I.LỜI NÓI ĐẦU
Internet ngày càng phát triển, cùng với nó các mạng botnet được sinh ra một cách bí mật và tiềm ẩn những nguy cơ lớn đối với an ninh mạng. Số lượng và kích cỡ botnet ngày càng tăng. Người ta đã tìm thấy và gỡ bỏ nhiều botnet trên Internet. Cảnh sát Hà Lan đã tìm thấy một botnet gồm 1.5 triệu nút và ISP Telenor của Na Uy đã dỡ bỏ một botnet 10.000 nút.
Ở Việt Nam điển hình là vụ tấn công từ chối dịch vụ Flash-DDoS bằng botnet vào trang thương mại Việt Cơ (2006) và gần đây nhất là vụ tấn công DDoS hàng loạt các site như 5giay.vn, nhatnghe.vn,bkav.com.vn (của BKIS – Trung tâm an ninh mạng ĐHBKHN) ( tháng 09/2008 ) bằng botnet với số lượng máy bị kiểm soát lên đến hàng ngàn. Người ta đã khởi động các hoạt động hợp tác quốc tế lớn nhằm dập tắt các botnet.
Vậy botnet là gì ? Botnet hình thành và hoạt động như thế nào? Các nguy cơ của botnet ? Bài viết này tôi sẽ đề cập đến IRC botnet và trả lời các câu hỏi trên.
II.DOS & DDOS
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó.
Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một các không xác định.
Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đâp ứng giao thông hợp pháp, hoặc dáp ứng quá chậm.
Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
Tấn công từ chối dịch vụ đựoc lưu ý sự vi phạm chính sách sử dụng đúng internet của IAB(Internet Architecture Board). Chúng cũng cấu thành sự vi phạm luật dân sự.
Phương pháp DoS truyền thống sử dụng một máy tính đơn gửi một số lượng lớn các yêu cầu (flooding requests) đến máy tính đơn khác. Mô hình DDoS sử dụng nhiều máy tính tấn công một mục tiêu đơn nhất.
DDoS sử dụng mạng botnet để tấn công, về mặt lý thuyết khi mạng botnet này đủ lớn thì mục tiêu không thể chống đỡ nổi hơn nữa phương pháp này tạo ra các truy nhập hợp lệ khiến việc xác định nơi phát động tấn công là một khó khăn rất lớn.
Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một các không xác định.
Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên lạc bên ngoài, đến mức nó không thể đâp ứng giao thông hợp pháp, hoặc dáp ứng quá chậm.
Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn nhân.
Tấn công từ chối dịch vụ đựoc lưu ý sự vi phạm chính sách sử dụng đúng internet của IAB(Internet Architecture Board). Chúng cũng cấu thành sự vi phạm luật dân sự.
Phương pháp DoS truyền thống sử dụng một máy tính đơn gửi một số lượng lớn các yêu cầu (flooding requests) đến máy tính đơn khác. Mô hình DDoS sử dụng nhiều máy tính tấn công một mục tiêu đơn nhất.
DDoS sử dụng mạng botnet để tấn công, về mặt lý thuyết khi mạng botnet này đủ lớn thì mục tiêu không thể chống đỡ nổi hơn nữa phương pháp này tạo ra các truy nhập hợp lệ khiến việc xác định nơi phát động tấn công là một khó khăn rất lớn.
III.INTERNET RELAY CHAT (IRC)
IRC được sáng tạo ra bởi Jarkko Oikarinen (bí danh "WiZ") vào khoảng cuối tháng 8 năm 1988 để thay thế một chương trình có tên là MUT (MultiUser Talk) trên một kênh BBS gọi là OuluBox tại Phần Lan. Ông tìm được cảm hứng cho dự án của mình từ hệ thống Bitnet Relay Chat của mạng Bitnet.
IRC được nhiều người chú ý đến từ khi nó được dùng sau tấm màn sắt (Iron Curtain) để viết phóng sự trực tuyến về sự sụp đổ của Liên Bang Xô Viết trong khi tất cả các phương tiện truyền thông khác không hoạt động được. Thời gian gần đây, nó cũng được dùng một cách tương tự để viết phóng sự trong trận chiến giữa Kuwait và Iraq.
