Tìm hiểu cách thức hoạt động của bootnet

Dẫn nhập Khi bị nhiễm mã độc, máy tính có nguy cơ trở thành zombie của một mạng Botnet  Tác hại của botnet không thể lường trước được, số lượng máy tính bị nhiễm và trở thành một phầ

BO TN

ET

Dẫn nhập

 Khi bị nhiễm mã độc, máy tính có nguy

cơ trở thành zombie của một mạng

Botnet

 Tác hại của botnet không thể lường trước

được, số lượng máy tính bị nhiễm và trở thành một phần của mạng botnet ngày

càng đông

Tóm tắt nội dung

 Botnet và cách thức hoạt động của chúng

 Những thành phần cơ bản trong bot

 Tấn công và chiếm quyền điều khiển máy

tính

 Ngăn chặn hiệu quả và cách đối phó với

nạn botnet

Khái niệm

 Botnet là một thuật ngữ được lấy từ ý

tưởng của cụm từ “bots network” dùng

để chỉ một mạng lưới các bot

 Một bot đơn giản là một chương trình

máy tính được điều khiển bởi ai đó hoặc

từ một nguồn nào bên ngoài

Phân loại Botnet

Có 2 loại cơ bản:

DNS Bot

IRC Bot

• Sau khi download thành công sẽ tiến

hành phân tích chỉ thị và thực thi chỉ thị tại máy bị nhiễm (zombie)

DNS bot (tt)

 Ưu điểm :Thực hiện dễ dàng, điều khiển

đơn giản chỉ cần một host bất kỳ là có thể điều khiển được, bot thực hiện được công việc ngay cả khi chủ bot offline

 Hạn chế : sự trao đổi thông tin qua lại

giữa master và bot bị hạn chế

IRC Bot

 Là phương pháp điều khiển qua các

mạng chat IRC

 Bot sử dụng winsock gửi các tệp lệnh

IRC để nhận lệnh từ từ master qua một port đã định sẵn khi cấu hình bot (*)

 Sau khi đã vào (join) kênh (chanel)

được ấn định, bot sẽ nhận lệnh từ

master thông qua kết nối IRC

IRC Bot (tt)

 Ưu điểm : Dễ dàng trong việc trao đổi

thông tin qua lại giữa master và bot

 Nhược điểm : Phụ thuộc vào các IRC

Server và người quản trị của IRC Server bởi các lưu lượng do bot tạo ra rất nhanh

và rất đáng ngờ, dễ bị phát hiện (*)

Mục đích sử dụng botnet

 Mạng Botnet thường được sử dụng để

kiểm soát các hoạt động từ việc phân phối spam, virus đến tấn công từ chối dịch vụ DDoS

 Khả năng sử dụng bot hoàn toàn phụ

thuộc vào sức sáng tạo và kỹ năng của kẻ tấn công Chúng ta hãy xem một số mục đích sử dụng phổ biến nhất

Mục đích sử dụng botnet (tt)

Nếu là master của một bots network, bạn sẽ làm

gì ? 

DDoS

 Botnet được sử dụng thường xuyên trong

các cuộc tấn công từ chối dịch vụ (DoS, DDoS, DRDoS, …)

 Ngay khi nhận được chỉ thị từ Master, các

zombies đồng loạt thực thi chỉ thị đó: tạo kết nối, gởi yêu cầu rất nhanh liên tục (*)

 Botnet là công cụ cho các spammer Được

dùng vừa để trao đổi địa chỉ e-mail thu

thập được, vừa để điều khiển cơ chế phát tán thư rác theo cùng một cách với kiểu tấn công DDoS

 Thư rác được các Spammer phân phối

qua các bot server và từ đó phát tán tới

zombies (*)

Sniffing và Keylogging

 Các bot cũng có thể được sử dụng để nâng

cao nghệ thuật cổ điển của hoạt động

sniffing (*)

 Ở dạng này các bot được điều khiển để

theo dõi các gói dữ liệu truyền đi của nạn nhân và có thể lấy một số thông tin thú vị (như mật khẩu, tên người dùng, các sở

thích cá nhân…)

Sniffing và Keylogging

 Tương tự như vậy với keylogging, một

hình thức thu thập tất cả thông tin trên bàn phím khi người dùng gõ vào máy tính

(như e-mail, password, dữ liệu ngân

hàng…)

Lấy cắp nhân dạng

 Phương pháp này cho phép kẻ tấn công

điều khiển botnet để thu thập một lượng thông tin cá nhân khổng lồ

 Những dữ liệu có thể được dùng để xây

dựng nhân dạng giả mạo, sau đó lợi dụng

để có thể truy cập tài khoản cá nhân hoặc thực hiện nhiều hoạt động khác

Sở hữu dữ liệu bất hợp pháp

 Các máy tính bot trong mạng botnet có thể

được dùng như một kho lưu trữ động tài liệu bất hợp pháp Dữ liệu được lưu trữ

trên ổ cứng trong khi người dùng không

hề hay biết

DEMO

Thư giãn || Suy ngẫm

Một khi hệ thống bị nhiễm mã độc, hệ thống có còn là của người dùng hay không

?¿

Các yếu tố một cuộc tấn công

Hình 1: Cấu trúc của một botnet điển hình

Các yếu tố một cuộc tấn công

 Đầu tiên kẻ tấn công sẽ phát tán mã độc

(vd: trojan horse) vào nhiều máy tính (*)

 Các máy tính bị tấn công gọi là zombie sẽ

tự động kết nối tới botnet server nhận lệnh điều khiển

Các yếu tố một cuộc tấn công

 Bot Server có thể là một máy công cộng,

một webserver hoặc IRC, nhưng cũng có thể là máy chuyên dụng do kẻ tấn công cài đặt lên một trong các máy bị chiếm quyền điều khiển (*)

 Các bot chạy trên máy tính bị chiếm quyền điều khiển, hình thành một mạng Botnet

Các yếu tố một cuộc tấn công

Hình 2: Kỹ thuật botnet hardening

Các yếu tố một cuộc tấn công

 Để duy trì sự kiểm soát trên các zombie,

attacker thường sử dụng một kĩ thuật gọi

là botnet hardening

 Kĩ thuật này được thiết kế sao cho có thể

chuyển các zombie sang một botnet server

dự phòng khác

Giải pháp phòng vệ ?

Do bot hoạt động phía người dùng

(phân tán) nên việc phòng vệ chỉ hiệu quả khi áp dụng bởi người dùng, đây là một thách thức lớn trong ý thức sử dụng máy tính (và các thiết bị truyền thông) an toàn



Xu hướng phát triển Botnet

(*)

 Khả năng tồn tại

 Khả năng lây nhiễm

 Khả năng tự động hoá các tác vụ

Cảm ơn các bạn đã quan tâm theo dõi !

jutoms@enhack.net

Tổng kết và thảo luận

CL OS

ED