Một số kiểu tấn công khác Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn côngkhác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do v
Trang 1TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC
Đề tài: “ KHẢO SÁT CÁC KỸ THUẬT PHÁT HIỆN
BOTNET”
Người hướng dẫn : TH.S LÊ PHÚC Sinh viên thực hiện : NGUYỄN QUANG NHẬT
Mã số sinh viên : 408170089 Lớp : D08TH_MMT&TT
Trang 2TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-BÁO CÁO THỰC TẬP TỐT NGHIỆP ĐẠI HỌC
Đề tài: “ KHẢO SÁT CÁC KỸ THUẬT PHÁT HIỆN
BOTNET”
Người hướng dẫn : TH.S LÊ PHÚC
Sinh viên thực hiện : NGUYỄN QUANG NHẬT
Mã số sinh viên : 408170089 Lớp : D08TH_MMT&TT
Khoá : 2008-1013
Hệ : ĐẠI HỌC CHÍNH QUY
Trang 3CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập- Tự do- Hạnh phúc
TP Hồ Chí Minh, ngày 29 tháng 7 năm 2012
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN THỰC TẬP TỐT NGHIỆP ĐẠI HỌC
1 Tên đề tài: Khảo sát các kỹ thuật phát hiện Botnet
2 Sinh viên: Nguyễn Quang Nhật Lớp: D08TH_MMT&TT
3 Giáo viên hướng dẫn: Th.S Lê Phúc
4 Nơi công tác: Công ty TNHH somotNet
NỘI DUNG NHẬN XÉT
1 Đánh giá chung:
………
………
2 Đánh giá chi tiết: ………
………
………
………
3 Nhận xét về tinh thần, thái độ làm việc: ………
………
4 Kết luận: ………
………
Trang 5LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sựphát triển của mạng internet ngày càng phát triển đa dạng và phong phú Các dịch vụtrên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các thông tintrên Internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tincần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó
Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn
Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng làhết sức quan trọng và cần thiết Xuất phát từ những thực tế đó, chúng ta sẽ tìm hiểu vềcác cách tấn công phổ biến nhất hiện nay và các phòng chống các loại tấn công này
Chính vì vậy, thông qua việc nghiên cứu về botnet và các kỹ thuật phát hiênbotnet, mình mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu về cácvấn đề an ninh mạng giúp cho việc học tập và nghiên cứu
1 Lý do chọn đề tài
Trong những năm gần đây, Việt Nam ngày càng phát triển và nhất là về mặtcông nghệ thông tin Các cuộc tấn công sử dụng Botnet đang ngày một trở nên phổbiến hiện nay với rất nhiều thủ đoạn và hình thức tấn công mới Chính vì vậy, thiệt hại
do Botnet gây ra đang trở thành một mối lo mới với các nhà chức trách nói riêng vàcộng động người sử dụng Internet nói chung
Ngay trong những năm đầu tiên của thế kỷ 21, cùng với sự ra đời của rất nhiều cácmạng Botnet mỗi năm, rất nhiều các nghiên cứu nhằm làm giảm các thiệt hai doBotnet gây ra đã được đề xuất và triển khai.vì lý do an toàn và bảo mật luôn là vấn đềnan giải cho mọi người, nhất là các doanh nghiệp, công ty Vì vậy ta sẽ khi tìm hiểubotnet và các kỹ thuật botnet hiện nay
2 Mục tiêu
Giúp chúng ta có thể hiểu hơn về botnet và cách thức hoạt động của nó, các mối
đe dọa về vấn đề an toàn thông tin khi chúng ta làm việc hàng ngày, hiểu rõ hơn vềcác kỹ thuật tấn công của botnet
Trang 6LỜI CẢM ƠN
Lời đầu tiên em xin chân thành cảm ơn đến quý Thầy, Cô trường Học viện Côngnghệ Bưu chính Viễn thông Cơ sở tại Thành phố Hồ Chí Minh, những người trực tiếpgiảng dạy, truyền đạt những kiến thức bổ ích cho em, đó chính là những nền tảng cơbản, là những hành trang vô cùng quý giá, là bước đầu tiên cho em bước vào sựnghiệp sau này trong tương lai Đặc biệt là thầy Lê Phúc, thầy đã cho em rất nhiềukiến thức cảm ơn thầy đã tận tình, qua tâm, giúp đỡ em trong 2 tháng vừa qua, giảiđáp thắc mắc trong quá trình thực tập nhờ đó, em mới có thể hoàn thành được báo cáothực tập này
Bên cạnh đó, em cũng xin được cảm ơn chân thành tới trưởng phòng, các anh chị
trong Công ty TNHH somotNET đã tạo cơ hội giúp em có thể tìm hiểu rõ hơn về
môi trường làm việc thực tế của một công ty mà ngồi trên ghế nhà trường em chưađược biết
Trong quá trình thực tập và làm báo cáo, vì chưa có kinh nghiệp thực tế, chỉ dựavào lý thuyết đã học cùng với thời gian thực tập hạn hẹp nên bài báo cáo chắc chắn sẽkhông tránh khỏi những sai sót Kính mong nhận được sự góp ý, nhận xét từ phía quýThầy, Cô để kiến thực của em ngày càng hoàn thiện hơn và rút ra được những kinhnghiệm bổ ích có thể áp dụng vào trong thực tiễn một cách hiệu quả trong tương lai
Kính chúc mọi người luôn vui vẻ, hạnh phúc, dồi dào sức khỏe và thành côngtrong công việc
Em xin chân thành cảm ơn!
