Botnet

A botnetek felhasználhatók elosztott szolgáltatásmegtagadással járó (DDoS) támadások végrehajtására, adathalászatra, spamek küldésére, és lehetővé teszik a támadó számára, hogy hozzáférjen az eszközhöz és annak kapcsolatához. A tulajdonos a botnetet parancs- és vezérlő (C&C) szoftverrel irányíthatja. A "botnet" szó a "robot" és a "network" szavak összetételéből képzett szóösszetétel. A kifejezést általában negatív vagy rosszindulatú jelentéssel használják.

A botnet az internetre csatlakoztatott eszközök, például számítógépek, okostelefonok vagy a dolgok internete (IoT) eszközeinek logikai gyűjteménye, amelyek biztonságát megsértették, (köznapi nyelven: feltörték) és az irányítást átvette egy harmadik fél aki a "hacker". Minden egyes veszélyeztetett eszköz, amelyet "botnak" neveznek, akkor jön létre, amikor egy eszközbe behatol egy rosszindulatú szoftver (malware) terjesztéséből származó végrehajtandó kód. A botnet irányítója képes irányítani e kompromittált számítógépek tevékenységét a szabványokon alapuló hálózati protokollok, például az IRC és a Hypertext Transfer Protocol (HTTP) által kialakított kommunikációs csatornákon keresztül. A botneteket a kiberbűnözők egyre gyakrabban adják bérbe árucikként különböző célokra.

A botnetek felépítése az idők során sokat fejlődött, annak érdekében hogy elkerüljék a felderítést és az általuk végrehajtott interakció megszakítását. A botprogramok hagyományosan kliensként épülnek fel, amelyek a meglévő kiszolgálókon keresztül kommunikálnak. Ez lehetővé teszi a botherder (a botnet irányítója) számára, hogy minden irányítást egy távoli helyről végezzen, ami elhomályosítja a forgalmat. Sok újabb botnet ma már a meglévő egyenrangú hálózatokra támaszkodik a kommunikációhoz. Ezek a P2P botprogramok ugyanazokat a műveleteket hajtják végre, mint a kliens-szerver modell, de nincs szükségük központi szerverre a kommunikációhoz.

Ügyfél-Szerver modell

 

Az első botnetek az interneten ügyfél-szerver modellt használtak feladataik elvégzésére. Ezek a botnetek jellemzően Internet Relay Chat hálózatokon, tartományokon vagy webhelyeken keresztül működtek. A fertőzött kliensek egy előre meghatározott helyre lépnek be, és várják a szerverről érkező parancsokat. A botgazda parancsokat küld a szervernek, amely továbbítja azokat a klienseknek. A kliensek végrehajtják a parancsokat, és az eredményeket visszajelzik a botgazdának.

Az IRC botnetek esetében a fertőzött ügyfelek csatlakoznak egy szintén fertőzött IRC-kiszolgálóhoz, és csatlakoznak egy olyan csatornához, amelyet a botgazda előre kijelölt a C&C számára. A botgazda az IRC-kiszolgálón keresztül parancsokat küld a csatornának. Az egyes kliensek lekérdezik a parancsokat, és végrehajtják azokat. Az ügyfelek üzeneteket küldenek vissza az IRC-csatornára a műveleteik eredményéről.

Peer-to-peer

 

Az IRC botnetek felderítésére és kiiktatására tett erőfeszítésekre válaszul a botterjesztők rosszindulatú szoftvereket telepítenek a peer-to-peer hálózatokra. Ezek a botok digitális aláírást használhatnak, hogy csak az irányíthassa a botnetet, aki hozzáfér a privát kulcshoz. Lásd pl. Gameover ZeuS és ZeroAccess botnet.

Az újabb botnetek teljes mértékben P2P-hálózatokon keresztül működnek. Ahelyett, hogy egy központi szerverrel kommunikálnának, a P2P botnetek parancselosztó szerverként és parancsokat fogadó kliensként is működnek, így elkerülhető, hogy egyetlen hibapont legyen, ami a központosított botnetek esetében problémát jelent.

