Máy tính Zombie hoạt động như thế nào?
Trong thành phố này, bạn cũng sẽ nhận ra rằng không ai thực sự giống như vẻ ngoài của mình cả -- thậm chí cả bản thân bạn cũng vậy. Bạn sẽ cảm thấy rằng có lẽ mình đã cư xử không tốt, mặc dù bạn không nhớ điều đó. Cũng như chàng điệp viên bất đắc dĩ trong “Ứng cử viên Manchurian”, bạn sẽ khám phá ra rằng bạn buộc phải tuân lệnh ai đó, và bạn không có cách nào thoát ra được.
![\"/\"](\"http://tuvantinhoc1088.com/my_documents/my_pictures/Giainghia/Zombie/hinh1.JPG")
Có thể người dùng sẽ nhận ra rằng nhà cung cấp dịch vụ Internet đã cắt đường truyền của mình, hoặc bỗng dưng bị điều tra vì một hành vi phạm pháp nào đó. Trong khi đó, tên tin tặc chỉ nhún vai khi mất đi một trong số những máy tính zombie, bởi hắn ta còn nhiều cái khác nữa. Có những trường hợp tin tặc có rất nhiều zombie -- một cuộc điều tra đã từng khám phá ra rằng chỉ một máy tính của tin tặc đã điều hành mạng lưới gồm hơn 1.5 triệu máy tính zombie.
Trong bài báo này, chúng ta sẽ cùng tìm hiểu việc tin tặc giành quyền kiểm soát máy tính của bạn như thế nào, tại sao chúng lại làm vậy, và đâu là cách tốt nhất để bảo vệ bạn khỏi các cuộc tấn công này.
| Những cái tên khác Theo một số người thì thuật ngữ “máy tính zombie” rất dễ gây hiểu lầm. Bởi các “zombie” (thây ma sống dậy), đều không có suy nghĩ và chỉ săn đuổi nạn nhân theo bản năng mà thôi. Còn một máy tính zombie vẫn có thể hoạt động như bình thường, và mỗi hành động của nó đều do tin tặc điều khiển (mặc dù chúng có thể thực hiện điều này một cách tự động). Chính vì lẽ đó mà nhiều người thích dùng thuật ngữ “bot” hơn. “Bot” có nguồn gốc từ từ “robot,” tức là một thiết bị hoạt động theo chỉ dẫn cho sẵn. Một tập hợp những bot nối mạng thì gọi là “botnet,” còn một nhóm những máy tính zombie được gọi là “đội quân.” |
Làm thế nào để trở thành một zombie?
Tin tặc thường biến máy tính thành zombie bằng cách sử dụng chương trình khai thác lỗi trong hệ điều hành máy tính. Có thể bạn sẽ nghĩ rằng những tên tin tặc này hẳn phải có đầu óc siêu đẳng về Internet, nhưng trong thực tế, nhiều tên có rất ít hoặc thậm chí không có tí kiến thức nào về lập trình. (Đôi khi người ta còn gọi tin tặc là "script kiddies" bởi chúng thường rất trẻ và không có kinh nghiệm viết lệnh hay mã.) Còn các thanh tra chuyên phụ trách về botnet thì cho biết những chương trình mà tin tặc sử dụng đều rất đơn giản và được lập trình một cách nghèo nàn. Bất chấp khởi đầu khiêm tốn, những chương trình này lại có thể thực hiện tất cả những gì mà tin tặc cần -- biến máy tính thành zombie.
