Các cấu trúc của botnets

[DDos]

​

Thông thường, một cuộc tấn công dựa trên botnet bao gồm một kẻ tấn công, một nạn nhân, và một tập hợp các bots (hoặc zombie). Nạn nhân là các máy chủ được nhắm mục tiêu cho các cuộc tấn công DDoS. Các bots được thâm nhập vàohệ thống máy tính được sử dụng bởi những kẻ tấn công để khởi động một cuộc tấn công DDoS. Do đó bước đầu tiên là những kẻ tấn công phát tán một worm hoặc các hình thức khác của phần mềm độc hại để phá vỡ một tập hợp các hệ thống máy tính không được bảo vệ. Tập hợp các chương trình được gọi chung là một botnet. Những kẻ tấn công cũng sử dụng một hệ thống chỉ huy và kiểm soát riêng để quản lý botnet từ xa. Bằng cách sử dụng một botnet lớn, kẻ tấn công có thể khởi động một cuộc tấn công DDoS mạnh mẽ và hiệu quả và làm cho các cuộc tấn công khó khăn hơn cho việc điều tra và ngăn ngừa.


Có bốn loại kiến ​​trúc của botnet: mô hình agent-handler, kiến ​​trúc IRC-based kiến ​​trúc peer-to-peer, và các kiến ​​trúc lai tiên tiến.

1. Mô hình Agent-Handler
Các bots (ví dụ như các hệ thống máy tính bị nhiễm) được gọi là các agents. Kẻ tấn công cũng sử dụng một lớp riêng biệt của hệ thống máy tính - được gọi là handlers - cũng như hệ thống chỉ huy và kiểm soát để quản lý các agent (ví dụ như bots).

​

Kẻ tấn công giao tiếp với các handlers để thiết lập các lệnh và kiểm soát hệ thống. Thông thường một handlers là một máy chủ mạnh mẽ với rất nhiều tài nguyên (băng thông, bộ nhớ, và sức mạnh xử lý). Ngoài việc nhận lệnh từ kẻ tấn công, handler có trách nhiệm theo dõi các agents và gửi lệnh bao gồm cả cấu hình và cập nhật tới các agents. Chủ sở hữu của hệ thống máy tính bị xâm nhập thường không có biết rằng các phần mềm độc hại đã được cài đặt trong máy tính của họ hoặc họ là một phần của botnet.. Những kẻ tấn công sử dụng các agents như một bàn đạp để khởi động các cuộc tấn công chống lại các mục tiêu.

Kiến trúc agent-handler có một hạn chế lớn là kẻ tấn công phải có khả năng giao tiếp với các handlers và handlers phải có khả năng liên lạc với các agents. Nếu những kẻ tấn công bị mất liên lạc, kẻ tấn công mất kiểm soát của các agents và do đó không thể dàn xếp các agents để tấn công một mục tiêu mới.

2. Kiến trúc IRC-Based
Kiến trúc botnet Internet Relay Chat (IRC) giải quyết các giới hạn trong kiến ​​trúc agent-handler. Botnet IRC-Based thay thế handlers với các public IRC server.

​

Khi các agents đã được triển khai, mỗi agent kết nối đến một máy chủ IRC và chờ lệnh. Kẻ tấn công ra lệnh cho các agents thông qua các kênh IRC sử dụng giao thức IRC. Nó cho phép mỗi agent để khởi đầu một hoặc cả hai hình thức tấn công. Nó cũng cho biết thêm một lớp phức tạp để che giấu các dấu vết của những kẻ tấn công. Thông tin liên lạc giữa những kẻ tấn công và các máy chủ IRC có thể được mã hóa. Hai khác biệt chính giữa các kiến ​​trúc dựa trên IRC và các agent-handler là cấu trúc điều khiển và thông tin liên lạc. Trong kiến ​​trúc dựa trên IRC, mỗi agent kết nối với một máy chủ IRC trong khi ở agent-handler, mỗi agent có thể kết nối với nhiều hơn một handler.