Más fertőzött gépek felkutatásához a bot diszkréten szondázza a véletlenszerű IP-címeket, amíg kapcsolatba nem lép egy másik fertőzött géppel. A megkeresett bot olyan információkkal válaszol, mint a szoftver verziója és az ismert botok listája. Ha az egyik bot verziója alacsonyabb, mint a másiké, akkor a frissítés érdekében fájlátvitelt kezdeményez. Ily módon minden bot növeli a fertőzött gépek listáját, és az összes ismert bottal való rendszeres kommunikációval frissíti magát.

A botnet létrehozója (más néven "botherder" vagy "botgazda") távolról irányítja a botnetet. Ezt nevezik parancsnoklásnak és irányításnak (C&C). A műveletet végző programnak egy rejtett csatornán keresztül kell kommunikálnia az áldozat gépén (zombi számítógép) lévő klienssel.

Ellenőrző protokollok

Az IRC a kommunikációs protokollja miatt a C&C egyik kedvelt eszköze. A botgazda létrehoz egy IRC-csatornát, amelyhez a fertőzött ügyfelek csatlakozhatnak. A csatornára küldött üzeneteket a csatorna minden tagja megkapja. A botgazda beállíthatja a csatorna témáját úgy, hogy az a botnetet irányítsa. Például a botgazda :[email protected] TOPIC #channel DDoS www.victim.com üzenete a #csatornához tartozó összes fertőzött ügyfelet figyelmezteti, hogy kezdjenek DDoS-támadást a www.victim.com weboldal ellen. Egy példa válasz :[email protected] PRIVMSG #channel I am DDoSing www.victim.com egy bot kliens által küldött válasza figyelmezteti a bot botgazdát, hogy megkezdte a támadást.

Egyes botnetek a jól ismert protokollok egyéni változatait valósítják meg. A megvalósítási különbségek felhasználhatók a botnetek felderítésére. A Mega-D például egy kissé módosított Simple Mail Transfer Protocol (SMTP) implementációval rendelkezik a spamképesség tesztelésére. A Mega-D SMTP-kiszolgálójának leállítása letiltja az összes olyan botnetet, amelyek ugyanarra az SMTP-kiszolgálóra támaszkodnak.

Az informatikában a zombi számítógép az internetre csatlakoztatott számítógép, amelyet hacker, számítógépes vírus vagy trójai faló támadott meg, és távoli irányítással rosszindulatú feladatok elvégzésére használható. A zombi számítógépekből álló botneteket gyakran használják e-mail spamek terjesztésére és elosztott szolgáltatásmegtagadással járó támadások (DDoS) indítására. A zombi számítógépek tulajdonosai többnyire nincsenek tudatában annak, hogy rendszerüket ilyen módon használják. Mivel a tulajdonosok általában nem tudnak róla, ezeket a számítógépeket metaforikusan a zombikhoz hasonlítják. A több botnet-gép által koordinált DDoS-támadás is hasonlít egy zombihorda támadásához. A számítástechnikai erőforrások ellopásának folyamatát, amely egy rendszer "botnethez" való csatlakozása következtében jön létre, néha "scrumping"-nak nevezik.

A botnet irányítási és ellenőrzési (C&C) protokollokat számos módon valósították meg, a hagyományos IRC-megközelítéstől a kifinomultabb változatokig.

Telnet

A telnet botnetek egy egyszerű C&C botnet protokollt használnak, amelyben a botok a fő parancsnoki szerverhez csatlakoznak, hogy a botnetnek otthont adjanak. A botokat egy szkript segítségével adják hozzá a botnethez, amely egy külső kiszolgálón fut, és IP-tartományokat vizsgál a telnet és SSH szerver alapértelmezett bejelentkezései után. Amint egy bejelentkezést talál, a szkennelőszerver megfertőzheti azt SSH-n keresztül rosszindulatú szoftverrel, amely a vezérlőszerverre pingel.

IRC

Az IRC-hálózatok egyszerű, alacsony sávszélességű kommunikációs módszereket használnak, ezért széles körben használják őket botnetek elhelyezésére. Ezek általában viszonylag egyszerű felépítésűek, és mérsékelt sikerrel használják őket DDoS-támadások és spamkampányok koordinálására, miközben folyamatosan képesek csatornát váltani, hogy elkerüljék a lekapcsolást. Egyes esetekben azonban bizonyos kulcsszavak puszta blokkolása is hatékonynak bizonyult az IRC-alapú botnetek megállításában. Az RFC 1459 (IRC) szabvány népszerű a botnetek körében. Az első ismert népszerű botnet-vezérlő szkript, a "MaXiTE Bot" az IRC XDCC protokollt használta a privát vezérlőparancsokhoz.