IRC là chữ viết tắt từ cụm từ Internet Relay Chat trong tiếng Anh. IRC là một dạng liên lạc cấp tốc qua mạng Internet. Nó được thiết kế với mục đích chính là cho phép các nhóm người trong một phòng thảo luận (channel) liên lạc với nhau. Tuy nhiên, nó cũng cho phép hai người dùng liên lạc riêng nếu họ thích.
Hiện nay IRC là mạng trò chuyện trực tuyến lớn, có vài triệu kênh trên máy phục vụ trên khắp thế giới. Giao thức viễn thông này cũ hơn IM; IRC từng là hoàn toàn đựa vào nhập thô ASCII. Tuy nhiên, hiện thời có mốt số ứng dụng đồ họa làm cho dễ sử dụng IRC hơn, gần bằng dùng IM.
Hình 01. Mô hình mạng IRC
Ngoài chát, IRC còn dùng để chia sẻ tập tin và tư liệu theo hình thức mạng ngang hàng.
Có nhiều ứng dụng khách IRC cho người dùng trên bất kỳ hệ điều hành. Một ứng dụng phổ biến là XChat. XChat là phần mềm tự do trên Linux/BSD, mặc dù phiên bản trên Windows là phần mềm dùng thử (30 ngày), cũng đã dịch sang tiếng Việt.
Conversation là một thí dụ của ứng dụng khách IRC mới, dễ dùng, đựa vào đồ họa. Không cần học hiểu lại cách sử dụng lệnh IRC.
Các ứng dụng khách Jabber cũng có khả năng trò chuyện qua IRC, nhưng chưa có truyền tải hữu hiệu.
Chương trình thông dụng khác để truy cập vào các máy chủ IRC là KVIrc và mIRC. mIRC là một phần mềm chia sẻ (shareware) dành cho người sử dụng IRC trên Windows (không hoạt động trên các hệ điều hành khác như Linux, Mac OS, PalmOS, Epoc, Atari's...), được sáng tạo, phát triển và đăng kí bản quyền bởi Khaled Mardam-Bey.
IV.BOT & BOTNET
Bot hay rôbôt mạng là các ứng dụng phần mềm chạy các tác vụ tự động hóa trên mạng. Thông thường, bot thực hiện các tác vụ đơn giản và có cấu trúc lặp đi lặp lại với một tần suất cao hơn nhiều so với khả năng của một soạn thảo viên là con người. Ứng dụng rộng lớn của bot là trong duyệt tự động Web theo kiểu bò loang (web spidering), trong đó một chương trình tự động tìm kiếm, phân tích và sắp xếp thông tin từ các máy chủ web với tốc độ cao hơn nhiều lần tốc độ của con người. Mỗi máy chủ có một file có tên robots.txt chứa các quy tắc cho việc bò loang tự động tại máy chủ đó, đây là các quy tắc mà con bot cần tuân theo.
Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Một ví dụ về bot đó là search enginer Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot.
Bên cạnh các ứng dụng kể trên, bot còn có thể được cài đặt tại nơi đòi hỏi tốc độ phản ứng cao hơn tốc độ của con người (chẳng hạn bot trò chơi điện tử và bot tại các trang web bán đấu giá) hoặc trong các tình huống cần đến sự bắt chước các hoạt động của con người (chẳng hạn các chatbot - bot nói chuyện).
Botnet là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phân tán.
Tuy từ "botnet" có thể dùng để chỉ một nhóm bot bất kỳ, chẳng hạn IRC bot, từ này thường được dùng để chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, trojan horse hay các cửa hậu, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chỉ huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chẳng hạn như IRC, và thường là nhằm các mục đích bất chính. Mỗi con bot thường chạy ẩn và tuân theo chuẩn RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm, ...). Các bot mới hơn có thể tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hổng an ninh và mật khẩu yếu. Nếu một con bot có thể quét và tự lan truyền qua càng nhiều lỗ hổng an ninh, thì nó càng trở nên giá trị đối với một cộng đồng điều khiển botnet.
Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ẩn kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cấm truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối, chẳng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chẳng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự.
Đôi khi, một người điều khiển giấu một cài đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác. Chỉ đến gần đây, phương pháp sử dụng bot để chỉ huy các bot khác mới phát triển mạnh, do đa số hacker không chuyên (script kiddie) không đủ kiến thức để sử dụng phương pháp này.
