Botnet lub sieć zombie to sieć komputerów zainfekowanych szkodliwym programem, która pozwala cyberprzestępcom zdalnie kontrolować zarażone maszyny bez wiedzy ich użytkowników. Takie sieci zombie stały się źródłem dochodów dla całych grup cyberprzestępczych. Niezmiennie niski koszt utrzymania botnetu i coraz mniej wiedzy wymaganej do zarządzania takim botnetem przyczyniają się do wzrostu popularności, a w konsekwencji, liczby botnetów.

Jak powstaje botnet? Co musi zrobić cyberprzestępca, który potrzebuje botnetu? Istnieje wiele możliwości, w zależności od umiejętności przestępcy. Niestety, ci, którzy postanowili stworzyć botnet od zera, nie będą mieli żadnych problemów ze znalezieniem wskazówek w Internecie.

Cyberprzestępca może stworzyć nową sieć zombie. W tym celu musi zainfekować maszyny użytkowników specjalnym programem o nazwie bot. Boty to szkodliwe programy, które łączą komputery w botnety. Jeżeli osoba, która chce rozpocząć "biznes", nie posiada żadnych umiejętności programistycznych, na forach internetowych może znaleźć mnóstwo ofert "botów na sprzedaż". Tą samą drogą można zamówić zaciemnianie (zaciemnianie polega na ukryciu kodu źródłowego programu w celu utrudnienia wykrywania przez programy antywirusowe) oraz szyfrowanie kodu tych programów, aby zapewnić ochronę botom przed wykryciem ich przez narzędzia bezpieczeństwa. Inną możliwością jest kradzież istniejącego botnetu.

Kolejnym krokiem, jaki musi wykonać cyberprzestępca, jest zainfekowanie maszyn użytkownika botem. W tym celu wykorzystuje jedną z następującym metod: wysyła spam, umieszcza wiadomości na forach i w portalach społecznościowych lub przeprowadza atak drive-by download. Ewentualnie, bot może zawierać funkcję samodzielnego rozmnażania się, taką jak wirusy i robaki.

Podczas zamawiania wysyłek spamowych lub zamieszczania wiadomości na forach i portalach społecznościowych, w celu nakłonienia potencjalnych ofiar do zainstalowania bota, cyberprzestępcy wykorzystują różne chwyty socjotechniczne. Na przykład, oferują użytkownikowi obejrzenie interesującego filmu wideo, pod warunkiem że pobiorą specjalny kodek. Naturalnie, osoba, która pobierze i uruchomi plik, nie obejrzy żadnego filmu. Użytkownik prawdopodobnie nie zauważy żadnych zmian, jednak komputer zostanie zainfekowany. W rezultacie, komputer stanie się posłusznym sługą właściciela botnetu.

Inna, powszechnie stosowna metoda polega na ukradkowym pobieraniu szkodliwego oprogramowania z wykorzystaniem ataków drive-by-download. Metoda ta opiera się na wykorzystywaniu różnych luk w zabezpieczeniach aplikacji, w szczególności w popularnych przeglądarkach, poprzez które na komputer pobierane jest szkodliwe oprogramowanie w wyniku odwiedzenia przez użytkownika zainfekowanej strony internetowej. Służą do tego specjalne programy zwane exploitami, które wykorzystują luki w zabezpieczeniach nie tylko do ukradkowego pobrania szkodliwego oprogramowania, ale również uruchomienia go bez wiedzy użytkownika. Jeżeli atak powiedzie się, użytkownik nawet nie będzie podejrzewał, że z jego komputerem coś jest nie tak. Ta metoda rozprzestrzeniania szkodliwego oprogramowania jest szczególnie niebezpieczna, ponieważ zainfekowanie jednego popularnego zasobu sieciowego może spowodować zarażenie dziesiątek tysięcy komputerów.

Rysunek 1. Przynęta na użytkowników (fałszywy post na Youtube)

Bot może zawierać funkcję samodzielnego rozprzestrzeniania się w sieciach komputerowych, np. poprzez infekowanie wszystkich plików wykonywalnych, do których może uzyskać dostęp, lub poprzez skanowanie sieci w poszukiwaniu komputerów podatnych na ataki i infekowanie ich. Przykładami takich botów są rodziny Virus.Win32.Virut oraz Net-Worm.Win32.Kido. Pierwszy z nich jest infektorem plików polimorficznych, drugi - robakiem sieciowym. Nie należy lekceważyć skuteczności takiego podejścia: sieć zombie stworzona przez robaka Kido należy dzisiaj do największych na świecie.

Właściciel botnetu może kontrolować zainfekowane komputery niczego niepodejrzewających osób poprzez centrum C&C, łączenie się z botami za pośrednictwem kanału IRC, połączenie sieciowe lub inne dostępne kanały. Aby botnet zarabiał na swojego właściciela, wystarczy połączyć w sieć kilkadziesiąt maszyn. Dochody są uzależnione od stabilności sieci zombie i współczynnika wzrostu.