Az IRC használatával az egyik probléma az, hogy minden botkliensnek ismernie kell az IRC-kiszolgálót, a portot és a csatornát ahhoz, hogy a botnet számára hasznos legyen. A rosszindulatú szoftverek elleni szervezetek felismerhetik és leállíthatják ezeket a szervereket és csatornákat, így a botnet-támadás gyakorlatilag megállítható. Ha ez megtörténik, a kliensek továbbra is fertőzöttek maradnak, de jellemzően lappanganak, mivel nem tudnak kapnak utasításokat. E probléma enyhítése érdekében a botnet több szerverből vagy csatornából is állhat. Ha az egyik szerver vagy csatorna működésképtelenné válik, a botnet egyszerűen átvált egy másikra. Az IRC-forgalom megfigyelésével még mindig lehetséges további botnet-kiszolgálók vagy -csatornák észlelése és megszakítása. A botnet ellenfelei potenciálisan még a vezérlési séma ismeretére is szert tehetnek, és parancsok helyes kiadásával utánozhatják a botgazdát.

P2P

Mivel az IRC-hálózatokat és tartományokat használó botnetek többsége idővel leállítható, a hackerek a C&C-vel ellátott P2P botnetekre váltottak, hogy a botnetet rugalmasabbá és ellenállóbbá tegyék a kiiktatással szemben. .

Néhányan titkosítást is használtak, hogy biztosítsák vagy lezárják a botnetet mások elől, legtöbbször, amikor titkosítást használnak, az nyilvános kulcsú titkosítás, és kihívást jelentett mind a megvalósítás, mind a feltörés.

Domainek

Sok nagy botnet inkább domaineket használ az IRC helyett (lásd Rustock botnet és Srizbi botnet). Általában golyóálló tárhelyszolgáltatóknál vannak elhelyezve. Ez a C&C egyik legkorábbi típusa. A zombi számítógép egy speciálisan kialakított weboldalhoz vagy tartomány(ok)hoz fér hozzá, amely az irányító parancsok listáját szolgálja ki. A weboldalak vagy domainek C&C-ként való használatának előnye, hogy egy nagy botnet hatékonyan irányítható és karbantartható egy nagyon egyszerűen és könnyen frissíthető kóddal.

A módszer használatának hátránya, hogy jelentős sávszélességet használ, és a domaineket a kormányzati szervek kis erőfeszítéssel gyorsan lefoglalhatják. Ha a botneteket irányító tartományokat nem foglalják le, akkor azok szintén könnyű célpontok, amelyeket szolgáltatásmegtagadási támadásokkal lehet kompromittálni.

A gyorsfolyamú DNS-ek segítségével meg lehet nehezíteni az irányító szerverek felkutatását, amelyek napról napra változhatnak. Az irányító szerverek DNS-tartományról DNS-tartományra is ugrálhatnak, a tartománygeneráló algoritmusok segítségével új DNS-neveket hozhatnak létre a vezérlő szerverek számára.

Egyes botnetek ingyenes DNS-hosztingszolgáltatásokat használnak, mint például a DynDns.org, No-IP.com és Afraid.org, hogy egy aldomaint a botokat rejtő IRC-kiszolgáló felé irányítsanak. Bár ezek az ingyenes DNS-szolgáltatások önmagukban nem fogadnak támadásokat, de referenciapontokat biztosítanak (gyakran a botnet futtatható programjába kódolva). Az ilyen szolgáltatások eltávolítása megbéníthatja az egész botnetet.