Đầu tiên, để lây nhiễm cho một máy tính, tin tặc cần phải tìm cách cài chương trình lên máy nạn nhân. Chúng có thể thực hiện việc này qua e-mail, mạng lưới xã hội, hoặc qua các website phổ biến. Thường thì tin tặc sẽ khoác cho những chương trình này một vỏ bọc hợp pháp để nạn nhân tưởng mình sẽ nhận được một thứ khác. Còn khi người dùng đã trở nên cảnh giác hơn với những trò lừa đảo qua Internet, tin tặc vẫn có thể tìm được cách khác để phát tán chương trình của mình. Bạn đã bao giờ bắt gặp một quảng cáo pop-up có kèm nút "No Thanks" chưa? Hy vọng bạn chưa click lên nó -- bởi đó chính là một cái bẫy. Thay vì giúp bạn thoát khỏi mẩu quảng cáo pop-up, nó lại kích hoạt quá trình download một phần mềm độc:
| Malware Các chương trình được thiết kế với mục đích xâm nhập vào máy tính được gọi là malware (như trong các phần mềm mã độc). Malware bao gồm vô số mã độc có thể phá hoại máy tính của bạn, mạng lưới của bạn, và thậm chí cả mạng Internet nữa. Sau đây là một số dạng malware phổ biến có thể biến máy tính của bạn thành zombie: · Virus máy tính – các chương trình làm tê liệt máy tính nạn nhân bằng cách phá sập các file cần thiết hoặc chiếm hết tài nguyên máy tính. · · Trojan horse – Chương trình với danh nghĩa thực hiện một việc nào đó, nhưng thực ra lại gây hại cho máy tính hoặc mở cửa sau cho các chương trình độc xâm nhập vào. · Rootkits - tập hợp các chương trình cho phép quản lý máy tính ở cấp độ admin, không nhất thiết phải là malware, thường được tin tặc sử dụng để quản lý và do thám máy tính. · Backdoors – các phương pháp bóp méo tiến trình bình thường của hệ điều hành, giúp tin tặc tiếp cận với thông tin trên một máy tính khác. · Key loggers – các chương trình ghi lại những phím mà người dùng đã gõ, cho phép tin tặc biết được passwords và mã login. Mã Zombie thường là một phần của một loại virus, worm hay Trojan horse. Máy tính Zombie thường hợp tác với các loại malware khác trong quá trình hoạt động. |
Một khi nạn nhân đã nhận được chương trình, anh ta sẽ phải kích hoạt nó. Trong phần lớn trường hợp, người dùng nghĩ rằng chương trình này là một thứ gì khác, có thể là một file ảnh, một file MPEG hoặc một định dạng phổ biến khác. Khi anh ta chạy chương trình, vẫn chẳng có gì xảy ra. Trong một số trường hợp, người dùng nhận ra rằng tình hình dã trở nên đáng báo động và vội vàng quét virus hay spyware. Nhưng không may là một số người chỉ nghĩ rằng họ đã nhận phải một file chất lượng kém và bỏ mặc nó như vậy.
Trong khi đó, chương trình đã được kích hoạt sẽ tự gắn với hệ điều hành của người dùng để mỗi khi anh ta bật máy tính lên, chương trình sẽ được kích hoạt. Thường thì tin tặc sẽ không sử dụng cùng một phân đoạn trong trình tự khởi chạy hệ điều hành, khiến cho nạn nhân dễ bị lừa hơn.
Mỗi lần, chương trình này lại chứa các lệnh nhất định để thực hiện một công việc nhất định, giúp tin tặc trực tiếp điều khiển việc lướt web của người dùng. Nhiều chương trình làm việc qua mạng IRC, và trong thực tế, trên mạng lưới IRC tồn tại những cộng đồng botnet – nơi tin tặc có thể trao đổi thông tin hay đánh cắp botnet của nhau.
Một khi máy tính người dùng đã rơi vào tay tin tặc, hắn có thể làm bất kỳ điều gì hắn muồn. Phần lớn các tin tặc cố gắng tránh né sự kiểm tra của người dùng. Nếu tin tặc sơ ý cho người dùng biết về sự hiện diện của hắn, hắn có nguy cơ mất đi một bot. Nhưng đối với một số tin tặc, điều này cũng không thành vấn đề, bởi chúng có hẳn một mạng lưới gồm hàng trăm ngàn zombie.
Spam tiếp tục là một vấn đề nan giải. Thật là khó chịu khi mỗi lần mở e-mail là lại gặp phải hàng đống thư rác. Vậy tất cả những spam này từ đâu tới? Theo ước lượng của FBI, thì phần lớn trong số này đến từ các mạng lưới máy tính zombie.
|
|
![\"/\"](\"http://tuvantinhoc1088.com/my_documents/my_pictures/Giainghia/Zombie/hinh2.JPG")
Nếu spam đến từ một nguồn tập trung thì việc tìm kiếm và yêu cầu nhà cung cấp dịch vụ Internet đóng tài khoản của máy tính tin tặc lại hoặc bắt hắn đền bù là điều khá dễ dàng. Và để tránh kết cục như vậy, các tin tặc sẽ dựa vào mạng lưới máy tính zombie. Khi đó máy tính zombie trở thành đối tượng uỷ quyền, tức là tin tặc sẽ không bị lộ mặt trong xuất xứ của e-mail spam. Một tin tặc có botnet lớn có thể phát tán hàng triệu e-mail spam mỗi ngày.