3. Kiến trúc Peer-to-Peer
Không giống như các mô hình agent-handler và kiến ​​trúc IRC-based, các Botnet dựa trên cấu trúc Peer-to-Peer không có handler riêng biệt. Lệnh được gửi đến các agent thông qua giao thức P2P. Trong trường hợp này mỗi agent / bot không chỉ chịu trách nhiệm cho việc chuyển tiếp lệnh tấn công mà còn là một phần của cơ cấu chỉ huy và kiểm soát để quản lý các agent khác. Như vậy, kiến ​​trúc botnet dựa trên P2P rất khó để đánh sập vì sự phân bố tự nhiên rất cao của nó.

​

Ngoài việc phân phối lệnh, các kênh truyền thông P2P được sử dụng để phân phối các phiên bản mới của phần mềm bot và để tải về công cụ tấn công mới và một danh sách các mục tiêu mới. Để thực hiện các cuộc tấn công hoặc các thông tin liên lạc là khó khăn hơn nhiều để phát hiện và phân tích, thông tin liên lạc có thể được mã hóa.

4. Kiến trúc lai Peer-to-Peer cao cấp
Kiến trúc botnet lai của Peer-to-Peer hoạt động như cả máy khách và máy chủ trong một hệ thống chia sẻ file P2P truyền thống. Một kẻ tấn công có thể tiêm lệnh của mình vào bất kỳ máy chủ của các botnet này. Mỗi máy chủ định kỳ kết nối với các bot để cập nhật thông tin mới. Miễn là một lệnh mới xuất hiện, máy chủ sẽ chuyển lệnh này cho tất cả các bot gần đó ngay lập tức. Kiến trúc như vậy kết hợp các tính năng sau:
(1) nó đòi hỏi không có thủ tục bootstrap
(2) một bot chỉ có một danh sách hạn chế của các bot xung quanh, do đó, ngay cả khi bot này được phát hiện, những người phân tích tấn công chỉ có thể có được danh sách hạn chế của bots, không phải là danh sách đầy đủ của các bot.
(3) Kẻ tấn công có thể dễ dàng quản lý toàn bộ mạng botnet bằng cách phát hành một lệnh duy nhất.

Nguồn: http://hakingandsecurity.blogspot.com/2013/10/botnet-architecture.html​

 

Re: Các cấu trúc của botnets

Tháng 7 vừa rồi có vụ tấn công DDOS báo điện tử, được đề cập đến ở 2 bài viết trên diễn đàn. Tác giả cho hỏi, kiến trúc mà kẻ tấn công sử dụng ở đợt tấn công này là Agent-Handler phải k?

 

Re: Các cấu trúc của botnets

Tháng 7 vừa rồi có vụ tấn công DDOS báo điện tử, được đề cập đến ở 2 bài viết trên diễn đàn. Tác giả cho hỏi, kiến trúc mà kẻ tấn công sử dụng ở đợt tấn công này là Agent-Handler phải k?

Cái này mình cũng không thể biết được. Vì muốn biết được cấu trúc của botnet là thuộc kiến thúc nào thì phải kiểm tra tường tận, và phải có chuyên môn cao thì mới xác định được.
Nhưng dựa vào các đặc điểm mình đã đọc ở hai bài viết trước đó, thì mình nghĩ rằng đợt tấn công DDOS trên các báo điện tử sử dụng kiến trúc IRC. Vì mình thấy, các báo này bị tán công do cùng một đối tượng và thời gian khá tương đồng, và lệnh giữa agent và kẻ tấn công đều được mã hóa.

 

Re: Các cấu trúc của botnets

Tháng 7 vừa rồi có vụ tấn công DDOS báo điện tử, được đề cập đến ở 2 bài viết trên diễn đàn. Tác giả cho hỏi, kiến trúc mà kẻ tấn công sử dụng ở đợt tấn công này là Agent-Handler phải k?

Các kiểu như DDOS đã nêu phải thuộc trình độ code rất cao.
Mình nghĩ botnet nó sài client server bình thuờng thôi bạn.
Ngay cả backdoor hiện tại mình build chỉ sài Agent handler nhằm che mắt server chính thôi.