Một xu hướng rất nguy hiểm trong thời gian gần đây là kẻ tấn công sử dụng botnet gồm hàng ngàn máy tính ma (máy tính đã bị khống chế hay còn gọi là zombie) để tấn công từ trối dịch vụ, nhằm vào các hệ thống của doanh nghiệp, tổ chức, chính phủ. Để tạo ra đội quân zombie hùng hậu này, chúng sử dụng virus, spyware hay các trojan lây nhiễm qua Internet, khi máy tính bị nhiểm máy tính đó sẽ bị kiểm soát một cách bí mật, từ xa bởi các Trojan. Có rất nhiều phương pháp điều khiển và quản lý zombie từ xa. Trong khuôn khổ bài viết này tôi chỉ đề cập đến việc điều khiển và quản lý bằng Trojan thong qua các kênh riêng Internet Relay Chat (IRC).
V.IRC BOTNET
Mỗi một máy bị kiểm soát,bị cài một phần mềm nguy hiểm bí mật kết nối đến kênh IRC của kẻ tấn công gọi là một bot. Mạng các các kết nối tới một kênh IRC gọi là một botnet.Bot cũng đồng nghĩa với agent (tác tử) trong phương thức DDoS truyền thống. Các bot này được điều khiển thông qua kênh IRC nó kết nối đến. Một bot khi được cài lên máy của nạn nhân, nó sẽ kết nối ra ngoài theo các cổng của dịch vụ IRC và tham gia vào các kênh riêng do kẻ tấn công tạo ra. Các kênh này năm trên các mạng phổ biến như Efnet, Undernet hay DALnet. Các mạng này là một công cụ miễn phí, ổn định để kẻ tấn công dễ dàng mở rộng, quản lý, duy trì và điều khiển đội quân bot.
Mạng IRC cung cấp cho kẻ tấn công khả năng dẽ dàng và mềm dẻo để điều khiển hàng trăm thậm trí hàng ngàn bot.
Theo Australian CERT, điểm cực kỳ nguy hiểm là các bot hiện nay có thể tân dụng được băng thông rộng và tài nguyên dư thừa của máy nạn nhân, những bot này sẽ có khả năng cực kỳ mạnh mẽ. Botnet với nhiều bot mạnh này sẽ tạo ra một sức mạnh vô cùng ghê gớm, có khả năng đánh sập bất kỳ hệ thống nào.
VI.CÁC THÀNH PHẦN CƠ BẢN CỦA IRC BOT ATTACK
Bản chất bot là một chương trình nguy hiểm đã được lây nhiễm vào máy tính nạn nhân và bị kiểm soát bởi kẻ tấn công. Các bot được cấu hình để kết nối vào một kênh IRC bí mật và đợi lệnh tấn công .
- Bot: thường là một file thực thi, có khả năng thực hiện một tập lệnh đã được lập trình trước. Các lệnh này thường tác động trực tiếp đến máy tính bị lây nhiễm như ẩn các tác vụ của người quản trị. Bot sẽ tự copy đến một thư mục bí mật và thay đổi cấu hình trên máy lây nhiễm cho phép nó tự động kích hoạt khi máy khởi động.
Ví dụ trên nền Widows bot sẽ kích hoạt một phiên bản của nó lúc máy tính khởi động bằng cách thêm thông tin vào Registry : HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run\
Thông thường bản nén của một bot có kích thước không quá 15kb.
Bot được lây nhiễm dưới dạng virus, sâu máy tính các loại malware khác hay được phát tán từ các site độc hại, site bị hacker kiểm soát. Với cách phát tán từ các website bot được tự động tải về máy do các lỗi của trình duyệt hay do người dùng không biết và click vào.
Hình ảnh sau cho thấy mã cử một website đã bị chèn một file thực thin guy hiểm tên là Trojan.exe
Hình 02 . Mã một trang phát tán mã độc
 |
Hình 3. Các thành phần IRC BOT
- Máy nạn nhân (Victim machine, hay còn gọi là zombie hay máy tính ma): là một máy tính có kết nối internet, đã bị cài một phần mềm nguy hiểm đóng vai trò là một bot của một botnet. Phần mềm nguy hiểm này có thể được cài theo nhiều cách, một trong các cách đó là cách lây nhiễm kể trên. Hay bị cài do các lỗi của phần mềm, hệ điều hành và gần đây một cách rất phổ biến là lây qua USB.
