По оценке Incapsula, за год программы-боты повысили свою активность и вновь обогнали людей по объему трафика. Согласно статистике ИБ-компании, в 2016 году боты генерировали 51,8% интернет-трафика, тогда как годом ранее они впервые уступили пальму первенства живым пользователям.

Рост бот-трафика в 2016 году происходил в основном за счет активизации «хороших» ботов. Из 504 уникальных полезных программ, которые экспертам удалось идентифицировать, 278 заходили в сеть Incapsula как минимум 1 тыс. раз в сутки, при этом больше половины демонстрировали рост активности. На вредоносные боты в отчетный период пришлось около 29% интернет-трафика — примерно столько же, сколько и в прежние годы.

Примечательно, что на безвестные сайты «плохие» боты, да и «хорошие», заглядывают намного чаще людей. Ботам безразлично отношение к домену живых обитателей Всемирной паутины, они будут посещать его даже при отсутствии людского трафика.

Из «плохих» ботов по-прежнему наиболее активны имитаторы; в 2016 году на их долю пришлось 24,3% совокупного трафика и 84% вредоносных атак на защищаемые Incapsula сайты. Преобладание ботов-имитаторов эксперты объясняют простотой маскировки под законного пользователя, помогающей обходить защитные решения. Боты-имитаторы используются в большинстве автоматизированных атак, их прикрывают фальшивым HTTP(S)-заголовком user-agent, которого зачастую бывает достаточно, чтобы получить доступ. Более продвинутые боты этого вида имитируют поведение браузера, в том числе сохраняют куки-файлы и парсят JavaScript.

В силу своей способности имитировать легальные запросы такие боты также массово используются для проведения DDoS-атак. Наибольшую активность в этом плане проявлял Nitol, замаскированный под пользователя устаревшей версии Internet Explorer;  на долю Nitol в отчетный период пришлось 0,12% веб-трафика. Второе место по вредоносной активности занял Cyclone, имитирующий поисковые боты, в основном Google и Baidu.

Особо эксперты отметили появление нового DDoS-бота — Mirai. Когда эти боты проводят атаку типа HTTP flood, они, по свидетельству Incapsula, тоже используют маскарад: имитируют Chrome или Safari. Примечательно, что обличья, используемые ботами-имитаторами, постоянно меняются; так, в период сбора данных для годового отчета для Nitol было зарегистрировано свыше 14 тыс. разных вариантов user-agent и 17 различных электронных персон.

«Хорошие» боты Incapsula условно разделяет на четыре группы: сборщики фидов для мобильных и веб-приложений, поисковики, коммерческие роботы (обычно добывают данные для прямого маркетинга) и мониторинговые — те, которые контролируют доступность сайтов и работу различных онлайн-функций. Наиболее активными из них оказались фидеры приложений, в минувшем году они генерировали 12,2% веб-трафика. Среди них лидирует бот, ассоциируемый с мобильным приложением Facebook (4,4% трафика). Второе место занял фреймворк Android, на третьем оказался CFNetwork, используемый на iPhone.

В целом на боты, ассоциируемые с мобильными приложениями и сервисами, пришлось более 69% трафика, генерируемого сборщиками фидов. На 10,6% возрос также мобильный трафик, создаваемый живыми пользователями, хотя запросы с десктопов здесь пока преобладают: на них в прошлом году пришлось порядка 55,4% посещений, инициированных человеком.

Наиболее тревожным и стойким трендом, нашедшим также отражение в новом отчете Incapsula, является автоматизация вредоносных атак. Согласно статистике компании, последние пять лет каждый третий посетитель сайта является вредоносным ботом. Большинство бизнесменов, ведущих деловые операции онлайн, сталкиваются с неодушевленными исполнителями атаки на регулярной основе. Так, за 90 дней сбора данных исследователями 94,2% доменов из контрольной выборки хотя бы раз подверглись бот-атаке. Зачастую такая атака является частью масштабной кампании с применением автоматизированных средств, но последствия ее для плохо защищенных сайтов могут оказаться катастрофическими.

Новый годовой отчет Incapsula по бот-трафику, пятый по счету, составлен на основе анализа данных более чем о 16,7 млрд визитов в 100 тыс. доменов в клиентской сети компании, выбранных случайным образом. Сбор данных производился в период с 9 августа по 6 ноября 2016 года по всем 249 странам и территориям с особым статусом.

На миниатюре представлен фрагмент инфографики, приведенной в блог-записи Incapsula.

Категории: Аналитика, Вредоносные программы, Главное