Trao đổi với tôi

http://www.buidao.com

10/3/09

[Virus] Bot & Botnet (phần 2)

Bot & Botnet (phần 2)

Link:http://www.vnsecurity.vn/index.php?view=article&catid=40%3Abotnet&id=49%3Abot-botnet-phan-2-&tmpl=component&print=1&layout=default&page=&option=com_content&Itemid=59


6. Các thành phần cơ bản của IRC Bot

Attack

Bản chất bot là một chương trình nguy hiểm đã được lây nhiễm vào máy tính nạn nhân và bị kiểm soát bởi kẻ tấn công. Các bot được cấu hình để kết nối vào một kênh IRC bí mật và đợi lệnh tấn công .

- Bot: thường là một file thực thi, có khả năng thực hiện một tập lệnh đã được lập trình trước. Các lệnh này thường tác động trực tiếp đến máy tính bị lây nhiễm như ẩn các tác vụ của người quản trị. Bot sẽ tự copy đến một thư mục bí mật và thay đổi cấu hình trên máy lây nhiễm cho phép nó tự động kích hoạt khi máy khởi động.

Ví dụ trên nền Widows bot sẽ kích hoạt một phiên bản của nó lúc máy tính khởi động bằng cách thêm thông tin vào Registry : HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows \CurrentVersion\Run\

Thông thường bản nén của một bot có kích thước không quá 15kb.

Bot được lây nhiễm dưới dạng virus, sâu máy tính các loại malware khác hay được phát tán từ các site độc hại, site bị hacker kiểm soát. Với cách phát tán từ các website bot được tự động tải về máy do các lỗi của trình duyệt hay do người dùng không biết và click vào. Hình ảnh sau cho thấy mã cử một website đã bị chèn một file thực thin guy hiểm tên là Trojan.exe

Hình 02 . Mã một trang phát tán mã độc

Hình 3. Các thành phần IRC BOT

- Máy nạn nhân (Victim machine, hay còn gọi là zombie hay máy tính ma): là một máy tính có kết nối internet, đã bị cài một phần mềm nguy hiểm đóng vai trò là một bot của một botnet. Phần mềm nguy hiểm này có thể được cài theo nhiều cách, một trong các cách đó là cách lây nhiễm kể trên. Hay bị cài do các lỗi của phần mềm, hệ điều hành và gần đây một cách rất phổ biến là lây qua USB.

- Kẻ tấn công (Attacker): là người đã tạo ra và phát tán bot, người điều khiển và ra lệnh cho các bot kết nối tới server,kênh IRC định trước, là người ra lệnh tấn công đối với các bot.

- Kênh điều khiển (Control channel): là một kênh IRC bí mật được kẻ tấn công tạo ra nhằm kết nối các máy tính đã kiểm soát thông qua các bot khi các máy tính này kết nối vào mạng.Thông tin về kênh này đã được định sẵn trong các bot hay các bot có cơ chế để tự động cập nhật thông tin về kênh này.

-Máy chủ IRC (IRC Server): là máy chủ cung cấp dịch vụ IRC. Một số nguồn cung cấp dịch vụ IRC phổ biến như DALNET ... Kẻ tấn công cũng có thể dựng một máy chủ riêng.

-Botnet : tất cả các bot khi kết nối tới kênh điều khiển tạo thành mộ mạng lớn các nút gọi là botnet. Botnet này sẽ ở trong trạng thái sẵn sằng chờ lệnh tấn công của kẻ tạo ra nó.

7. Các mối nguy hiểm bot và botnet có thể tạo ra

Các hành động sau có thể được thực hiện bởi kẻ tấn công khi sử dụng bot và botbet:

-Tấn công từ chối dịch vụ (DoS attack): đây chính là lý do lớn nhất khiến kẻ xấu sử dụng IRC bot. Kẻ tấn công có thể sử dụng sức mạnh của đội quân zombie bằng cách điều khiển và phát lệnh tấn công tới mục tiêu. Có thể hạ gục mục tiêu bằng các dòng dữ liệu UDP, ICMP lớn hay gửi các yêu cầu đồng bộ làm lụt TCP gây ghẽn đường truyền.

- Tiếp tục lây nhiễm cục bộ : với bot đã có kẻ tấn công có thể chiếm toàn bộ quyền kiểm soát máy bị lây nhiễm. Kẻ tấn công có thể tải về và cài các chương trình gián điệp (spy ware), trojan, key log…để theo dõi máy, thu thập các thông tin nhạy cảm của nạn nhân như thông tin cá nhân, tài khoản ngân hàng, thẻ tín dụng…

- Tận dụng băng thông của nạn nhân:: một mục đích sử dụng thú vị khác là tận dụng băng thông và tài nguyên rỗi của nạn nhân. Đặc biệt là các máy có băng thông rộng. Thậm chí giữa các nhóm tấn công cũng trao đổi với nhau tài nguyên này.

- Của hậu (Backdoor): với kiểu tấn công này, botnet còn có khả năng ẩn dấu và mở các kêt nối bí mật ra ngoài, để kẻ tấn công có thể dễ dàng xâm nhập vào lần tiếp theo.

- Chứa dữ liệu bất hợp pháp :với xu hướng này, kẻ tấn công có thể tân dụng các bot làm các mạng chia sẻ file, tận dụng để lưu trữ file, phần mềm bất hợp pháp, các đoạn video riêng,…

Thêm nữa, với việc giám sá các bot, kẻ tấn công có thể một cách bí mật theo dõi các ISP.

- Gửi thư rác (spam mail) : đây thực sự là một thách thức lớn đối với các chuyên gia bảo mật. Theo thông tin mới nhất (10/2008) các mạng botnet trung bình một ngày gửi 60 tỉ thư rác chiếm 20% tổng số thư rác/ngày.

8. Mục tiêu và nạn nhân chính của bot & botnet

Tất cả các nguồn kết nối tới internet đều có thể là mục tiêu tấn công của kẻ xấu. Các hệ thống sơ hở có thể bị lây nhiễm bot là các hệ thống ít giám sát, băng thông và tài nguyên lớn, các máy tính cá nhân sử dụng ở nhà, các máy tính cá nhân, các máy chủ ở các trường đại học.

- Hệ thống có băng thông lớn: một trong các loại nguồn kết nối đến internet là các máy có đường truyền băng thông rộng, những máy như thế này có thể được sử dụng để tấn công từ chối dịch vụ phân tán (DDoS) hay lưu trữ file, phần mềm.

- Hệ thống có tính sẵn sang cao: kẻ tấn công luôn thích những hệ thống,máy có tính sẵn sang cao như : thời gian kết nối vào mạng lớn, tài nguyên dồi dào. Những hệ thống như thế sẽ luôn sẵn sang cho việc tấn công.

- Các hệ thống ít được giám sát và quan tâm: các hệ thống ít được để ý, quan tâm đến như không cập nhật bản vá, không có phần mềm bảo vệ … Kẻ xấu có thể tạo ra các công cụ tự động để rà, quét và tấn công các mục tiêu này, biến các mục tiêu này thành một nút của một botnet mà chủ nhân của nó không hề hay biết.

- Các hệ thống có vị trí địa lý xa: kẻ tấn công thích kiểm soát các hệ thống, máy tính ở những vùng địa lý xa với nơi kẻ tấn công ở nhằm tránh luật pháp sở tại và cũng để tiện cho việc che dấu dấu vết.

(Còn nữa)