- Kẻ tấn công (Attacker): là người đã tạo ra và phát tán bot, người điều khiển và ra lệnh cho các bot kết nối tới server,kênh IRC định trước, là người ra lệnh tấn công đối với các bot.
- Kênh điều khiển (Control channel): là một kênh IRC bí mật được kẻ tấn công tạo ra nhằm kết nối các máy tính đã kiểm soát thông qua các bot khi các máy tính này kết nối vào mạng.Thông tin về kênh này đã được định sẵn trong các bot hay các bot có cơ chế để tự động cập nhật thông tin về kênh này.
-Máy chủ IRC (IRC Server): là máy chủ cung cấp dịch vụ IRC. Một số nguồn cung cấp dịch vụ IRC phổ biến như DALNET ... Kẻ tấn công cũng có thể dựng một máy chủ riêng.
-Botnet : tất cả các bot khi kết nối tới kênh điều khiển tạo thành mộ mạng lớn các nút gọi là botnet. Botnet này sẽ ở trong trạng thái sẵn sằng chờ lệnh tấn công của kẻ tạo ra nó.
VII.CÁC MỐI NGUY HIỂM MÀ BOT VÀ BOTNET CÓ THỂ TẠO RA
Các hành động sau có thể được thực hiện bởi kẻ tấn công khi sử dụng bot và botbet:-Tấn công từ chối dịch vụ (DoS attack): đây chính là lý do lớn nhất khiến kẻ xấu sử dụng IRC bot. Kẻ tấn công có thể sử dụng sức mạnh của đội quân zombie bằng cách điều khiển và phát lệnh tấn công tới mục tiêu. Có thể hạ gục mục tiêu bằng các dòng dữ liệu UDP, ICMP lớn hay gửi các yêu cầu đồng bộ làm lụt TCP gây ghẽn đường truyền.
- Tiếp tục lây nhiễm cục bộ : với bot đã có kẻ tấn công có thể chiếm toàn bộ quyền kiểm soát máy bị lây nhiễm. Kẻ tấn công có thể tải về và cài các chương trình gián điệp (spy ware), trojan, key log…để theo dõi máy, thu thập các thông tin nhạy cảm của nạn nhân như thông tin cá nhân, tài khoản ngân hàng, thẻ tín dụng…
- Tận dụng băng thông của nạn nhân:: một mục đích sử dụng thú vị khác là tận dụng băng thông và tài nguyên rỗi của nạn nhân. Đặc biệt là các máy có băng thông rộng. Thậm chí giữa các nhóm tấn công cũng trao đổi với nhau tài nguyên này.
- Của hậu (Backdoor): với kiểu tấn công này, botnet còn có khả năng ẩn dấu và mở các kêt nối bí mật ra ngoài, để kẻ tấn công có thể dễ dàng xâm nhập vào lần tiếp theo.
- Chứa dữ liệu bất hợp pháp :với xu hướng này, kẻ tấn công có thể tân dụng các bot làm các mạng chia sẻ file, tận dụng để lưu trữ file, phần mềm bất hợp pháp, các đoạn video riêng,…
Thêm nữa, với việc giám sá các bot, kẻ tấn công có thể một cách bí mật theo dõi các ISP.
- Gửi thư rác (spam mail) : đây thực sự là một thách thức lớn đối với các chuyên gia bảo mật. Theo thông tin mới nhất (10/2008) các mạng botnet trung bình một ngày gửi 60 tỉ thư rác chiếm 20% tổng số thư rác/ngày.
VIII.MỤC TIÊU VÀ NẠN NHÂN CHÍNH CỦA BOTNET
Tất cả các nguồn kết nối tới internet đều có thể là mục tiêu tấn công của kẻ xấu. Các hệ thống sơ hở có thể bị lây nhiễm bot là các hệ thống ít giám sát, băng thông và tài nguyên lớn, các máy tính cá nhân sử dụng ở nhà, các máy tính cá nhân, các máy chủ ở các trường đại học.- Hệ thống có băng thông lớn: một trong các loại nguồn kết nối đến internet là các máy có đường truyền băng thông rộng, những máy như thế này có thể được sử dụng để tấn công từ chối dịch vụ phân tán (DDoS) hay lưu trữ file, phần mềm.