Sinh viên thực hiện Nguyễn Quang Nhật
Trang 7NỘI DUNG BÁO CÁO
CHƯƠNG 1.GIỚI THIỆU:
o Tổng quan về tình hình an ninh mạng trong những năm gần đây Cáckiểu tấn công phổ biến trên mạng, đồng thời nêu lên mục đích, nội dung
và ý nghĩa của báo cáo
o Các kiểu tấn công trên mạng: Trình bày các kiểu tấn công thông dụng
trên mạng hiện nay như: Sniff, lừa đảo trực tuyến (Phishing), SQLInjection, tấn công từ chối dịch vụ Các phương pháp phòng chống cáckiểu tấn công trên
CHƯƠNG 2.TỔNG QUAN VỀ BOTNET :
Định nghĩa về botnet, các mô hình botnet thường gặp, các loại botnetphổ biến hiện nay
CHƯƠNG 3 CÁC HỆ THỐNG PHÒNG CHỐNG BOTNET:
lý thuyết về các hệ thống phòng chống và phát hiện Botnet hiện nay
CHƯƠNG 4 THIẾT LẬP BOTNET DÙNG CÔNG CỤ AUTOIT:
Giới thiệu về công cụ viết botnet, code botnet, kết quả và kết luận…
Trang 8DANH MỤC HÌNH VẼ
1 Hình 1.1: các loại virus điển hình 2011
2 Hình 1.2: th ng kê các v t n công vào website n m 2011ống kê các vụ tấn công vào website năm 2011 ụ tấn công vào website năm 2011 ấn công vào website năm 2011 ăm 2011
3 Hình 2.1: Mô hình botnet thường gặp
11 Hình 3.4 : Các thành phần của hệ thống Honeypot được sử dụng
12 Hình 3.5: Lược đồ các bước thực thi của hệ thống Tracking Botnet trong tài
liệu
13 Hình 4.1: Máy tính windows xp thứ 1
14 Hình 4.2: Máy tính windows xp thứ 2
15 Hình 4.3: Bảng phân giải địa chỉ IP của www.chuyentq.com
16 Hình 4.4: Các gói tin máy tính Windows XP 1 gửi đi và nhận về
17 Hình 4.5: Các gói tin máy tính Windows XP 2 gửi đi và nhận về
18 Hình 4.7: Thông tin của máy tính Windows XP 1
19 Hình 4.8: Thông tin của máy tính Windows XP 2
Trang 9KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT
DDOS: Distributed Denial of Service tấn công từ chối dịch vụ phân tán
C&C Server : Command & Control Server
HTTP : HyperText Transfer Protocol giao thực truyền tải siêu văn bản
IRC : Internet Relay Chat phần mềm liên lạc cấp tốc
KOS : Kill Operating System phá hủy hệ điều hành
BSOD: Blue Screen of Death lỗi màn hình xanh của WindowsRAT : The Remote Access Trojan điều khiển truy cập của trojan
FTTP : Fiber To The Premises cáp quang
FTP : File Transfer Protocol giao thực truyền tập tin
TFTP : Trivial File Transfer Protocol giao thực truyền tập tin không đángkể
USB : Universal Serial Bus
IDS: Intrusion Detection System hệ thống phát hiện xâm nhập
HIDS Host Based IDS
NIDS Network Base IDS
IPS : Internet Protocol Security
SMTP: Simple Mail Transfer Protocol giao thức truyền tải thư tín đơn giản
TCP : Transmission Control Protocol Giao thức điều khiển truyền vận
UDP : User Datagram Protocol
Malware: Malicious – Software Phần mềm nguy hiểm
Trang 10CHƯƠNG 1: GIỚI THIỆU 1
1.1 Tổng quan về tình hình an ninh mạng trong những năm gần đây 1
1.1 Tổng quan về những hình thức tấn công an ninh mạng 5
1.1.1 Tấn công trực tiếp 5
1.1.2 Nghe trộm trên mạng 5
1.1.3 Giả mạo địa chỉ 5
1.1.4 Vô hiệu hoá các chức năng của hệ thống 5
1.1.5 Tấn công vào các yếu tố con người 6
1.1.6 Một số kiểu tấn công khác 6
1.2 Các kỹ thuật tấn công an ninh mạng 7
1.2.1 Kỹ thuật đánh lừa : Social Engineering 7
1.2.2 Kỹ thuật tấn công vào vùng ẩn 7
1.2.3 Kỹ thuật Tấn công vào các lỗ hổng bảo mật 7
1.2.4 Khai thác tình trạng tràn bộ đệm 8
1.2.5 Kỹ thuật nghe trộm 8
1.2.6 Kỹ thuật giả mạo địa chỉ 8
1.2.7 Kỹ thuật chèn mã lệnh 9
1.2.8 Tấn công vào hệ thống có cấu hình không an toàn 9
1.2.9 Tấn công dùng Cookies 9
1.2.10 Can thiệp vào tham số trên URL 10
1.2.11 Vô hiệu hóa dịch vụ 10
1.2.12 Một số kiểu tấn công khác 10
1.3 Các biện pháp phát hiện hệ thống bị tấn công 11
CHƯƠNG 2 TỔNG QUAN VỀ BOTNET 13
2.1 Định nghĩa botnet 13
2.2 Phân loại botnet 14
2.3 Các Ứng Dụng Của Botnet 15
2.4 Các Loại Botnet Phổ Biến 17
2.4.1 SDBot 17
Trang 112.4.4 Spybot 21
2.4.5 Mytob 22
CHƯƠNG 3 : CÁC HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN BOTNET 25
3.1 Hệ thống phát hiện xâm nhập 25
3.1.1 Khái niệm 25
3.1.2 Phân loại IDS 25
3.2 Hệ Thống Honeypots 30
3.2.1 Định nghĩa Honeypots 30
3.2.2 Các loại hình Honeypot: 30
3.3 Hệ thống botnet tracking 32
CHƯƠNG 4: THIẾT LẬP BOTNET DÙNG CÔNG CỤ AUTOIT 35
4.1 Giới thiệu về công cụ AutoIT 35
4.2 Mô tả botnet 35
4.3 Code botnet 37
4.4 Kết quả: 41
4.5 Kết luận 45
4.5.1 Những công việc đã thực hiện 45
4.5.2 Những công việc chưa thực hiện được 46
4.5.3 Khó khăn và hạn chế 46
Trang 12CHƯƠNG 1: GIỚI THIỆU
1.1 Tổng quan về tình hình an ninh mạng trong những năm gần đây