Tin tặc có thể lập một mạng lưới zombie spam để gửi virus máy tính hoặc chương trình Trojan đến bao nhiêu máy tính tuỳ ý. Chúng cũng có thể sử dụng spam để gửi tin phishing nhằm lừa khách hàng cung cấp thông tin cá nhân.
Khi gửi quảng cáo qua thư spam, tin tặc có thể lập botnet riêng cho một khách hàng hoặc thuê nó hàng giờ. Những khách hàng nào muốn quảng cáo cho sản phẩm của họ (và không quan tâm đến chuyện cách thức quảng cáo có trái pháp luật và gây khó chịu cho người dùng hay không) sẽ trả tiền thuê tin tặc gửi e-mail cho hàng nghìn người.
Phần lớn người nhận e-mail không thể truy ra được xuất xứ của spam. Họ có thể khoá một nguồn, để rồi nhận lại đúng loại spam đó từ một zombie khác trong botnet. Nếu như bức e-mail còn bao gồm một dòng như kiểu "Click vào đây để xoá e-mail này,” người dùng có nguy cơ bị lừa để nhận thêm nhiều spam khác nữa. Còn những người dùng quan tâm hơn đến việc truy tìm nguồn gốc e-mail có thể không nhận ra rằng máy tính người gửi là một phần của một mạng lưới zombie lớn hơn. Đối với người dùng có kinh nghiệm hơn, thì cũng không phải là không có cách phát hiện ra có phải chính người gửi đã phát tán spam hay là máy tính đã bị tin tặc điều khiển từ xa. Chỉ có điều là cách này khá tốn thời gian.
Chủ nhân của một máy tính zombie có khả năng nhận ra có kẻ khác đang điều khiển máy tính của mình nếu như người nhận spam viết thư trả lời phàn nàn về thư rác mình nhận được, hay khi hòm thư gửi đi của anh ta chứa đầy những e-mail anh ta không hề viết. Còn nếu không, anh ta sẽ mãi mãi không biết được rằng mình đã trở thành một mắt xích trong dây chuyền spam. Thậm chí một số người còn không quan tâm đến việc có phải máy tính của mình đang bị lợi dụng để phát tán spam hay không, như thể đấy là việc của người khác vậy. Trong khi đó, nhiều người không thực hiên những điều cần thiết để tránh trở thành một phần của botnet.
Khi máy tính zombie tấn công
Đôi khi tin tặc sử dụng netbot để phá hoại một website hoặc máy chủ nhất định. Cách làm rất đơn giản – tin tặc sẽ ra lệnh cho tất cả các máy tính trong botnet liên tục liên lạc với một website hay máy chủ. Dung lượng đường truyền tăng đột ngột có thể khiến cho website trở nên chậm khủng khiếp đối với những người dùng có nhu cầu thực sự. Nhiều khi đường truyền trở nên chật đến nỗi website bị sập hoàn hoàn. Chúng tôi gọi kiểu tấn công này là “tấn công từ chối dịch vụ” (DDoS).
Một số botnet nhất định lại sử dụng các máy tính chưa bị xâm nhập để tấn công: tin tặc sẽ gửi một lệnh đến đội quân zombie của hắn. Mỗi máy tính trong đội quân này sẽ gửi một yêu cầu kết nối điện tử tới một máy tính chưa bị xâm nhập, khi đó yêu cầu này sẽ không giống như được gửi đến từ một zombie, mà từ một nạn nhân của vụ tấn công. Sau đó máy tính này sẽ gửi thông tin đến máy tính nạn nhân. Cuối cùng, tốc độ của máy tính nạn nhân sẽ chậm lại một cách bất thường hoặc shut down hoàn toàn do ngập chìm trong vô số phản hồi từ nhiều máy tính cùng một lúc.
![\"/\"](\"http://tuvantinhoc1088.com/my_documents/my_pictures/Giainghia/Zombie/hinh3.JPG")
Từ góc độ người dùng, anh ta sẽ tưởng rằng chính máy tính chưa bị xâm nhập kia đã gây ra vụ tấn công. Còn từ góc độ máy tính chưa bị xâm nhập, có vẻ như máy tính nạn nhân đã yêu cầu gói phản hồi đó. Trong khi đó, máy tính zombie vẫn chưa lộ mặt, và cả tên tin tặc cũng vậy.
