Botnetinfecties is een netwerk van geïnfecteerde “zombie” computers (bots), die het vaakst worden gebruikt door hackers om DDoS – aanvallen en massale spam mailing te organiseren, maar ook voor meer ingewikkelde activiteiten-bijvoorbeeld cryptocurrency mining. In de meeste gevallen wordt het botnet beheerd door een server (client-server model); minder vaak is het een gedecentraliseerd netwerk (P2P). Een botnet kan bestaan uit miljoenen geïnfecteerde computers.
De botnet client software is een hybride van een Trojan en een rootkit. Tekenen van infectie verschijnen meestal op geen enkele manier totdat de bot een commando ontvangt om te activeren. Tijdens de werking nemen het internetverkeer en de belasting van de bronnen toe (Dit is trouwens een mogelijk teken dat het apparaat een bot is geworden).
Naast massale mailinglijsten en aanvallen verspreiden botnets virussen en stelen ze persoonlijke gegevens. Malware kan een downloader bevatten die Trojaanse paarden en andere virussen via het netwerk downloadt, een oude versie van de bot bijwerkt, enz.
audit van informatiebeveiliging
De meeste versies van bots ondersteunen de proxy-functie, zodat een geïnfecteerde computer kan fungeren als een proxyserver, waarbij het echte adres van de server van de aanvaller wordt gemaskeerd.
De meest voorkomende use case is DDoS-aanvallen, die een website of netwerk (bijvoorbeeld een netwerk van IoT-apparaten) kunnen uitschakelen. DDoS-aanvallen worden vaak besteld door concurrenten — bijvoorbeeld online winkels en financiële organisaties, waar de belangrijkste stroom van klanten afkomstig is van het Internet, en langdurige downtime dreigt ernstige verliezen. Daarom zijn geavanceerde botnets zoals Emotet of Dridex behoorlijk winstgevend.
In ongeveer de helft van de gevallen verandert de computer in een bot na het downloaden van een Trojan. Maar deze methode, vanwege de steeds actievere verbetering van antivirussen, wordt al als ouderwets beschouwd.
Een voorbeeld van een meer geavanceerde infectie: een hacker scant blogs en forums, vindt kwetsbaarheden in hen, hecht een exploit (uitvoerbare kwaadaardige code) aan de site, die wordt geactiveerd via een browser “gat” wanneer een gebruiker een geïnfecteerde Bron bezoekt.