Có thể nói rằng thế kỷ 21 đã và đang chứng kiến sự phát triển vượt bậc trongngành công nghệ thông tin (CNTT) CNTT tạo nên một cuộc cách mạng thực sự trongmọi lĩnh vực của khoa học và đời sống Mạng máy tính là một ví dụ điển hình cho sứcmạnh của CNTT Ưu điểm của mạng máy tính đã được thể hiện khá rõ trong mọi lĩnhvực của cuộc sống Đó chính là sự trao đổi, chia sẻ, lưu trữ và bảo vệ thông tin Do đómạng máy tính đã trở thành miếng mồi ngon cho những hacker xâm nhập như chiếmđoạt thông tin gây gián đoạn thông tin liên lạc…
Tình hình an ninh mạng trong những năm gần đây chuyển biến rất phức tạp, với sựxuất hiện của các loại hình cũ lẫn mới
Số liệu chung về tình hình virus và an ninh mạng năm 2011:
64,2 triệu lượt máy tính tại Việt Nam bị nhiễm virus là tổng kết năm 2011 từ Hệthống giám sát virus của Bkav Trung bình một ngày đã có hơn 175 nghìn máy tính bịnhiễm virus
Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virusW32.Sality.PE Virus này đã lây nhiễm trên 4,2 triệu lượt máy tính
Trang 13Hình 1.1: các loại virus điển hình 2011
Hình 1.2: thống kê các vụ tấn công vào website năm 2011
Cũng trong năm 2011, đã có 2.245 website của các cơ quan, doanh nghiệp tại Việt
Trang 14Mạng lưới “nằm vùng” nguy hiểm W32.Sality.PE
Hơn 4,2 triệu lượt máy tính tại Việt Nam đã bị nhiễm virus siêu đa hình ty.PE trong năm 2011, như vậy trung bình mỗi ngày có thêm 11.000 máy tính bịnhiễm loại virus này Virus Sality đã len lỏi vào mọi ngóc ngách trong các hệ thốngmạng máy tính tại Việt Nam Trong thực tế, khi kiểm tra bất kỳ hệ thống nào, cácchuyên gia của Bkav hầu như đều phát hiện sự tồn tại của Sality Không chỉ là viruslây lan nhiều nhất năm 2011, đây thực sự là quả “bom nổ chậm”, sẵn sàng phát nổ gâyảnh hưởng đến hàng triệu máy tính trong thời gian tới
W32.Sali-Mặc dù lây nhiễm hàng triệu máy tính, tuy nhiên trong suốt một thời gian dài theodõi dòng virus này từ năm 2009 đến nay, các chuyên gia Bkav cho biết virus Salityvẫn đang chỉ “nằm vùng” mà chưa kích hoạt các tính năng phá hoại như ăn cắp thôngtin hay phá hủy dữ liệu Đây thực sự là một điều khó lý giải Theo chuyên gia Bkav,rất có thể có một tổ chức, thậm chí là một quốc gia đứng đằng sau mạng lưới virus này
Vì tính chất nghiêm trọng của sự việc, Bkav khuyến cáo người sử dụng máy tínhtrên toàn quốc cần kiểm tra máy tính bằng phần mềm diệt virus có trang bị công nghệdiệt virus siêu đa hình Đối với người sử dụng phần mềm diệt virus Bkav, có thể dùngBkav Pro để loại bỏ virus này
Lừa đảo trực tuyến gia tăng trên mạng xã hội
Trong báo cáo an ninh mạng cuối năm 2010 của Bkav, các chuyên gia đã nhậnđịnh 2011 sẽ là năm xuất hiện nhiều cuộc tấn công lừa đảo trên mạng Điều này thực
tế đã xảy ra, trung bình mỗi tháng Bkav nhận được hơn 30 báo cáo về lừa đảo qua hoo Messenger Trong mỗi vụ, số nạn nhân có thể lên tới hàng chục người Mặc dù đãđược cảnh báo nhiều lần nhưng do sự nhẹ dạ của người sử dụng mà các vụ cướp nickhoặc lừa tiền vẫn diễn ra liên tiếp
Trang 15Ya-Không chỉ Yahoo mà giờ đây Facebook, mạng xã hội lớn nhất thế giới đã trở thànhphương tiện để tin tặc lợi dụng Trong những ngày cuối năm 2011, Bkav đã ghi nhận
sự xuất hiện của các dòng virus lần đầu tiên phát tán qua Facebook chat Mặc dù vềbản chất, thủ đoạn của những virus này không mới so với virus phát tán qua YahooMessenger, nhưng với lượng người sử dụng đông đảo của Facebook, virus có tốc độlây lan chóng mặt Không những thế, trên môi trường mạng xã hội như Facebook hayTwitter, năm 2011 còn xuất hiện hàng loạt vụ giả mạo người nổi tiếng để lừa đảo
Mạng xã hội và chat trực tuyến đang trở thành công cụ đắc lực của tin tặc Bkavmột lần nữa khuyến cáo tới người sử dụng, cần cẩn trọng khi tiếp nhận các thông tinqua các kênh giao tiếp trên mạng Đặc biệt, cần cảnh giác trước các đường link hoặccác file nhận được Bạn thậm chí nên gọi điện hỏi lại người thân nếu thấy tài khoảnchat của họ đang yêu cầu mình cung cấp tiền hoặc các thông tin nhạy cảm khác
Botnet và những cuộc tấn công mạng liên tiếp
Năm 2011 là năm của các cuộc tấn công mạng Liên tiếp xảy ra các cuộc tấn côngvới các hình thức khác nhau vào hệ thống của các tổ chức, doanh nghiệp tại Việt Nam
Có những cuộc tấn công xâm nhập trái phép phá hoại cơ sở dữ liệu hoặc deface cácwebsite Cũng có những cuộc tấn công DDoS làm tê liệt hệ thống trong thời gian dài.Tấn công cướp tên miền của các doanh nghiệp cũng đã diễn ra liên tiếp Nguy hiểmhơn, đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt các virus gián điệp đánh cắptài liệu của các cơ quan quan trọng