FTP-alapú C&C rendszer

Sok más protokollhoz hasonlóan az FTP-vel is kísérleteztek, mint ellenőrzési csatornával. Manapság ez a típus nem gyakran fordul elő. Van azonban egy olyan bot-típus, amely rendszeresen használ FTP C&C-t, ez pedig az adathalász vagy banki adatokra irányuló trójai. Ezek a botok, mint például a Dumador vagy a Haxdoor, alapvetően keyloggerek, azzal a különbséggel, hogy sokkal kiterjedtebbek. Figyelik ("szimatolják") az adatforgalmat, amikor a felhasználó a kompromittált rendszeren szörföl az interneten. Ha a felhasználó egy titkosított weboldalra lép be (HTTPS), akkor a számítógépen maga is man-in-the-middle támadást hajt végre. Mivel ez a támadás magán az áldozat gépén zajlik, gyakran nevezik "man in the machine" támadásnak. A bot egy hamis weboldalt mutat be a felhasználónak. Ezzel a technikával lehetőség van hitelesítési adatok stb rögzítésére. Az ellopott adatokat ezután feltöltik egy FTP-kiszolgálóra, ahol a bot üzemeltetője fenntarthatja azokat. A bot-üzemeltetők általában részletes statisztikákat készítenek az adatokról és azok eredetéről.

A top 10 ország, ahol 2008-ban a botnet Irányító és ellenőrző szervereket azonosították:

• Egyesült Államok: 16774
• Németország: 3909
• Kína: 2998
• Oroszország: 2960
• Kanada: 2388
• Nagy-Britannia: 1703
• Dél-Korea: 1151
• Franciaország: 985
• Malajzia: 857
• Japán: 788

Továbbiak

A nagy közösségi médiaoldalak, például a GitHub, a Twitter, a Reddit, az Instagram, az XMPP nyílt forráskódú azonnali üzenet protokoll, és a Tor rejtett szolgáltatások, népszerű módjai a C&C szerverrel való kommunikációhoz a kilépési szűrés elkerülése érdekében.

Hagyományos

Ez a példa azt szemlélteti, hogyan jön létre és hogyan használják fel a botnetet rosszindulatú célokra.

1. Egy hacker megvásárol vagy létrehoz egy trójai vírust és/vagy exploit kitet, és azzal kezdi el megfertőzni a felhasználók számítógépeit, amelyek hasznos terhe (payloadja) egy rosszindulatú alkalmazás - a bot.
2. A bot arra utasítja a fertőzött számítógépet, hogy csatlakozzon egy adott Irányító és ellenőrzőszerverhez (C&C). (Ez lehetővé teszi a botgazda számára, hogy naplót vezessen arról, hogy hány bot aktív és online.)
3. A botgazda ezután a botokat billentyűleütések gyűjtésére vagy űrlaprablással online hitelesítő adatok ellopására használhatja, és a botnetet DDoS és/vagy spam szolgáltatásként bérbe adhatja, vagy a hitelesítő adatokat online eladhatja.
4. A botok minőségétől és képességeitől függően az érték növekszik vagy csökken.

Az újabb botok képesek automatikusan átvizsgálni a környezetüket, és a sebezhetőségek és gyenge jelszavak felhasználásával szaporodni. Általában minél több sebezhetőséget tud egy bot szkennelni és szaporítani, annál értékesebbé válik a botnetet irányító közösség számára.

A számítógépek akkor válhatnak egy botnet részévé, ha rosszindulatú szoftvert futtatnak. Ezt úgy lehet elérni, hogy a felhasználókat drive-by letöltésre csábítják, (Olyan letöltések, amelyeket a felhasználó engedélyezett, de nem érti azok következményeit pl. olyan letöltések, amelyek ismeretlen vagy hamisított futtatható programot, ActiveX komponenst vagy Java appletet telepítenek) kihasználják a webböngésző sebezhetőségeit, vagy becsapják a felhasználót egy trójai program futtatására, amely érkezhet egy e-mail mellékletből. Ez a rosszindulatú szoftver általában olyan modulokat telepít, amelyek lehetővé teszik, hogy a számítógépet a botnet üzemeltetője irányítsa és ellenőrizze. A szoftver letöltése után "hazatelefonál" (újrakapcsolódási csomagot küld) a gazdaszámítógépnek. Amikor az újrakapcsolódás megtörténik, a trójai a megírásától függően törölheti magát, vagy jelen maradhat a modulok frissítése és karbantartása érdekében.

