Mạng botnet bRobot, đã tấn công các trang web trên toàn thế giới và cài đặt mã độc để biến các trang web này thành bot của mạng botnet bRobot.. Vai trò của DNS trong hoạt động của Botnet
Trang 1Theo dõi và bóc gỡ Botnet sử dụng kỹ thuật DNS Sinkhole
Trang 2N ội dung
1 Giới thiệu về Botnet
2 Hoạt động bóc gỡ Botnet của trung tâm VNCERT
3 Kỹ thuật DNS Sinkhole
2
Trang 31 Giới thiệu về Botnet
• Bot: chương trình hay
độc (bot) cho phép tin
tặc điều nhiển thông
qua một hoặc nhiều
Trang 41 Giới thiệu về Botnet
Trang 52 Hoạt động bóc gỡ Botnet của VNCERT
Thu thập thông tin:
cơ quan nhà nước
Cảnh báo
Gửi cảnh báo và hướng dẫn bóc gỡ
Nghiên cứu, phân tích
- Tìm hiểu hoạt động
- Thu thập mẫu
Trang 6Mạng botnet bRobot, đã tấn công các trang web trên toàn thế giới và cài đặt mã độc để biến các trang web này thành bot của mạng botnet bRobot Việt Nam đã có 2309 website bị tấn công với mã độc được cài trên 6978 trang Hiện nay qua theo dõi còn tồn tại 793 trang vẫn bị lây nhiễm (IP thuộc VNPT: 401; FPT: 150; CMC:26; Viettel:14; ODS:12…)
Mạng lưới Zeus Botnet: Ghi nhận 14.075 địa chỉ IP thuộc không gian mạng Việt Nam
Mạng lưới Botnet Sality, Downadup, Trafficconverter: 113.273 địa chỉ IP Việt Nam
2 Hoạt động bóc gỡ Botnet của VNCERT
Trang 7Vai trò của DNS trong hoạt động của Botnet:
- Các bot có thể liên lạc với máy chủ điều khiển C&C bằng địa chỉ IP hoặc tên miền
- Nếu sử dụng địa chỉ IP thì rất dễ bị phát hiện lại không hiệu quả.Thông thường tin tặc sử dụng các tên miền ngắn hạn
- Giao thức DNS: phân giải tên miền thành địa chỉ IP, một tên miền có thể ánh xạ thành nhiều địa chỉ IP
- Nếu tên miền bị phát hiện → chuyển sang một tên miền khác
2 Kỹ thuật DNS Sinkhole
Trang 88
Trang 92 Kỹ thuật DNS Sinkhole9
DNS server
lọc các
request,
Trang 112 Kỹ thuật DNS Sinkhole1
1
Trang 132 Kỹ thuật DNS Sinkhole1
3
Trang 14(2): Tạo các bản ghi tài nguyên cho tên miền pickleliver.us
(3): DNS server của các đơn vị cập nhật bản ghi cho tên miền pickleliver.us trỏ về địa chỉ IP của máy Sinkhole
(4): Các máy client (bị nhiễm bot) sử dụng DNS của các các ISPđơn vị yêu cầu phân giải tên miền sẽ được trả về là địa chỉ IP của máy Sinkhole
(5): Máy bị nhiễm bot kết nối tới máy Sinkhole thay vì kết nối tới máy chủ điều khiển C&C
Trang 152 Kỹ thuật DNS Sinkhole
http://www.malwaredomains.comhttp://pgl.yoyo.org
http://mtc.sri.comwww.malwarepatrol.net
Trang 162 Kỹ thuật DNS Sinkhole
Trang 177
Các bước triển khai
1 Thu thập thông tin về các tên miền độc hại
2 Thiết lập các bản ghi tài nguyên và đồng bộ với các máy chủ DNS của các ISP, thành viên mạng lưới
3 Giám sát Sinkhole
• Logfile
• Traffic
2 Kỹ thuật DNS Sinkhole
Trang 18Đánh giá
- Để thực hiện được giải pháp hiệu quả cần sự hợp tác giữa các tổ chức: cơ quan điều phối, các ISP, thành viên mạng lưới Csirts
- Ngoài ra khi Bot Header phát hiện ra bot đang truy vấn máy Sinkhole, nó sẽ thực hiện phát tán bot mới và có thể thực hiện các tấn công DDoS vào chính máy chủ Sinkhole
- Nếu các bot thược lập trình chỉ sử dụng một số DNS server
có sẵn
- Các máy bị nhiễm bot phải sử dụng dịch vụ DNS (tên miền)
và máy chủ DNS của các ISP
1
8
2 Kỹ thuật DNS Sinkhole
Trang 19Đánh giá:
Nếu áp dụng giải pháp này thì có một số vấn đề cần lưu ý:
- Việc xây dựng và duy trì máy chủ Sinkhole không có gì khó khăn
Tuy nhiên cần thời gian và công sức theo đuổi trong việc:
- Xây dựng các hệ thống và các kênh để thu thập thông tin
- Xây dựng cơ chế hợp tác giữa các đơn vị: để các máy chủ DNS của các đơn vị cập nhật các bản ghi tài nguyên một cách nhanh nhất
- Việc cập nhật bản ghi phải nhanh chóng
1
9
Trang 21- Xây dựng 1 máy chủ Sinkhole
- Khi phát hiện các địa chỉ IP của các đơn vị nằm trong mạng botnet Đề nghị họ sử dụng máy chủ DNS của VNCERT
- Lưu trữ và theo dõi các tên miền do các tổ chức báo về
- Thiết lập bản ghi tài nguyên để các tên miền này trỏ về máy Sinkhole