Các vụ tấn công xảy ra phần lớn có nguyên nhân từ nhận thức của lãnh đạo các cơquan, doanh nghiệp về tầm quan trọng của an ninh mạng, dẫn đến sự đầu tư dàn trải,thiếu một giải pháp tổng thể cho an toàn an ninh hệ thống
Đáng chú ý trong năm 2011 là sự việc hơn 85.000 máy tính tại Việt Nam bị càivirus Ramnit để lấy cắp dữ liệu quan trọng Điều này cho thấy các cuộc tấn công còn
có thể gây ảnh hưởng đến an ninh quốc gia Không chỉ tại Việt Nam, hệ thống botnetnày còn được hacker điều khiển thông qua nhiều máy chủ đặt ở Mỹ, Nga, Đức vàTrung Quốc để lấy cắp thông tin trên toàn cầu Đây là tình trạng phổ biến trên thế giớitrong năm 2011
1.1 Tổng quan về những hình thức tấn công an ninh mạng
Trang 161.1.1 Tấn công trực tiếp
Đây là một phương pháp cổ điển dùng để dò tìm tên người sử dụng (user) và mật khẩu truy cập của họ (password) Phương pháp này khá đơn giản, dễ thực hiện và không đòi hỏi bất kì một điều kiện nào để bắt đầu Chúng ta có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà để đoán mật khẩu Trong trường hợp có được có được danh sách người sử dụng (user list ) và môi trường làm việc, một chương trình đoán mật khẩu sẽ được sử dụng Nó hoạt động một cách tự động bằng cách sử dụng các tổ hợp các từ trong một từ điển lớn và theo những qui tắc
mà người dùng định nghĩa Khả năng thành công của phương pháp này có thể lên đến 30% (nếu bạn may mắn)
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành
đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyềntruy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công có đượcquyền của người quản trị hệ thống (root hay administrator)
vệ được nguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thôngtin trước khi gửi đi qua mạng Internet Bằng cách này, nếu như có ai đón được thôngtin của mình thì đó cũng chỉ là những thông tin vô nghĩa
1.1.3 Giả mạo địa chỉ
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trựctiếp Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉgiả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi Thí dụ người nào đó cóthể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tớibạn
1.1.4 Vô hiệu hoá các chức năng của hệ thống
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch
vụ ,không cho hệ thống thực hiện được các chức năng mà nó được thiết kế Kiểu tấn
Trang 17công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lạichính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng Một thí
dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ranhững gói tin yêu cầu về một trạm nào đó Khi nhận được gói tin, trạm luôn luôn phải
xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạngnhững nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ
Điều đáng sợ là các kiểu tấn công này là chỉ cần sử dụng những tài nguyên giớihạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp Do vậy loạihình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack)
1.1.5 Tấn công vào các yếu tố con người
Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hếtsức khó lường Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một sốthông tin nhằm tạo điều kiện cho các phương thức tấn công khác
Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính là người sửdụng Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máytính, bảo mật dữ liệu không cao Chính họ đã tạo điều kiện cho những kẻ phá hoạixâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua emailhoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn
Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặnmột cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn người sử dụng mạng vềnhững yêu cầu bảo mật để nâng cao cảnh giác Nói chung yếu tố con người là mộtđIểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự hướng dẫn của ngườiquản trị mạng cùng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao
độ an toàn của hệ thống bảo vệ
1.1.6 Một số kiểu tấn công khác
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn côngkhác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tìnhtrao đổi thông tin qua mạng mà người sử dụng đã tự cài đặt nó lên trên máy của mình
Trang 18Ngoài ra hiện nay còn rất nhiều kiểu tấn công khác mà chúng ta còn chưa biết tới vàchúng được đưa ra bởi những hacker.