Egyebek

Bizonyos esetekben a botnetet ideiglenesen önkéntes hacktivisták hozták létre, mint például a Low Orbit Ion Cannon megvalósításai, amelyeket a 4chan tagjai használtak a Project Chanology során 2010-ben.

A kínai Great Cannon of China lehetővé teszi a törvényes webböngészési forgalom módosítását az internet gerinchálózatán Kínában, hogy egy nagy átmeneti botnetet hozzanak létre nagy célpontok megtámadására. Például a GitHub megtámadása 2015-ben.

1. A legtöbb botnet jelenleg olyan elosztott szolgáltatásmegtagadási támadásokat alkalmaz, amelyek során több rendszer a lehető legtöbb kérést küldi egyetlen internetes számítógéphez vagy szolgáltatáshoz, túlterhelve azt, és megakadályozva azt a jogos kérések kiszolgálásában. Erre példa az áldozat szervere elleni támadás. Az áldozat szerverét a botok kérésekkel bombázzák, amelyek megpróbálnak csatlakozni a szerverhez, így túlterhelve azt.
2. A kémprogramok olyan szoftverek, amelyek információkat küldenek készítőiknek a felhasználó tevékenységeiről - jellemzően jelszavakat, hitelkártyaszámokat és egyéb, a feketepiacon eladható információkat. A vállalati hálózaton belül található kompromittált gépek többet érhetnek a botgazda számára, mivel gyakran bizalmas vállalati információkhoz juthatnak hozzá.
3. Több nagyvállalatok elleni célzott támadás is érzékeny információk ellopására irányult, mint például az Aurora botnet.
4. Az e-mail spamek olyan e-mail üzenetek, amelyeket emberektől származó üzenetnek álcáznak, de vagy reklám, vagy bosszantó, illetve rosszindulatúak.
5. A kattintásos csalás az, amikor a felhasználó számítógépe a felhasználó tudta nélkül látogat meg weboldalakat, hogy személyes vagy kereskedelmi haszonszerzés céljából hamis webes forgalmat hozzon létre.
6. A CHEQ, Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet című kiadványa szerint a hirdetési csalás gyakran a rosszindulatú bottevékenység következménye. A botok kereskedelmi céljai közé tartozik, hogy az influencerek arra használják őket, hogy növeljék feltételezett népszerűségüket, az online kiadók pedig arra használják a botokat, hogy növeljék a hirdetésre történő kattintások számát, így az oldalak több jutalékot kapnak a hirdetőktől.
7. A bitcoin-bányászatot is használták néhány újabb botnetben, amelyek a botnet üzemeltetőjének profitszerzése érdekében magukban foglalják a bitcoin-bányászat funkcióját.
8. Az önterjesztő funkció, amely az előre konfigurált parancs- és vezérlő (C&C) utasítás keresése érdekében célzott eszközöket vagy hálózatot tartalmaz, hogy több vírusfertőzést érjen el, szintén több botnetben is megfigyelhető. A botnetek egy része ezt a funkciót használja a fertőzések automatizálására.

A botnet-irányítók közösségében állandó és folyamatos küzdelem folyik arról, hogy ki rendelkezik a legtöbb bottal, a legnagyobb teljes sávszélességgel és a legtöbb "jó minőségű" fertőzött géppel, például egyetemi, vállalati vagy akár kormányzati gépekkel. Bár a botneteket gyakran az őket létrehozó rosszindulatú szoftverről nevezik el, több botnet jellemzően ugyanazt a rosszindulatú szoftvert használja, de különböző entitások működtetik.

A botnetek számos elektronikus csaláshoz használhatók. Ezek a botnetek rosszindulatú szoftverek, például vírusok terjesztésére használhatók, hogy átvegyék az irányítást a normál felhasználók számítógépe/szoftvere felett. Azzal, hogy átveszik az irányítást valaki személyes számítógépe felett, korlátlan hozzáférést kapnak a személyes adatokhoz, beleértve a jelszavakat és a fiókok bejelentkezési adatait. Ezt hívják adathalászatnak. Az adathalászat az "áldozat" fiókjaihoz való bejelentkezési adatok megszerzése egy olyan linkkel, amelyre az "áldozat" rákattint, és amelyet e-mailben vagy sms-ben küldenek. A Verizon felmérése szerint az elektronikus "kémkedési" esetek mintegy kétharmada adathalászatból származik.

