanalına geri mesaj göndərirlər.[7]
IRC botnetlərinin aşkarlanması və silinməsi səylərinə cavab olaraq, bot çobanları peer-to-peer şəbəkələrində zərərli proqramları yerləşdirməyə başladılar. Bu botlar rəqəmsal imzalardan istifadə edə bilər ki, yalnız şəxsi açara çıxışı olan kimsə botneti idarə edə bilsin, məsələn, Gameover ZeuS və ZeroAccess botnetində.[9]
Daha yeni botnetlər tam olaraq P2P şəbəkələri üzərində işləyir. P2P botları mərkəzləşdirilmiş serverlə ünsiyyət qurmaq əvəzinə həm əmr paylama serveri, həm də əmrləri qəbul edən müştəri kimi çıxış edir. Bu, mərkəzləşdirilmiş botnetlər üçün problem olan hər hansı bir uğursuzluq nöqtəsinin qarşısını alır.
Digər yoluxmuş maşınları tapmaq üçün P2P botları başqa bir yoluxmuş maşını müəyyən edənə qədər təsadüfi IP ünvanlarını təmkinli şəkildə yoxlayır. Əlaqələndirilən bot proqram versiyası və məlum botların siyahısı kimi məlumatlarla cavab verir. Botlardan biri digərindən aşağı olarsa, onlar yeniləmək üçün fayl ötürülməsinə başlayacaqlar. Beləliklə, hər bir bot yoluxmuş maşınların siyahısını genişləndirir və vaxtaşırı bütün məlum botlarla əlaqə saxlayaraq özünü yeniləyir.
Botnetin yaradıcısı ("bot çobanı" və ya "bot ustası" kimi tanınır) botneti uzaqdan idarə edir. Bu əmr və nəzarət (C&C) kimi tanınır. Əməliyyat üçün proqram qurbanın maşınında (zombi kompüter) müştəri ilə gizli kanal vasitəsilə əlaqə saxlamalıdır.
IRC rabitə protokoluna görə tarixən üstünlük verilən C&C vasitəsidir. Bot çobanı yoluxmuş müştərilərin qoşulması üçün IRC kanalı yaradır. Kanala göndərilən mesajlar bütün kanal üzvlərinə yayımlanır. Bot çobanı botnetə əmr vermək üçün kanalın mövzusunu təyin edə bilər. Məsələn, :herder!herder@example.com TOPIC #channel DDoS www.victim.com
bot çobanının mesajı #channel-a aid bütün yoluxmuş müştərilərə www.victim.com saytında DDoS hücumuna başlamaq üçün xəbərdarlıq edir. Bir bot müştərisinin nümunə cavabı :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com
bot çobanına hücuma başladığı barədə xəbərdarlıq edir.[9]
Bəzi botnetlər tanınmış protokolların xüsusi versiyalarını həyata keçirir. Tətbiq fərqləri botnetlərin aşkarlanması üçün istifadə edilə bilər. Məsələn, Mega-D spam imkanlarını sınaqdan keçirmək üçün bir qədər dəyişdirilmiş Sadə Poçt Transfer Protokolu (SMTP) tətbiqinə malikdir. Mega-D-nin SMTP serverinin aşağı salınması eyni SMTP serverinə güvənən botların bütün hovuzunu deaktiv edir.[10]