1.2 Các kỹ thuật tấn công an ninh mạng
1.2.1 Kỹ thuật đánh lừa : Social Engineering
Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm nhậpvào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó Thường được
sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống
Ví dụ : kỹ thuật đánh lừa Fake Email Login
Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thông tin tàikhoản của mình bao gồm username và password rồi gởi thông tin đến Mail Server xử
lý Lợi dụng việc này, những người tấn công đã thiết kế một trng web giống hệt nhưtrang đăng nhập mà bạn hay sử dụng Tuy nhiên, đó là một trang web giả và tất cảthông tin mà bạn điền vào đều được gởi đến cho họ Kết quả, bạn bị đánh cắp mậtkhẩu !
Nếu là người quản trị mạng, bạn nên chú ý và dè chừng trước những email, nhữngmessengers, các cú điện thoại yêu cầu khai báo thông tin Những mối quan hệ cá nhânhay những cuộc tiếp xúc đều là một mối nguy hiểm tiềm tàng
1.2.2 Kỹ thuật tấn công vào vùng ẩn
Những phần bị dấu đi trong các website thường chứa những thông tin về phiên làmviệc của các client Các phiên làm việc này thường được ghi lại ở máy khách chứkhông tổ chức cơ sở dữ liệu trên máy chủ Vì vậy, người tấn công có thể sử dụngchiêu chức View Source của trình duyệt để đọc phần đầu đi này và từ đó có thể tìm racác sơ hở của trang Web mà họ muốn tấn công Từ đó, có thể tấn công vào hệ thốngmáy chủ
1.2.3 Kỹ thuật Tấn công vào các lỗ hổng bảo mật
Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành,các web server hay các phần mềm khác, Và các hãng sản xuất luôn cập nhật các lỗhổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bảntrước Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà
Trang 19mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào hệthống.
Thông thường, các forum của các hãng nổi tiếng luôn cập nhật các lỗ hổng bảomật và việc khai thác các lỗ hổng đó như thế nào thì tùy từng người
1.2.4 Khai thác tình trạng tràn bộ đệm
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gởi quá nhiều so với khảnăng xử lý của hệ thống hay CPU Nếu hacker khai thác tình trạng tràn bộ đệm này thì
họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả năng kiểm soát
Để khai thác được việc này, hacker cần biết kiến thức về tổ chức bộ nhớ, stack, cáclệnh gọi hàm Shellcode
Khi hacker khai thác lỗi tràn bộ đệm trên một hệ thống, họ có thể đoạt quyền roottrên hệ thống đó Đối với nhà quản trị, tránh việc tràn bộ đệm không mấy khó khăn,
họ chỉ cần tạo các chương trình an toàn ngay từ khi thiết kế
1.2.5 Kỹ thuật nghe trộm
Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợidụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc đọc trộmluồng dữ liệu truyền qua
Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặcsnooping Nó sẽ thu thập những thông tin quý giá về hệ thống như một packet chứapassword và username của một ai đó Các chương trình nghe trộm còn được gọi là cácsniffing Các sniffing này có nhiệm vụ lắng nghe các cổng của một hệ thống màhacker muốn nghe trộm Nó sẽ thu thập dữ liệu trên các cổng này và chuyển về chohacker
1.2.6 Kỹ thuật giả mạo địa chỉ
Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng bứctường lửa(fire wall) Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhàhay đi ra cũng phải qua đó và sẽ bị “điểm mặt” Bức tường lửa hạn chế rất nhiều khảnăng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tàonguyên chia sẻ trong mạng nội bộ
Trang 20Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình
là một trong những máy tính của hệ thống cần tấn công Họ tự đặt địa chỉ IP của máytính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công Nếu như làmđược điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống
1.2.7 Kỹ thuật chèn mã lệnh
Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn công khác
là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người tấn công
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào phiênlàm việc trên web của một người dùng khác Khi mã lệnh này chạy, nó sẽ cho phépngười tấn công thực hiện nhiều nhiều chuyện như giám sát phiên làm việc trên trangweb hoặc có thể toàn quyền điều khiển máy tính của nạn nhân Kỹ thuật tấn công nàythành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt của người tấn công
1.2.8 Tấn công vào hệ thống có cấu hình không an toàn
Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống Các lỗ hổngnày được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệthống định cấu hình không an toàn Chẳng hạn như cấu hình máy chủ web cho phép aicũng có quyền duyệt qua hệ thống thư mục Việc thiết lập như trên có thể làm lộ cácthông tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng
Nếu quản trị hệ thống cấu hình hệ thống không an toàn sẽ rất nguy hiểm vì nếungười tấn công duyệt qua được các file pass thì họ có thể download và giải mã ra, khi
đó họ có thể làm được nhiều thứ trên hệ thống
Trang 21Cookies được Browser của người dùng chấp nhận lưu trên đĩa cứng của máy tính,không phải Browser nào cũng hổ trợ cookies.
