Danh mục

Sự thống trị của Bot.

Tôi thường tự hỏi những kẻ tấn công làm như thế nào để có đủ hệ thống thực hiện cuộc tấn công từ chối dịch vụ phân phối (DDoS). Họ quản lý thời gian và kiểm soát những cuộc tấn công này như thế nào?

Trong một cuộc tấn công từ chối dịch vụ phân phối (DDoS), hàng nghìn hệ thống tấn công vào nạn nhân và khiến nó không làm việc. Ban đầu những kẻ tấn công sẽ lây nhiễm cho nhiều máy và sau đó cài đặt cửa sau ( Backdoor ) ở những máy này. Cửa sau này sẽ nghe lệnh từ ông chủ của nó- thực hiện cuộc tấn công theo sự chỉ đạo của ông chủ. Mạng lưới hệ thống bị lây nhiễm này hoạt động theo lệnh chỉ đạo trung tâm được gọi là "Botnet".

Trong bài này, chúng ta xem mạng máy Zombie có cài chuông cảnh báo trên Internet. Cùng với cuộc tấn công DDoS, botnet được sử dụng trong nhiều loại tấn công ngày nay. Chúng ta cũng sẽ khảo sát vấn đề này.

 

Cơ bản về Bot.

 

"Bots" là từ viết tắt của Robots. Bots hay Robots, theo cách nói Internet là những chương trình tiện ích nhỏ tự động thực hiện nhiệm vụ thường là qua mạng. Bot đã từng được biết đến trước đây. Các nhà quản trị hệ thống ban đầu đã sử dụng Bot để tự động hoá các hoạt động lặp đi lặp lại. Một ví dụ là chương trình kiểm tra xem nội dung của website có thay đổi và báo cáo cho nhà quản trị mạng.

Internet Relay Chat (IRC) là một kênh phổ biến để Chat sử dụng Bot để thực hiện các hoạt động khác nhau. IRC Bot được chương trình hoá để hiểu lệnh đưa ra trong kênh IRC và đáp trả lệnh. Ví dụ như, khi một người sử dụng đưa ra lệnh "tin nhắn trong ngày" (motd - message of the day) sẽ có một Bot làm việc để hiển thị tin nhắn.

Sau này, Bot đã thay đổi về bản chất. Khả năng độc hại của nó đã tăng lên. Ngày nay, có những Bot có chức năng khác nhau và cả độ phức tạp cũng vậy. Một số Bot được mã hoá theo kiểu modular để giúp những người sử dụng khác có thể bổ sung thêm chức năng. Hầu hết các Bot đều rất đơn giản và được mã hoá dùng C hoặc C++. Ngôn ngữ Perl hoặc Python cũng được dùng để tạo ra Bot. Lưu ý rằng bản thân Bot không tự nó gây tác hại tới một  hệ thống. Chúng chỉ triển khai phá phách sau khi một máy yêu cầu tác động tới ..

 

Phát hành Bot

 

Botnet là một mạng của những máy tính nạn nhân mà có cửa sau có thể được kiểm soát từ xa. Thông thường, sâu máy tính hoặc virut được sử dụng để lây nhiễm cho các hệ thống và tạo những cửa sau hoặc Trojan. Một vụ gần đây đã sử dụng sâu máy tính Beagle để cài đặt một Botnet. Kĩ thuật này là một phương pháp khác mời những người sử dụng không đề phòng bấm vào Link tải và cài đặt Backdoor . Bot thường được đính kèm bên trong phần tải thông thường như xem tranh hoặc phần mềm chia sẻ file ngầm. Bot cũng tự tìm đường thông qua Crack phần mềm, nhạc và tranh ảnh đồi truỵ có thể tải về được.

Hiện nay người sử dụng tại gia là mục tiêu nhắm đến của Bot, nhờ có kết nốt băng thông rộng ngày càng nhiều. Các máy tính gia đình thường dễ bị nhắm tới vì nhiều máy chạy Microsoft Windows ít khi được vá lỗi và hiếm khi sử dụng tường lửa. Hơn nữa, người sử dụng tại gia không đầu tư nhiều thời gian để bảo mật máy tính và nhận thức về bảo mật của họ còn thấo. Với sự tăng lên của kết nối mạng, chúng ta cũng được chứng kiến sự tăng lên của Botnet.

 

Kiểm soát từ xa

 

Một khi Bot được cung cấp tới các máy đã bị lây nhiễm, người tạo ra Bot muốn có một cơ chế để kiểm soát những Bot này hoạt động theo chỉ dẫn của họ. Để làm được việc này cần có một lệnh và cấu trúc kiểm soát và giao thức. Một kênh IRC là cấu trúc được sử dụng nhiều nhất. Một khi đã tạo ra Bot, Bot này sẽ kết nối với máy chủ IRC đã được xác định trước và chờ lệnh. Bot này có thể tải các file khác và cập nhật từ máy chủ.

Chỗ IRC không được sử dụng thì người tạo ra Bot sẽ tạo ra một giao thức kiếm soát đơn giản để quản lý Bot. Tuy nhiên, việc quen thuộc với lệnh IRC khiến IRC trở thành cấu trúc kiểm soát ưa chuộng với người tạo ra Bot . Các kênh kiểm soát IRC cũng pha trộn với các lưu lượng IRC khác và ít khi bị phát hiện là lưu lượng kiểm soát Botnet.

