Bot & Botnet (phần 3)
Link: http://www.vnsecurity.vn/index.php?option=com_content&view=article&id=50:bot-botnet-phan-3-&catid=40:botnet&Itemid=59- Quá trình lây nhiễm và điều khiển bot
Phần này sẽ trình bày cách thức kẻ tấn công sử dụng bot, tùy biến bot cho phù hợp với mục đích sử dụng; cách thức kiểm soát máy bạn nhân, quá trình lây nhiễm và điều khiển bot, cách tấn công sử dụng zombie …
Lập trình và thay đổi mã nguồn: quá trình này tùy thuộc vào khảnăng của kẻ tấn công. Bot do kẻ đó viết hay tận dụng lại của người khác và chỉnh sửa cho phù hợp với mục đích sử dụng. Các thông tin tùy chỉnh trên các bot hoặc các bot cập nhật là IRC server, cổng IRC TCP, tên của kênh, mật khẩu hoặc mã chứng thực.
Thêm nữa, tùy thuộc vào mục đích sử dụng, kẻ tấn công có thể thay đổi vị chí, tên file đặt trên máy tính đã bị lây nhiễm. Ở mức cao hơn nữa kẻ tấn công có thể sử dụng các kênh IRC động hay sử dụng nhiều kênh IRC. Để làm như vậy kẻ tấn công có thể sự dụng các dịch vụ tên miền động như dyndns.com hay no-ip.com để ánh xạ tên server của IRC với IP máy chủ của nó..
Hình 4. Quá trình lây nhiễm và điều khiển bot
Hình trên mô tả một bot được lây nhiễm như thế nào? Quá nhân bản qua một lượng lớn các máy khác để tạo nên mạng các bot hay mạng các zombie.
The attacker, attempts to infect the victim machines with bots through either exploiting some operating system/application vulnerability or trick the user into executing a malicious program leading to bots installation.
Kẻ tấn công sẽ có gắng kiểm soát và lây nhiễm phần mềm nguy hiểm lên máy nạn nhân thông qua các lỗ hổng của ứng dụng, hệ điều hành hay bằng một cách thức nào đó lừa người sử dụng chạy chương trình kich hoạt bot. Ví dụ : một số trang cung cấp các bản bẻ khóa phần mềm, các trang cho download miễn phí,… đi kèm với chúng là virus, phần mềm gián điệp,… Người sử dụng máy tính thiếu hiểu biết sẽ dễ dàng bị mắc lừa và kích hoạt bot.
(1) Cách cơ bản là kẻ tấn công làm lây nhiễm hàng hoạt và tự động một số lượng lớn các máy tính dựa trên mã khai thác lỗ hổng mà các máy này mắc phải. Sau đó kẻ tấn công có thể kiểm soát các máy này, cài phần mềm backdoor (của hậu) lên chúng và có thể dùng chúng là nguồn phát tán và lây nhiễm mã độc. Việc rà quét tự động và khai thác lỗ hổng có thể do phần mềm dạng sâu máy tính (worm) đảm nhiệm. Một cách khác là kẻ tấn công sử dụng các trang web, đặc biệt là các trang web lớn và uy tín mà chúng kiểm soát được, chúng sẽ chèn mã độc vào đó, người dùng thông thường đã có sự tin tưởng đối với những site này và dễ dàng chấp nhận việc download về máy tính khi có của sổ download hiện lên. Bản than chính phần mềm IRC cũng có thể đã bị chèn mã độc và và người dùng cài đặt cùng với IRC mà không hề hay biết.
Sauk khi cài đặt thành công trên máy nạn nhân, bot sẽ copy thành nhiều bản trên máy tính nạn nhân, cập nhật thông tin registry (trên windows).
Ở bước (2) bot sẽ thực hiện kết nối tới IRC server với nickname ngẫu nhiên, sử dụng khóa bí mật để kết nối vào kênh riêng mà kẻ tấn công đã thiết lập trước đó.
Nhiều khi kẻ tấn công có thể sử dụng các server IRC công cộng cho các hoạt động tấn công này, tất nhiên khi bị phát hiện thì người quản trị hệ thống này sẽ loại bỏ kênh đó và kẻ tấn công cũng sẽ mất đi đội quan zombie kết nối vào đó. Do đó để tranh việc này kẻ tấn công thường sử dụng các dịch vụ như dyndns.com, no -ip.com để ánh xạ động các bot đến nhiều server IRC (ở bước (3)).
Ở bước (4), bot đã hoàn tất việc cài đặt và kết nối, sẵn sàng chờ lệnh phát động từ người sở hưu nó (bước (5)).
Bước (6), kẻ tấn công truy nhập kênh kiểm soát duy trì và điều khiển các bot. Thông thường mật khẩu để điều khiển hệ thống bí mật này sẽ được mã hóa và có cơ chế bị botnet khó bị một kẻ khác chiếm đoạt mất quyền điều khiển.
Bước (7), kẻ tấn công điều khiển các zombie trực tiếp hoặc từ xa và phát lệnh tấn công mục tiêu. Tấn công phổ biến là tấn công từ chối dịch vụ (như minh họa trên), gửi thư rác, đánh cắp thông tin cá nhân,… Kẻ tấn công cố gắng tạo ra việc truy nhập mục tiêu từ các zombie càng giống thật càng tốt. Tấn công DDoS kiểu này, yêu cầu gửi đến mục tiêu xuất phát từ tất cả cá zombie với các IP khác nhau khiến việc xác định kẻ tấn công vô cùng khó khăn.
10. Một số bot cơ bản
Phần này tôi liệt kê một số bot nguy hiểm chạy trên hệ điều hành windows.
Chi tiết có thể tham khảo them tại http://www.simovits.com/trojans/trojans_action.html .
GTbot
Các thông tin them về GTbot có thể tham khảo tại http://swatit.org/bots/gtbot.html :
- sử dụng các chương trình mIRC hợp lệ
- dễ dàng viết lại hay chỉnh sửa các nội dung điều khiển
Tên gọi khác: W32.IRCBot,
Cổng (Ports): tự cấu hình
Sử dụng: Truy nhập từ xa / IRC trojan
Registers: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion\ Run\
Hệ điều hành chịu tác động: Wi ndows 95, 98, ME, NT, 2000, XP.
Hình 5. Minh họa tấn công sử dụng mIRC
Evilbot
Hình 6. EvilBot v1.0
Nguồn : http://www.megasecurity.org/trojans/e/evilbot/Evilbot_a.html
Kích thước file nén: 15.904 bytes
Cổng (Ports): mặc định 6667 (có thể thay đổi)
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: Windows 95, 98, ME, NT, 2000 , XP.
Thông tin them:
http://securityresponse.symantec.com/avcenter/venc/data/pf/backdoor.evilbot.html
SlackBot
Tên gọi khác : Backdoor.Slackbot, DDOS/Slack, Troj/Slack, Slack,
Cổng (Ports): 6667 (có thể thay đổi)
Files: Slackbot.zip - Slackbot1_0.zip - Zwbv.exe - Sbconfig.exe -
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: tất cả các phiên bản của hệ điều hành windows cùng với các phần mềm IRC.