1.2.10 Can thiệp vào tham số trên URL
Đây là cách tấn công đưa tham số trực tiếp vào URL Việc tấn công có thể dùngcác câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi Điển hình cho kỹthuật tấn công này là tấn công bằng lỗi “SQL INJECTION”
Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một công cụtấn công duy nhất là trình duyệt web và backdoor
1.2.11 Vô hiệu hóa dịch vụ
Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS(Denial of Service - Tấn công từ chối dịch vụ)
Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mậttrên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu không đâuvào đâu đến các máy tính, thường là các server trên mạng Các yêu cầu này được gởiđến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng đượccho khách hàng
Đôi khi, những yêu cầu có trong tấn công từ chối dịch vụ là hợp lệ Ví dụ mộtthông điệp có hành vi tấn công, nó hoàn toàn hợp lệ về mặt kỹ thuật Những thôngđiệp hợp lệ này sẽ gởi cùng một lúc Vì trong một thời điểm mà server nhận quá nhiềuyêu cầu nên dẫn đến tình trạng là không tiếp nhận thêm các yêu cầu Đó là biểu hiệncủa từ chối dịch vụ
1.2.12 Một số kiểu tấn công khác
Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế chặt
chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là một lỗ hổng bảomật mà các hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên trong
mà không cần phải qua bước đăng nhập
Thay đổi dữ liệu: Sau khi những người tấn công đọc được dữ liệu của một hệ
thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến người gởi vàngười nhận nó Những hacker có thể sửa đổi những thông tin trong packet dữ liệu một
Trang 22 Password-base Attact: Thông thường, hệ thống khi mới cấu hình có username
và password mặc định Sau khi cấu hình hệ thống, một số admin vẫn không đổi lại cácthiết lập mặc định này Đây là lỗ hổng giúp những người tấn công có thể thâm nhậpvào hệ thống bằng con đường hợp pháp Khi đã đăng nhập vào, hacker có thể tạo thêmuser, cài backboor cho lần viến thăm sau
Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết sự tồn
tại của mình Vì thế địa chỉ IP là sự quan tâm hàng đầu của những người tấn công Khi
họ hack vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó Thôngthường, những người tấn công giả mạo IP address để xâm nhập vào hệ thống và cấuhình lại hệ thống, sửa đổi thông tin, …
Việc tạo ra một kiểu tấn công mới là mục đích của các hacker Trên mạng Internethiện nay, có thể sẽ xuất hiện những kiểu tấn công mới được khai sinh từ những hackerthích mày mò và sáng tạo Bạn có thể tham gia các diễn đàn hacking và bảo mật để
mở rộng kiến thức
1.3 C ác biện pháp phát hiện hệ thống bị tấn công
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch
vụ đều có những lỗ hổng bảo mật tiềm tàng Đứng trên góc độ người quản trị hệthống, ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn luôn phải thực hiệncác biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không Các biện pháp
đó là:
Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bịcrash bằng những thông báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếuthông tin liên quan Trước tiên, xác định các nguyên nhân về phần cứng hay không,nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn công
Kiểm tra các tài khoản người dùng mới trên hệ thống: một số tài khoản lạ, nhất
là uid của tài khoản đó có uid= 0
Kiểm tra xuất hiện các tập tin lạ Thường phát hiện thông qua cách đặt tên cáctệp tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin theo một mẫu nhất
Trang 23định để dễ dàng phát hiện tập tin lạ Dùng các lệnh ls -l để kiểm tra thuộc tính setuid
và setgid đối với những tập tinh đáng chú ý (đặc biệt là các tập tin scripts)
Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình login, shhoặc các scripts khởi động trong /etc/init.d, /etc/rc.d …
Kiểm tra hiệu năng của hệ thống Sử dụng các tiện ích theo dõi tài nguyên vàcác tiến trình đang hoạt động trên hệ thống như ps hoặc top …
Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp Chúng ta đã biếtrằng một trong các mục đích tấn công là làm cho tê liệt hệ thống (Hình thức tấn côngDoS) Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát hiện nguyên nhântrên hệ thống
Kiểm tra truy nhập hệ thống bằng các account thông thường, đề phòng trườnghợp các account này bị truy nhập trái phép và thay đổi quyền hạn mà người sử dụnghợp pháp không kiểm sóat được
Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ như /etc/inetd.conf;
bỏ các dịch vụ không cần thiết; đối với những dịch vụ không cần thiết chạy dướiquyền root thì không chạy bằng các quyền yếu hơn
Kiểm tra các phiên bản của sendmail, /bin/mail, ftp; tham gia các nhóm tin vềbảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng
Trang 24CHƯƠNG 2 TỔNG QUAN VỀ BOTNET
2.1 Định nghĩa botnet
Nói đến về cơ bản có rất nhiều định nghĩa Nhưng các định nghĩa này đều chungmột ý tưỡng do đó bài báo cáo này sữ dụng định nghĩa được đề cập dưới đây để cóthể cảm thấy dễ hiểu và phù hợp với báo cáo:
“Botnet là khái niệm đề cập tới một tập hợp các máy tính bị lợi dụng chịu sự điều khiển của các hackers, nhằm phục vụ cho các ý đồ xấu xa của các cá nhân hay tổ chức nào đó.”