A botnetek földrajzi szétszóródása azt jelenti, hogy minden egyes újonnan felvett vírust egyesével kell azonosítani/elzárni/javítani, és ez korlátozza a szűrés előnyeit.

A számítógépes biztonsági szakértőknek sikerült megsemmisíteniük vagy megzavarniuk a rosszindulatú szoftverek parancsnoki és vezérlőhálózatát, többek között úgy, hogy lefoglalták a szervereket vagy elvágták őket az internettől, megtagadták a hozzáférést olyan domainekhez, amelyeket a rosszindulatú szoftverek a C&C infrastruktúrával való kapcsolatfelvételre használtak volna, és egyes esetekben betörtek magába a C&C hálózatba. Erre válaszul a C&C-üzemeltetők olyan technikák alkalmazásához folyamodtak, mint például a C&C-hálózatuk más meglévő jóindulatú infrastruktúrára, például az IRC-re vagy a Torra való ráépítése, olyan peer-to-peer hálózati rendszerek használata, amelyek nem függenek semmilyen fix szervertől, valamint nyilvános kulcsú titkosítás használata a hálózatba való betörési vagy hamisítási kísérletek kivédésére.

A Norton AntiBot a fogyasztókat célozta meg, de a legtöbb célpont a vállalatok és/vagy az internetszolgáltatók. A hoszt-alapú technikák a szokásos vírusirtó szoftvereket megkerülő bot viselkedésének azonosítására új találmányokat használnak. A hálózati alapú megközelítések általában a fent leírt technikákat használják; a C&C szerverek leállítása, a DNS-bejegyzések nullázása vagy az IRC-kiszolgálók teljes leállítása. A BotHunter egy, az amerikai hadsereg kutatási irodájának támogatásával kifejlesztett szoftver, amely a hálózaton belüli botnet-tevékenységet a hálózati forgalom elemzése és a rosszindulatú folyamatokra jellemző mintákkal való összehasonlítása révén észleli. A Sandia National Laboratories kutatói úgy elemzik a botnetek viselkedését, hogy egyidejűleg egymillió Linux kernelt futtatnak - ami egy botnethez hasonló méretarány - virtuális gépként egy 4480 csomópontos nagy teljesítményű számítógépes fürtön, hogy egy nagyon nagy hálózatot emuláljanak, így megfigyelhetik, hogyan működnek a botnetek, és kísérletezhetnek a megállításuk hatásos módjával.

Az automatizált bot-támadások felderítése napról napra nehezebbé válik, mivel a támadók a botok újabb és kifinomultabb generációit hozzák létre. Egy automatizált támadás például nagy bothadsereget tud bevetni, és brute-force módszereket alkalmazhat rendkívül pontos felhasználónév- és jelszólistákkal a fiókok feltörésére. Az ötlet lényege, hogy a webhelyeket több tízezer kéréssel árasztják el a világ különböző IP-címeiről, de úgy, hogy minden egyes bot körülbelül 10 percenként csak egyetlen kérést küld, ami naponta több mint 5 millió próbálkozást eredményezhet. Ezekben az esetekben sok eszköz megpróbálja kihasználni a volumetrikus érzékelést, de az automatizált bot-támadásoknak ma már vannak módszereik az efajta érzékelés kiváltóinak megkerülésére.

Az ilyen bot-támadások felderítésének egyik technikája az úgynevezett „szignatúra-alapú rendszerek”, amelyekben a szoftver megpróbál mintákat felismerni a kérési csomagban. A támadások azonban folyamatosan fejlődnek, így ez nem biztos, hogy életképes megoldás, ha a minták nem különböztethetők meg több ezer kérésből. A botok meghiúsítására létezik a viselkedésalapú megközelítés is, amely végső soron a botokat próbálja megkülönböztetni az emberektől. A nem emberi viselkedés azonosításával és az ismert botok viselkedésének felismerésével ez a folyamat a felhasználó, a böngésző és a hálózat szintjén is alkalmazható.