 

Tăng cường sức mạnh

 

Một Botnet điển hình chứa đến hơn 10 nghìn máy tính bị lây nhiễm với nhiều máy chủ dự phòng. Đó là một con số đáng kinh ngạc khiến cho Botnet trở thành lực lượng mạnh. Và không dễ để phá huỷ một Botnet thậm chí sau khi đã bị phát hiện. Việc ứng phó với cuộc tấn công Botnet rất khó khăn vì những hệ thống này lan truyền ra nhiều tổ chức và PC gia đình. Chỉ dừng một vài hệ thống thì sẽ không phá vỡ được Botnet.

Botnet cũng được sử dụng để cung cấp Bot mới cập nhật. Việc này khá dễ dàng khi các Bot hiện nay có thể tải một file thông qua HTTP và thực hiện nó. Do đó một khi một Bot đã được thiết lập trên máy tính bị lây nhiễm thì nhà điều hành Botnet có thể cập nhật Bot để thêm những tính năng của Bot.

 

Cuộc tấn công Botnet.

 

Khác với DDoS, Botnet được sử dụng cho những cuộc tấn công khác. Botnet đang ngày càng tăng về số lượng và độ phức tạp. Chúng được dùng để đánh cắp thông tin quan trọng, trộm thẻ căn cước, lừa đảo thông qua click và spam mạng.

 

Cuộc tấn công DDoS

 

Với lợi thế về số lượng việc tạo ra một cuộc tấn công DoS bằng cách làm nghẽn dải thông của nạn nhân. Làm việc này bằng cách làm ngập mục tiêu nhắm tới bằng những yêu cầu, gói TCP SYN hoặc gói UDP. Thậm chí với một Botnet có vài nghìn máy trong kết nối mạng thì một kẻ tấn công có thể làm suy giảm dịch vụ của các tổ chức lớn.

Bot cũng sử dụng cuộc tấn công mức độ ứng dụng để tạo ra DoS. Một chiến lược phổ biến là yêu cầu trang gọi số liệu ra từ cơ sở dữ liệu. Thậm chí một Bot với vài trăm máy yêu cầu lớn có thể làm chậm một website.

 

Cuộc tấn công tràn ngập HTTP đệ quy nơi Bot theo tất cả các link trong một site là một chiến lược DDoS khác.

 

Mạng spam

 

Một số Botnet chuyên về Spamming. Chúng tham gia vào mạng Spam bằng ba cách. Cách thứ nhất, độ lớn của một Botnet cho phép kẻ tấn công gửi lượng lớn các Spam. Thứ hai, một số Bot thực hiện một chức năng đặc biệt để thu được các địa chỉ email từ các website. Cuối cùng chúng ta có thể thấy Botnet trong Phishing- chúng tạo ra và cung cấp mail giả mạo hoặc dùng các trang giả để lừa nạn nhân. Cả ba cuộc tấn công này đều giấu tên.

 

Thu được thông tin

 

Một số Botnet được kết nối tới packet sniffer ( theo dõi đường truyền ) , KeyLogger được cài đặt trong máy của nạn nhân. Những Botnet này thu thập dữ liệu như tên sử dụng, mật khẩu và các thông tin quan trọng khác có ích cho kẻ đánh cắp thôn tin. Botnet có thể không bị phát hiện trong thời gian dài. Khi một số thông tin quan trọng được đánh cắp, nó được chuyển tới nhà điều hành Botnet. Với hàng nghìn máy tính bị lây nhiễm, rất nhiều thông tin quan trọng đã bị đánh cắp.

 

Lừa đảo thông qua click

 

Nhiều website chạy các đoạn quảng cáo Pay-per-click để ngăn chặn lạm dụng, những website này thường hạn chế số lượng click nhận được từ cùng một địa chỉ IP. Người điều hành Botnet có thể sử dụng Botnet để bấm vào những quảng cáo và thăm dò ý kiến này. Với một mạng Bot lớn, họ có thể lạm dụng chiến lược pay-per-click và phá hoại uy tín của trang web.

 

Chống lại Bot

 

Tin này có vẻ không được hay. Không có một biện pháp đơn giản nào để phá huỷ Botnet. Chừng nào hệ thống dễ bị tồn thương còn tồn tại trên Internet, Botnet còn môi trường để phát triển. Dưới đây là ba cách để bảo vệ chống lại mối đe doạ của botnet:

 

  1. Tăng nhận thức của người sử dụng
  2. Tăng cường kiểm soát mức độ máy chủ và mạng
  3. Quản lý vá lỗi tốt hơn

 

\"\"

Các tin khác

Sophos cung cấp 5 điềm báo về cuộc tấn công Ransomware

10 mật khẩu dễ bị hack nhất năm 2017

Avast phát hành công cụ giải mã mã độc đòi tiền chuộc BTCWare

WannaKiwi giải mã WannaCry làm việc trên Windows XP , 2003 , Vista , 2008 và 7

Người dùng Windows XP có thể gỡ bỏ WannaCry mà không phải trả tiền chuộc

Microsoft vá Windows XP chống lại WannaCry mặc dù đã ngừng hỗ trợ từ năm 2014

BitDefender phát hành công cụ giải mã mã độc đòi tiền chuộc Bart .

Phần mềm chống Virus tốt nhất cho Windows 7

Dùng sóng âm cướp quyền điều khiển thiết bị điện tử bao gồm cả điện thoại

Avast phát hành công cụ giải mã cho nạn nhân CryptoMix

Copyright 2016 Infocom - Tư vấn tin học toàn quốc - 23 Láng Hạ - 04.35141.375. All Rights Reserved. nothing