Bot là viết tắt của robot, tức là chương trình tự động hóa, thường xuyên được sửdung trong internet hiện nay
Botnet là tập hợp của nhiều bot mà thực hiện cùng một công việc khi được yêucầu
Các “hackers” điều khiển còn được gọi là các Bot Masters hay các Bot Helders,thành phần được cài đặt ngầm trong các máy tính người sử dụng để các Bot Masters
có thể thao túng được các máy tính này là các Bot, đây là các malware có kịch bản tấncông tùy biến phụ thuộc vào những câu lệnh từ phía điều khiển Một thành phần kháccủa Botnet cũng không kém phần quan trọng, đó là các C&C Server (Command &Control Server) là server hỗ trợ các Bot Masters điều khiển cả mạng Botnet Thôngqua các server này, các Bot Master đưa ra các câu lệnh điều khiển tới các bot nhằm lợidụng máy tính người dùng đi thực thi những khai thác nguy hiểm
Nói chung vòng đời của botnet client bắt đầu khi nó được đem vào khai thác Cácbotnet có tiềm năng có thể được khai thác thông qua mã độc hại mà người dùng bị lừachạy, và bị cài đặt Trojan hoặc backdoors lên máy tính
Trang 25Hình 2.1: Mô hình botnet thường gặp
2.2 Phân loại botnet
Trước đây, botnet được chia làm 2 loại:
Theo giao thức (Protocol): là những gửi nhận giữa Bot và phía C&C Server
để thực hiện giao tiếp giữa các thành phần Thường thấy hiện nay, Botnet sử dụng hai
giao thức truyền tải siêu văn bản HTTP (HyperText Transfer Protocol) và một giao thức thường được sử dụng để trò chuyện qua Internet đó là IRC (Internet Relay Chat).
Theo kiến trúc của mạng Botnet: có hai mô hình là mô hình tập trung và mô
hình phân tán Trong đó, với kiến trúc tập trung, quyền điều khiển sẽ do phía C&CServer đảm nhiệm, các Bot sẽ kết nối lên C&C Server và nhận lệnh và thực thi.Ngược lại với kiến trúc này là kiến trúc phân tán, khi đó các Bot sẽ giao tiếp với nhau
để nhận các câu lệnh điều khiển chứ không qua C&C Server, kiến trúc này giúp cácBot Master duy trì được quản lý của mình tuy nhiên, cũng rất dễ bị “cướp Bot” (mộtAnti-Bot gửi các câu lệnh giả mạo tới các Bot khác nhằm thay đổi điều khiển)
Trang 26Hình 2.2: Mô Hình Tập Trung Hình 2.3: Mô Hình Phân Tán
Tuy nhiên, Botnet hiện nay phức tạp hơn nhiều: Không chỉ đơn thuần là các loại trên mà thường là kết hợp của nhiều kiểu hoặc là một cải tiến của một trong số các loại trên nên Botnet ngày càng nguy hiểm và khó phát hiện.
2.3 Các Ứng Dụng Của Botnet
Khả năng sử dụng điều khiển bot và các ứng dụng cho các máy tính bị nhiễm của
nó phụ thuộc vào sự sáng tạo và kỹ năng của kẻ tấn công Chúng ta xem xét một sốứng dụng phổ biến nhất:
Tấn công từ chối dịch vụ (DDoS Attack): bằng cách huy động một số lượng
lớn các máy tính ma trong mạng Botnet đi vét cạn tài nguyên của một máy tính.Các máy tính này thường là các máy chủ đặt các website, máy chủ điều khiểncủa các công ty, các doanh nghiệp …
Trang 27Hình 2.4: Sử Dụng Botnet Tấn Công Ddos
Phát tán thư rác (Spam Mails): các Botnet Master lợi dụng các máy tính ma
để tăng hiệu quả của việc phát tán thư rác đặc biệt về phạm vi và số lượng Mộtkịch bản thường thấy của các Botnet sử dụng để phát tán thư rác là giả mạonguồn gửi là email của chính các nạn nhân trong mạng Botnet gửi tới bạn bètrong danh sách liên hệ (Contact Books) của họ Lợi dụng sự tin tưởng củangười dùng với các email đến từ bạn bè, người thân, kịch bản này đã thực sựthành công, làm tăng số nạn nhân của hiểm họa spam mail lên những con sốtính bằng đơn vị triệu người mỗi tuần
Hình 2.5: Phát Tán Thư Rác
Trang 28 Sniffing và keylogging: Các bot cũng có thể được sử dụng một cách hiệu quả
để nâng cao nghệ thuật sử dụng cổ điển của hoạt động sniffing Theo dõi lưulượng dữ liệu truyền đi thì bạn cố thể xác định lưu lượng thông tin được tuyềntải, thấy được thói quen của người dùng và nhiều thông tin thú vị khác nhưpassword và User Cũng tương tự như vậy với keylogging, một hình thức thuthập tất cả các thông tin trên bàn phím khi người sử dụng gõ vào máy tính.ví dụnhư: password e-mail, dữ liệu và tài khoản ngân hàng…
Ăn cắp thông tin (Data theft): đây là hình thức tấn công đã có từ lâu và hiện
nay vẫn còn rất phổ biến Sau khi cài đặt thành công trên máy tính nạn nhân,các bot sẽ đi thu thập những thông tin nhạy cảm trên máy như thông tin cánhân, thông tin tài khoản, thông tin bản quyền phần mềm v…v… Theo nhữngbáo cáo gần đây, hình thức tấn công này ngày một trở nên nguy hiểm khi cácBot thực hiện các hành vi can thiệp sâu vào hệ thống (ghi log bàn phím, bắt cácgói tin …) nhằm thu thập những thông tin mới nhất trên máy tính nạn nhân