A vírus elleni küzdelem legképzettebb módszere a szoftverek felhasználásával a honeypot szoftverek felhasználása volt, hogy meggyőzzék a rosszindulatú programokat arról, hogy egy rendszer sebezhető. A rosszindulatú fájlokat ezután törvényszéki szoftverek segítségével elemzik. 2014. július 15-én az Egyesült Államok Szenátusa Igazságügyi Bizottságának Bűnözés és Terrorizmus Albizottsága meghallgatást tartott a botnetek által jelentett fenyegetésekről, valamint a botnetek megzavarására és felszámolására irányuló állami és magánerőforrásokból származó erőfeszítésekről.

Ez a szakasz egyelőre üres vagy erősen hiányos. Segíts te is a kibővítésében!

A nem rosszindulatú botnetek gyakran találhatók a Minecraftban olyan dolgok után kutatva, amelyek valamilyen különleges tulajdonsággal rendelkeznek, például a címképernyő és az alapértelmezett textúracsomag képe. Ezek a botnetek önkéntes alapon működnek, lehetővé téve bármely felhasználó számára, hogy "besorozza" a számítógépét a botnetbe, és később kivegye azt, amikor már nem akarja, hogy a botnetben legyen.

Az első botnetet először az EarthLink ismerte el és leplezte le a hírhedt spammerrel, Khan C. Smith-szel folytatott per során 2001-ben. A botnetet tömeges spamek céljára építették, és akkoriban az összes spam közel 25%-át tette ki.

2006 körül, egyes botnetek méretét csökkentették, hogy meghiúsítsák a felderítésüket.

A Santa Barbara-i Kaliforniai Egyetem kutatói a vártnál hatszor kisebb botnet felett vették át az irányítást. Egyes országokban gyakori, hogy a felhasználók egy nap alatt többször is megváltoztatják IP-címüket. A botnet méretének becslését az IP-címek száma alapján gyakran használják a kutatók, ami valószínűleg pontatlan becslésekhez vezet.

• Ez a szócikk részben vagy egészben a Botnet című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

• The Honeynet Project & Research Alliance – "Know your Enemy: Tracking Botnets"
• The Shadowserver Foundation – an all-volunteer security watchdog group that gathers, tracks, and reports on malware, botnet activity, and electronic fraud
• EWeek.com – "Is the Botnet Battle Already Lost?"
• Botnet Bust – "SpyEye Malware Mastermind Pleads Guilty", FBI
• Das Anti-Botnet-Beratungszentrum – Eine Initiative der deutschen Internetwirtschaft, botfrei.de
• Trojaner 2.0 nutzen Web 2.0, Heise.de
• Vint Cerf – Ein Viertel der Internet-PCs ist Mitglied eines Bot-Netzes. Heise.de
• Was sind Bots und Botnetze? Archiválva 2010. január 11-i dátummal a Wayback Machine-ben RUS-CERT
• Vortrag über Funktion und Erkennung von Botnetzen (PDF; 639 kB)
• Neue Gefahr durch Bot-Netze mit P2P-Strukturen. Heise.de (német)
• Bruce Schneier: The Storm Worm. Archiválva 2012. június 26-i dátummal a Wayback Machine-ben q-vadis.net(angol)
• Analyse des inneren Aufbaus eines Botnets (PDF; 138 kB; angol)
• Peer-to-Peer Botnets: Overview and Case Study; weiterhin Taxonomie der Verwendungsmöglichkeiten (angol)
• BBC Sendung ‘Click’ zum Thema Botnet mit Demonstration (angol)
• Die Top 10 Botnets Archiválva 2012. április 22-i dátummal a Wayback Machine-ben(angol)

• Ken Dunham, Jim Melnick: Malicious bots. An inside look into the cyber-criminal underground of the internet. CRC Press, Boca Raton FL u. a. 2009, ISBN 978-1-4200-6903-7 (An Auerbach Book).
• Wenke Lee (Hrsg.): Botnet detection. Countering the largest security threat. Springer, New York u. a. 2008, ISBN 978-0-387-68766-7.
• Craig A. Schiller, David Harley, Gadi Evron, Carsten Willems, Tony Bradley, Michael Cross, David Dagon: Botnets. The killer web app. Syngress, Rockland MA 2007, ISBN 1-59749-135-7.