Bot & Botnet (phần 4)
Link:http://www.vnsecurity.vn/index.php?option=com_content&view=article&id=51:bot-botnet-phan-4-&catid=40:botnet&Itemid=5911. Phòng chống bot và botnet
Phòng thử chống lại việc lây nhiễm và tấn công của bot chia làm 3 nội dung chính:
- Phòng ngừa: người sử dụng, những người quản trị hệ thống nên hiểu cơ chế lây nhiễm và phát tán các bot để có các phòng ngừa. Sử dụng các chương trình phát hiện, tiêu diệt virus, mã độc,…sử dụng hệ thống tường lửa, các hệ thống phát hiện xâm nhập,...
- Phát hiện: có thể phát hiện việc xuất hiện của bot bằng cách giám sát các tiến trình, giám sát băng thông và gói tin trong mạng. Xem các cảnh báo, log file từ các hệ thống cảnh báo, tường lửa,…
- Xử lý: xử lý khi phát hiện có bot, xử lý khi bị botnet tấn công
Đối với người dùng thông thường (Dạng Home user)
Phòng ngừa :
- Tuân thủ các chính sách bảo mật
- Cập nhật các bản vá các phần mềm trên máy
- Tham khảo thông tin cập nhật tại cert.org phần “Home Network Security” http://www.cert.org/tech_tips/home_networks.html đây là những nội dung rất căn bản và hữu ích..
- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng [theo CERT, 2001]
- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu..
- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.
- Sử dụng tường lửa và thiết lập các chế độ hợp lý.
Phát hiện :
- Cổng mặc định của IRC là 6667, cổng này có thể bị thay đổi. Dùng lệnh netstat – an trên cả Windows và Linux để kiểm tra các cổng ra vào mà máy tính đang sử dụng.
Ví dụ :
C:/windows> netstat – an
TCP your.mac hine.ip remote.irc.server.ip :6667 ESTABLISHED
Như trên thì có nghĩa là có kết nối IRC đến remote.irc.server.ip qua cổng 6667.
Các server IRC có thể lắng nghe trên các cổng 6000- 7000A169 4E
Đây cũng là cách để phát hiện các phần mềm gián điệp khác.
- Giám sát băng thông, gói tin trên mạng, các cổng kết nối. Có thể có một vài dấu hiệu như mạng chậm, tỉ lệ gói tin gửi đi và nhận được khác thường,…
- Phần mềm chống virus và phần mềm gián điệp có thể phát hiện ra chúng.
- Trong một số trường hợp có thể dùng các chương trình quét trực tuyến của các hang bảo mật lớn. [theo SYMANTEC]
Xử lý:
- Ngắt kết nối mạng của máy bị nhiễm mã độc, để tránh nguy cơ ảnh hưởng đến các máy cùng mạng.
- Cập nhật phần mềm diệt virus, kiểm tra xem nhà cung cấp hệ điều hành, phần mềm có bản vá hay không ?
- Nếu các chương trình diệt virus không phát hiện ra có thể dùng các công cụ hiển thị các tiến trình của máy tính để phát hiện và diệt bằng tay.
- Nếu trên máy có chứa các thông tin nhay cảm như tài khoản ngân hàng thì cần báo ngay cho nơi quản lý thẻ để tạm ngưng sử dụng hoặc nếu là mật khẩu thì cần đổi lại ngay.
- Nếu không xử lý được thì cần nhờ người có kỹ thuật xử lý.
Đối với quản trị hệ thống
Phòng chống:
- Áp dụng các chính sách bảo mật thông dụng.
- Theo hướng dẫn của nhà cung cấp hệ điều hành, phần mềm ứng dụng nâng cấp và cập nhật bản vá.
- Theo dõi thông tin về các lỗ hổng bảo mật trên các trang bảo mật uy tín, nhận thông tin bảo mật từ các mailing list bugtraq.
- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng.
- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu.
- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.
- Sử dụng tường lửa và thiết lập các chế độ hợp lý.