Phá hủy hệ điều hành (Kill Operating System – Kill OS): thường là một
module trong các bot nhằm xóa dấu vết thực thi trên máy người dùng và chốngphá các Anti-Botnet trong quá trình nghiên cứu và ngăn chặn Botnet Là cáchgọi chung cho các hành vi phá hoại nghiêm trọng của botnet, thay vì hoạt độngngầm để che dấu sự tồn tại của mình trong hệ thống, khi được kích hoạt, cácBot sẽ tấn công và phá hủy các thành phần chính của hệ điều hành như thànhphần khởi động (boot), thông tin cấu hình hệ điều hành (registry), dữ liệu trên ổcứng v…v… làm hệ điều hành tê liệt, không thể tiếp tục làm việc được nữa.Hành vi tấn công nguy hiểm này nổi tiếng vào năm 2009: khi Bot Master của
một mạng Botnet Zeus gửi câu lệnh điều khiển KOS tới các máy tính ma trong
mạng gây ra hiện tượng “màn xanh chết chóc” (BSOD) và hậu quả là hệ điềuhành Microsoft Windows trên 100000 máy tính bị phá hủy hoàn toàn
2.4 Các Loại Botnet Phổ Biến
2.4.1 SDBot
2.4.1.1 Khái niệm
Là một loại botnet đã xuất hiện nhiều năm, hiện nay có rất nhiều biến thể và nhánhcủa nó một trong những yếu tố để SDBot có thể còn tồn tại đến ngày nay là ngay đầu
Trang 29tiên nó là một chương trình độc hại ”mailware program” mã nguồn mở bản gốc đầutiên của SDBot được cung cấp đầy đủ các thông tin và phương tiện để có thể tiếp tụcphát triển và hoàn thiện hơn
Chìa khóa thành công cho SDBot là xâm nhập vào hệ thống có bảo mật kém,SDBot lây lan chủ yếu thông qua các mạng chia sẽ và sử dụng các mật khẩu đơn giảnhoặc để trống hệ thống có bảo mật tốt và mật khẩu phức tạp sẽ không bị ảnh hưởngbởi SDBot
2.4.1.2 Hình thức lây nhiễm
Những biến thể khác nhau có thể những phương pháp lây nhiễm khác, nhứngSDBot truyền thống như đã nói ở trên, lợi dụng các mạng chia sẽ hoặc một lỗ hổngcủa hệ thống khi một SDBot đi vào hệ thống bị tấn công, nó sẽ thực hiện một kịchbản là tải về một SDBot để lây nhiễm cho một hệ thống
SDBot thường bao gồm một số loại backdoors để cho phép hacker xâm nhập vào
hệ thống điều khiển truy cập của Trojan (RAT) ”một thành phần của SDBot” kết nốiđến máy chủ điều khiển và nằm âm thầm chờ đợi để được chỉ thì từ botherder
2.4.1.3 Dấu hiệu nhận biết
Để đảm bảo SDBot luôn tự động hoạt động, SDBot làm thay đổi trong WindowsRegistry Một trong những giá trị Registry đó sẽ được nằm trong ví dụ dưới đây:
Ví dụ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Configuration Loader” = “%System%\iexplore.exe”
“Configuration Loader” = “MSTasks.exe”
“Configuration Loader” = “aim95.exe”
“Configuration Loader” = “cmd32.exe”
“Configuration Loader”= “IEXPL0RE.EXE”
“Configuration Manager” = “Cnfgldr.exe”
Trang 30Một giấu hiệu khác có thể xác định được SDBot là những kết nối đến những port
mở bất thường trên hệ thống của bạn, ví dụ như một biến thể của SDBot thiết lập kếtnối qua IRC server sử dụng TCP và port 6667, biến thể khác có thể cũng được biếnđến trên port 7000…
2.4.2 RBot
2.4.2.1 Khái niệm
là bot phổ biến và phức tạp nhất trước đây, các chức năng cốt lõi của RBot tiếp tụcđược điều chỉnh hoàn thiện thành hàng tram biến thể của RBot RBot phát triên theothời gian, tên và các kỹ thuật khác nhau từ một trong những biến thể khác nhau có thểđược tạo ngẫu nhiên một số chức năng, làm cho nó khó có thể được xác định RBotđầu tiên được nén lại hoặc dùng thuật toán mã hóa
Một khi bi nhiễm RBot, một hệ thông bị xâm nhập có thể được điều khiển bởimột botherder và được sử dụng để làm một loạt các chức năng bao gồm tải về thựchiện các tập tin từ internet, tạo ra proxy socks, tham gia vào cuộc tấn công DDOS…
2.4.2.2 Hình thức lây nhiễm
RBot cũng sử dụng phương pháp là tìm kiếm lỗ hổng bảo mật trên hệ thống mụctiêu Nó khai thác nhứng mật khẩu yếu và hệ thống bảo mật kém của administrativeđược chia sẽ trên mạng
Ngoài việc lây lan như trên, RBot còn dựa vào một loạt các lỗ hổng phần mềmđược biến đến trong hệ điều hành Windows Một số biến thể cũng có khả năng khaithác backdoors hoặc mở port được tạo ra bởi phần mềm lây lan độc hại khác
2.4.2.3 Dấu hiệu nhân biết
RBot có cấu hình cao và phát triên đáng kể theo thời gian RBot cũng sẽ thêm vàocác mục trong Registry của Windows để đảm bảo rằng nó sẽ hoạt động mỗi khi khởiđộng Windows, nó luôn thay đổi trong những biến thể tiếp theo Một trong những biếnthể đó được nêu lên ở đây là wuangrd.exe các key trường thay đổi nằm trong nhữngRegistry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