- Hệ thống có tính sẵn sang cao: kẻ tấn công luôn thích những hệ thống,máy có tính sẵn sang cao như : thời gian kết nối vào mạng lớn, tài nguyên dồi dào. Những hệ thống như thế sẽ luôn sẵn sang cho việc tấn công.
-Các hệ thống ít được giám sát và quan tâm: các hệ thống ít được để ý, quan tâm đến như không cập nhật bản vá, không có phần mềm bảo vệ … Kẻ xấu có thể tạo ra các công cụ tự động để rà, quét và tấn công các mục tiêu này, biến các mục tiêu này thành một nút của một botnet mà chủ nhân của nó không hề hay biết.
- Các hệ thống có vị trí địa lý xa: kẻ tấn công thích kiểm soát các hệ thống, máy tính ở những vùng địa lý xa với nơi kẻ tấn công ở nhằm tránh luật pháp sở tại và cũng để tiện cho việc che dấu dấu vết.
SƯU TẦM
QUÁ TRÌNH LÂY NHIỂM VÀ ĐIỀU KHIỂN BOT
Phần này sẽ trình bày cách thức kẻ tấn công sử dụng bot, tùy biến bot cho phù hợp với mục đích sử dụng; cách thức kiểm soát máy bạn nhân, quá trình lây nhiễm và điều khiển bot, cách tấn công sử dụng zombie …
Lập trình và thay đổi mã nguồn: quá trình này tùy thuộc vào khảnăng của kẻ tấn công. Bot do kẻ đó viết hay tận dụng lại của người khác và chỉnh sửa cho phù hợp với mục đích sử dụng. Các thông tin tùy chỉnh trên các bot hoặc các bot cập nhật là IRC server, cổng IRC TCP, tên của kênh, mật khẩu hoặc mã chứng thực.
Thêm nữa, tùy thuộc vào mục đích sử dụng, kẻ tấn công có thể thay đổi vị chí, tên file đặt trên máy tính đã bị lây nhiễm. Ở mức cao hơn nữa kẻ tấn công có thể sử dụng các kênh IRC động hay sử dụng nhiều kênh IRC. Để làm như vậy kẻ tấn công có thể sự dụng các dịch vụ tên miền động như dyndns.com hay no-ip.com để ánh xạ tên server của IRC với IP máy chủ của nó..
|
Hình 4. Quá trình lây nhiễm và điều khiển bot
Hình trên mô tả một bot được lây nhiễm như thế nào? Quá nhân bản qua một lượng lớn các máy khác để tạo nên mạng các bot hay mạng các zombie.
The attacker, attempts to infect the victim machines with bots through either exploiting some operating system/application vulnerability or trick the user into executing a malicious program leading to bots installation.
Kẻ tấn công sẽ có gắng kiểm soát và lây nhiễm phần mềm nguy hiểm lên máy nạn nhân thông qua các lỗ hổng của ứng dụng, hệ điều hành hay bằng một cách thức nào đó lừa người sử dụng chạy chương trình kich hoạt bot. Ví dụ : một số trang cung cấp các bản bẻ khóa phần mềm, các trang cho download miễn phí,… đi kèm với chúng là virus, phần mềm gián điệp,… Người sử dụng máy tính thiếu hiểu biết sẽ dễ dàng bị mắc lừa và kích hoạt bot.
(1) Cách cơ bản là kẻ tấn công làm lây nhiễm hàng hoạt và tự động một số lượng lớn các máy tính dựa trên mã khai thác lỗ hổng mà các máy này mắc phải. Sau đó kẻ tấn công có thể kiểm soát các máy này, cài phần mềm backdoor (của hậu) lên chúng và có thể dùng chúng là nguồn phát tán và lây nhiễm mã độc. Việc rà quét tự động và khai thác lỗ hổng có thể do phần mềm dạng sâu máy tính (worm) đảm nhiệm. Một cách khác là kẻ tấn công sử dụng các trang web, đặc biệt là các trang web lớn và uy tín mà chúng kiểm soát được, chúng sẽ chèn mã độc vào đó, người dùng thông thường đã có sự tin tưởng đối với những site này và dễ dàng chấp nhận việc download về máy tính khi có của sổ download hiện lên. Bản than chính phần mềm IRC cũng có thể đã bị chèn mã độc và và người dùng cài đặt cùng với IRC mà không hề hay biết.