- Cài đặt các phần mềm để giám sát hệ thống, phân tích log file hoạt động và truy nhập của hệ thống.
Phát hiện
- Sử dụng các kỹ thật như đối với người dùng thông thường.
- Thường xuyên giám sát log của hệ thống sử dụng, log của hệ thống giám sát, có cơ chế cảnh báo tự động cho người quản trị như gửi mail,…
- Giám sát mạng, dùng tường lửa chặn các cổng không cần thiết. một tiện ích nhỏ cho phép xem các cổng đóng mở ngoài netstat là fport của McAfee:
http://www.foundstone.com/knowledge/proddesc/fport.html
- Phân tích log của phần mềm bắt gói tin có thể phát hiện ra server và kênh bí mật của kẻ tấn công sử dụng, biết được mật khẩu kết nối IRC mã hóa hay không mã hóa.
- Tiến hành quét toàn bộ các máy tình nghi có chứa mã độc, rà soát, tìm và dỡ bỏ backdoor, rootkit.
- Tham khảo them tài liệu của Dave Dittrich, University of Washington
o “Dissecting Distributed Malware Networks “
url: http://security.isu.edu/ppt/pdfppt/Core02.pdf
o Security Incidents: World-wide distributed DoS and "warez" bot networks (fwd)::Security focus mailing list Date: May 03 2002
url: http://lists.insecure.org/lists/incidents/2002/May/0026.html
Xử lý :
- Sử dụng các kỹ thật như đối với người dùng thông thường.
- Cô lập các máy bị nhiễm sang một phân mạng riêng biệt.
- Lưu trữ và giữ an toàn dữ liệu, logs file của Firewalls, Máy chủ Mail , IDS, DHCP, proxy...
- Xử dụng phần mền bắt gói tin để phân tichs cách thức hoạt động của bot, phát hiện các máy bị lây nhiễm, nguồn gốc của nơi phát lệnh,…
- Liên hệ các trung tâm xử lý sự cố máy tính, các trung tâm an ninh mạng để cùng phối hợp giải quyết.
12. Xu hướng phát triển của Bot và Botnet
Sử dụng mạng IRC để điều khiển zombie vẫn là một xu hướng lớn trong việc phát hiển các công cụ DDoS của kẻ xấu. Trong tài liệu [CERT, DOS_TRENDS] “Trends in Denial oFf8BS5er0v6icEe4 Att6a9ck4ETechnology” George M. Weaver & Kevin J. Houle đến từ CERT® Coordination Center trình bày rất rõ rang việc xây dụng và điều khiển các botnet sử dụng IRC. Tôi chỉ đưa lại một số điểm chính:.
Khả năng tồn tại – Đây là một vấn đề lớn được các kẻ tấn công rât quan tâm vì chi chí và công sức bỏ ra để xây dụng một botnet lớn là rất lớn. Giao thức Internet Relay Chat là một giao thức phổ biến và được sử dụng rộng rãi. Các mạng IRC công cộng lớn cùng với các dịch vụ tên miền động dyndns.com & no -ip.com được tận dụng làm cho các kênh sử dụng vào mục địch xấu khó bị phát hiện và dễ tùy biến đối với kẻ tấn công. Botnet dựa trên IRC khó bị phát hiện, giám sát và tiêu diệt. Do đó DDoS bằng IRC botbet nguy hiểm hơn DoS truyền thống rất nhiều.
Sự lây nhiễm và lan truyền— số lượng botnet ngày tăng, đồng thời với nó số nút (zombie) của botnet cũng tăng lên. Các botnet ngày càng tinh vi hơn. Các công cụ phát tán cũng tinh vi và nguy hiểm hơn. Đặc biệt là các công cu được phát triển cho phép tự động phát hiện lỗ hổng và lây nhiễm mã độc.
Mục đích sử dụng -- mục đích chính vẫn là DDoS, Spam mail, lấy chộm thông tin cá nhân, làm hệ thống chia sẻ file, phần mềm,…
(còn nữa)