Danh sách nạn nhân của các vụ tấn công DDoS này cũng bao gồm một số tên tuổi lớn như: Microsoft bị tấn công bởi MyDoom, và cả những người khổng lồ Internet như . Amazon, CNN, Yahoo và eBay nữa. Dưới đây là danh sách DDoS theo thứ tự từ tương đối phiền hà đến vô cùng khó chịu:
·
· Mailbomb – bot gửi một lượng lớn e-mail làm sập máy chủ e-mail.
· Smurf Attack – bot gửi tin nhắn ICMP đến các máy tính chưa bị xâm nhập, xem ví dụ trên.
· Teardrop – bot gửi nhiều phần của một gói tin bất hợp pháp, máy tính người dùng sẽ cố ghép các phần này lại và đổ vỡ là việc tất yếu xảy ra.
Một khi đội quân zombie đã tiến hành tấn công nạn nhân bằng DdoS, admin khó có thể làm được gì. Anh ta có thể giới hạn dung lượng đường truyền trên máy chủ của mình, nhưng việc này có thể chặn cả các kết nối Internet hợp pháp. Còn nếu như admin có thể tìm ra nguồn gốc vụ tấn công, anh ta có thể tiến hành lọc đường truyền. Nhưng trên thực tế, do có quá nhiều zombie che giấu địa chỉ thực của chúng nên việc này không hề dễ thực hiện.
| Script Kiddies Ngày 4 tháng 5 năm 2001, một tin tặc 13 tuổi đã sử dụng kiểu tấn công từ chối dịch vụ để phá sập GRC.com, website của tập đoàn Gibson Research. Mỉa mai thay, GRC.com lại chuyên tập trung vào lĩnh vực an ninh trên Internet. Đến năm 2006, cảnh sát Việt Nam đã bắt giữ một học sinh lớp 11 do thực hiện DDoS để tấn công một website của Công ty phần mềm Nhân Hoà. Theo lời tin tặc này, cậu ta làm vậy do không thích website đó. |
Phishing, lừa đảo và Click Fraud!
Một số tin tặc rất thích thú với việc sử dụng máy tính zombie để gửi spam hoặc làm tê liệt một mục tiêu nhất định. Nhiều tin tặc lại dùng zombie như như một công cụ phishing nhằm lấy thông tin mật, đặc biệt là thông tin định dạng của nạn nhân. Tin tặc có thể đánh cắp thông tin thẻ tín dụng hoặc lục tìm trong file của bạn để kiếm những thông tin đáng giá. Hắn có thể sử dụng một chương trình key logging để theo dõi mọi ký tự bạn gõ, rồi dùng nó để khám phá password và các thông tin cá nhân khác.
Đôi khi chúng còn dùng máy tính zombie theo những kiểu lúc đầu không trực tiếp gây hại cho nạn nhân, nhưng mục đích cuối cùng vẫn là phi pháp.
Có thể bạn đã từng nhìn thấy, hoặc thậm chí tham gia vào các cuộc bình chọn trên Internet. Có thể đôi khi bạn còn bắt gặp những kết quả không bình thường chút nào, đặc biệt là trong một cuộc thi. Mặc dù có thể cuộc bình chọn này chưa hề bị hack, nhưng các tin tặc hoàn toàn biết cách sử dụng zombie để thực hiện kiểu tấn công click fraud. Click fraud có nghĩa là thiết lập một botnet để liên tục click lên một đường link nhất định. Đôi khi tin tặc thực hiện kiểu tấn công này bằng cách dựa vào quảng cáo trên website do chúng lập ra. Do những công ty muốn quảng cáo trên web sẽ phải trả một khoản tiền nhất định sau mỗi lần người dùng click lên quảng cáo của họ, nên tin tặc có thể kiếm được kha khá từ kiểu làm ăn này.
Zombie và những tên tin tặc đứng sau chúng thật đáng sợ. Bạn có thể trở thành nạn nhân của một vụ đánh cắp nhân dạng, hoặc vô tình tiếp tay cho việc đánh sập một website quan trọng. Vì vậy bạn cần phải học cách tự bảo vệ bản thân mình cũng như cách xử lý khi phát hiện ra máy tính của bạn đã bị kẻ khác điều khiển.
