Złośliwe oprogramowanie, służące do zarabiania pieniędzy przez przestępców z internetowego podziemia, jest dobrze skoordynowane. Komputery użytkowników są infekowane złośliwym oprogramowaniem, wykorzystując m.in. luki w przeglądarkach lub wtyczkach, takich jak Flash czy Adobe Reader. Następnie z takich komputerów tworzy się sieci - botnety.

Aby móc skorzystać z całej sieci botów, niezbędne są serwery kontrolujące ich działalność (nazywane serwerami C&C od ang. Command and Control), które koordynują wysyłanie spamu, kradzież danych, aktualizację oprogramowania oraz inne działania. Komunikację z tymi serwerami inicjują zainfekowane stacje robocze. Wynika to stąd, że większość z nich pracuje w sieciach LAN o prywatnej adresacji, często przy zmiennym IP. Połączenia te są zazwyczaj szyfrowane za pomocą SSL, zatem próby analizy treści na typowej zaporze sieciowej są skazane z góry na niepowodzenie. Tymczasem zablokowanie takiej komunikacji sprawia, że komputery przestają być częścią botnetu i nie mogą wykonywać nowych zadań.

Blokowanie zainfekowanych komputerów osiąga się za pomocą różnych metod. Najbardziej skomplikowana polega na sprawdzeniu systemu za pomocą oprogramowania antywirusowego i skanerów podatności, a następnie odpowiedniej decyzji mechanizmów kontroli dostępu do sieci (NAC). Najprostszą z nich jest zablokowanie konkretnych połączeń na zaporze. Problemem pozostaje lista adresów IP, gdyż zmieniają się one dość często.

Trzeba odciąć sieć

Najważniejszym i najbardziej wrażliwym na zakłócenie miejscem w botnecie jest komunikacja z serwerem kontrolującym sieć. Administratorzy botnetów dobrze o tym wiedzą, dlatego w złośliwym oprogramowaniu początkowo zaimplementowano listę wielu adresów IP, z których korzystały alternatywne serwisy. Blokowanie numerycznych adresów od początku było nieskuteczne, gdyż bardzo prędko twórcy botnetów zaczęli korzystać z adresów DNS. W ten sposób serwery C&C są lokalizowane do dziś, chociaż zaszyte na stałe adresy domenowe nie zapewnią już ciągłości pracy takiej podziemnej sieci.

Początkowo dwa lub trzy adresy domenowe gwarantowały trwałość botnetu, gdyż zamknięcie jednej domeny nie powodowało utraty kontroli nad siecią. W miarę wzrostu zagrożenia cyberprzestępczością, organy ścigania wielu krajów zaczęły znacznie szybciej wnioskować o zamykanie domen i proces ten się zdecydowanie usprawnił.

Jednocześnie pojawiły się narzędzia do wykrywania ruchu botnetów (obecnie z dość dużym prawdopodobieństwem potrafi to wiele sieciowych rozwiązań typu IPS), które stały się jeszcze skuteczniejsze w miarę wzrostu ruchu związanego z kontrolą botnetu. Gdy administratorzy zaczęli instalować urządzenia wykrywające niepożądany ruch w środowisku dużych sieci, okazało się, że połączenia kierowane z pojedynczych stacji roboczych do serwerów C&C są zbyt proste do zablokowania. Powstały zatem zdecentralizowane struktury wewnętrzne (patrz ramka), których nie da się tak łatwo wyłączyć bez ingerencji w pracę samej sieci.