Botnet é uma rede de computadores “zumbis” infectados (bots), que são mais frequentemente usados por hackers para organizar ataques DDoS e envio de spam em massa, mas também para atividades mais complexas – por exemplo, mineração de criptomoedas. Na maioria dos casos, a botnet é gerenciada por um servidor (modelo cliente-servidor); menos frequentemente é uma rede descentralizada (P2P). Uma botnet pode consistir em milhões de computadores infectados.
Por design, o software cliente botnet é um híbrido de um Trojan e um rootkit. Os sinais de infecção geralmente não aparecem de forma alguma até que o bot receba um comando para ativar. Durante sua operação, o tráfego da Internet e a carga de recursos aumentam (isso, aliás, é um possível sinal de que o dispositivo se tornou um bot).
Além de listas de discussão massivas e ataques, botnets espalham vírus e roubam dados pessoais. O Malware pode incluir um downloader que baixa Trojans e outros vírus pela rede, atualiza uma versão antiga do bot, etc.
auditoria de segurança da Informação
A maioria das versões de bots suporta a função proxy para que um computador infectado possa atuar como um servidor proxy, mascarando o endereço real do servidor do invasor.
O caso de uso mais comum são os ataques DDoS, que podem desativar um site ou rede (por exemplo, uma rede de dispositivos IoT). Os ataques DDoS são frequentemente ordenados por concorrentes — por exemplo, lojas online e organizações financeiras, onde o principal fluxo de clientes vem da Internet, e o tempo de inatividade prolongado ameaça perdas sérias. Portanto, botnets avançadas como Emotet ou Dridex são um negócio bastante lucrativo.
Em cerca de metade dos casos, o computador se transforma em um bot após baixar um Trojan. Mas esse método, devido ao aprimoramento cada vez mais ativo dos antivírus, já é considerado antiquado.
Um exemplo de infecção mais sofisticada: um hacker escaneia blogs e fóruns, encontra vulnerabilidades neles, anexa um exploit (código malicioso executável) ao site, que é ativado através de um “buraco” do navegador quando um usuário visita um recurso infectado.