Cách phòng ngừa hữu hiệu
Chắc chắn bạn không muốn máy tính của mình biến thành zombie phải không? Vậy bạn có thể làm gì để ngăn chặn việc này? Hãy nhớ điều quan trọng nhất là: phòng ngừa là một quá trình liên tục -- bạn không thể dựng lên một chiến luỹ và hy vọng nó sẽ bảo vệ bạn đến hết đời. Ngoài ra, bạn cũng cần nhớ rằng bạn luôn phải vận dụng khả năng phân tích và óc linh hoạt, nếu không chắc chắn bạn sẽ lâm vào thảm hoạ.
| Số liệu về spam Sau đây là một số dữ liệu về spam từ Báo cáo Nguy cơ an ninh mạng năm 2007 từ Symantec: · Từ ngày 1 tháng 7 cho đến ngày 31 tháng 12 năm 2006, 59% số e-mail có chứa spam. · Spam tiếng Anh chiếm 65% trong tổng số spam các loại. · Nước Mỹ là nơi xuất phát của 44% lượng spam trên toàn thế giới. · 10% số zombie e-mail hiện diện tại nước Mỹ, biến Mỹ trở thành thủ đô zombie của thế giới. · Cứ 147 e-mail spam bị chặn lại có một email chứa mã độc. |
Phần mềm diệt virus là tối cần thiết. Khi bạn mua một bản phần mềm thương mại như McAfee VirusScan hay download một bản phần mềm miễn phí như AVG Anti-Virus Free Edition, bạn cần kích hoạt nó và đảm bảo rằng chương trình của mình được cập nhật thường xuyên. Theo một số chuyên gia, để hoạt động hiệu quả, một phần mềm diệt virus phải được cập nhật hàng giờ. Điều này rõ ràng là không thể, nhưng nó cho thấy tầm quan trọng của việc liên tục bổ sung thông tin mới nhất.
Hãy cài đặt chương trình quét spyware để phát hiện các spyware chứa mã độc. Spyware bao gồm những chương trình do thám hoạt động của bạn trên mạng Internet. Một số spyware còn ghi lại toàn bộ những gì bạn đã gõ và thực hiện trên máy tính. Để đối phó với chúng, hãy mua ngay một chương trình chống spyware như Ad-Aware của Lavasoft. Cũng như đối với phần mềm diệt virus, hãy đảm bảo rằng chương trình của bạn luôn được cập nhật.
Bạn cần dùng tường lửa để bảo vệ mạng nội bộ của mình. Tường lửa có thể nằm trong một gói phần mềm hoậc thậm chí tích hợp vào một số thiết bị phần cứng như router hay modem.
Bạn cũng cần đảm bảo rằng password của mình đủ khó để đoán, hoặc thậm chí không thể đoán được. Bạn cũng không nên sử dụng cùng một password cho nhiều ứng dụng khác nhau. Có thể bạn sẽ gặp khó khăn trong việc nhớ tất cả các password của mình, nhưng đây là một cách bảo vệ tăng cường rất hiệu quả.
Còn nếu như máy tính của bạn đã bị lây nhiễm và trở thành một zombie, thì vẫn còn một số đường ra cho bạn. Cách tốt nhất là liên lạc với bộ phận hỗ trợ kỹ thuật để khắc phục vấn đề. Còn nếu không, bạn có thể chạy một chương trình diệt virus để cắt con đường kết nối giữa máy tính của bạn và tên tin tặc. Không may là đôi khi điều duy nhất bạn có thể làm là xoá bỏ mọi thứ trên máy tính và tải lại toàn bộ hệ điều hành, rồi bắt đầu lại từ đầu. Bạn cũng nên lập đĩa dự phòng ổ cứng thường xuyên. Hãy nhớ quét tất cả những file bằng phần mềm diệt virus để đảm bảo rằng không có file nào trong số chúng bị lây nhiễm.
Máy tính của bạn là một nguồn mỏ tuyệt vời. Điều đáng buồn là tin tặc cũng nghĩ như vậy – chúng muốn biến máy tính của bạn thành nguồn lợi của chúng. Nếu như bạn thực hiện các thói quen lướt web cẩn thận và làm theo những mẹo chúng tôi miêu tả, bạn sẽ có khả năng bảo vệ máy tính của mình tốt hơn.
![\"\"](\"/resources/Image/Trung-tam-xu-ly-su-co.GIF")
![\"\"](\"/resources/Image/Tu-van-tin-hoc1.GIF")