Sauk khi cài đặt thành công trên máy nạn nhân, bot sẽ copy thành nhiều bản trên máy tính nạn nhân, cập nhật thông tin registry (trên windows).
Ở bước (2) bot sẽ thực hiện kết nối tới IRC server với nickname ngẫu nhiên, sử dụng khóa bí mật để kết nối vào kênh riêng mà kẻ tấn công đã thiết lập trước đó.
Nhiều khi kẻ tấn công có thể sử dụng các server IRC công cộng cho các hoạt động tấn công này, tất nhiên khi bị phát hiện thì người quản trị hệ thống này sẽ loại bỏ kênh đó và kẻ tấn công cũng sẽ mất đi đội quan zombie kết nối vào đó. Do đó để tranh việc này kẻ tấn công thường sử dụng các dịch vụ như dyndns.com, no -ip.com để ánh xạ động các bot đến nhiều server IRC (ở bước (3)).
Ở bước (4), bot đã hoàn tất việc cài đặt và kết nối, sẵn sàng chờ lệnh phát động từ người sở hưu nó (bước (5)).
Bước (6), kẻ tấn công truy nhập kênh kiểm soát duy trì và điều khiển các bot. Thông thường mật khẩu để điều khiển hệ thống bí mật này sẽ được mã hóa và có cơ chế bị botnet khó bị một kẻ khác chiếm đoạt mất quyền điều khiển.
Bước (7), kẻ tấn công điều khiển các zombie trực tiếp hoặc từ xa và phát lệnh tấn công mục tiêu. Tấn công phổ biến là tấn công từ chối dịch vụ (như minh họa trên), gửi thư rác, đánh cắp thông tin cá nhân,… Kẻ tấn công cố gắng tạo ra việc truy nhập mục tiêu từ các zombie càng giống thật càng tốt. Tấn công DDoS kiểu này, yêu cầu gửi đến mục tiêu xuất phát từ tất cả cá zombie với các IP khác nhau khiến việc xác định kẻ tấn công vô cùng khó khăn.
MỘT SỐ BOT CƠ BẢN
Phần này tôi liệt kê một số bot nguy hiểm chạy trên hệ điều hành windows.
Chi tiết có thể tham khảo them tại http://www.simovits.com/trojans/trojans_action.html .
GTbot
Các thông tin them về GTbot có thể tham khảo tại http://swatit.org/bots/gtbot.html :
- sử dụng các chương trình mIRC hợp lệ
- dễ dàng viết lại hay chỉnh sửa các nội dung điều khiển
Tên gọi khác: W32.IRCBot,
Cổng (Ports): tự cấu hình
Sử dụng: Truy nhập từ xa / IRC trojan
Registers: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion\ Run\
Hệ điều hành chịu tác động: Wi ndows 95, 98, ME, NT, 2000, XP.
|
Hình 5. Minh họa tấn công sử dụng mIRC
Hình 6. EvilBot v1.0
Nguồn : http://www.megasecurity.org/trojans/e/evilbot/Evilbot_a.html
Kích thước file nén: 15.904 bytes
Cổng (Ports): mặc định 6667 (có thể thay đổi)
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: Windows 95, 98, ME, NT, 2000 , XP.
Thông tin
http://securityresponse.symantec.com/avcenter/venc/data/pf/backdoor.evilbot.html
Cổng (Ports): mặc định 6667 (có thể thay đổi)
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: Windows 95, 98, ME, NT, 2000 , XP.
Thông tin
http://securityresponse.symantec.com/avcenter/venc/data/pf/backdoor.evilbot.html
SlackBot
Tên gọi khác : Backdoor.Slackbot, DDOS/Slack, Troj/Slack, Slack,
Cổng (Ports): 6667 (có thể thay đổi)
Files: Slackbot.zip - Slackbot1_0.zip - Zwbv.exe - Sbconfig.exe -
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\
Hệ điều hành chịu tác động: tất cả các phiên bản của hệ điều hành windows cùng với các phần mềm IRC.
Link: http://uitstudent.com/hack-security/8138-botnet.html
