Tổng quan về Botnet (Phần 1).

[tinhdonphuong]

Thuật ngữ cơ bản​

Bot​

Một “bot” là một loại phần mềm độc hại cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn máy tính bị ảnh hưởng. Máy tính đang bị nhiễn một “bot” thường được gọi là “zombie” hay là “máy bay không người lái”. Trên thực tế có hàng ngàn máy tinh trên Internet bị nhiễm một số loại “bot” mà thậm chí không nhận ra nó.

Bot là một chương trình client cho phép Botmaster ra lệnh và kiểm soát máy tinh bị nhiễm.

Kẻ tấn công có thể truy cập danh sách máy tính “zombie” và kích hoạt chúng giúp thực thi DoS(denial-of-service) các cuộc tấn công chống lại các trang web, hoặc gửi hàng loạt thư rác. Nếu một ai đó truy dấu cuộc tấn công ngược lại nguồn, họ sẽ tìm thấy một nạn nhân vô tình chứ không phải là kẻ tấn công thực sự.

Botnet​

Bots được sử dụng để tạo thành một mạng lưới các máy tính xâm nhập được gọi là Botnet.

Một botnet có thể được đinh nghĩa là mạng lưới các máy bị xâm nhập bởi phần mềm client nào đó.Một bot trong đó đang được điều khiển tập trung bởi một ứng dụng server như Botmaster.

Botmaster​

Máy chủ Bot kiểm soát và điều khiển một botnet được gọi là botmaster.

Botnet-herder​

Khởi nguồn của Botnet được gọi là Botnet-herder. Botnet-herder là người đã tạo ra mạng lưới các bot được sử dụng cho mục đích độc hại như tấn công một tử chức nào đó bằng cách sử dụng tấn công DDoS hoặc kiểm tiền bằng cách sử dụng thư rác.
Một Bot herder có thể điều khiển nhóm từ xa, thường thong qua một phương tiện như IRC(Internet-Relay-Chat) thường dùng cho mục đích bất chính. Mỗi một IRC”bot” là một chương trình riêng lẻ. Thường command-and-control(C&C) được thực hiện bởi một server IRC hoặc một kênh cụ thể trên mạng IRC. Server này được gọi là server C&C. Việc khai thác botnet cần có kinh nghiệp lập trình giao thức ra lệnh ngay từ khi bắt đầu. Các thành phần của các giao này bao gồm một chương trình server, chương trình clienr, và chương trình nhúng nó trên máy tính của nạn nhân(bot). Tất cả đều giao tiếp với nhau qua mạng bằng cách sử dụng một chương trình mã hóa duy nhất cho ẩn đi và bảo vệ để chống lại sự phát hiện hay xâm nhập vào mạng botnet.

Vậy Botnet là gì?​

Một botnet bao gồm ít nhất là một botmaster và một hoặc nhiều bot. Khả năng của các botnet hành động một cách phối hợp với tất cả hoặc một phần của botnet là nền tảng cho khái niệm botnet. Botnet được quản lý bởi một bot-herder.

Sự gia tăng của bang thong tiêu dùng đã tang lên rất nhiều sức mạnh của botnet để khởi động gợn sóng tấn công denial-of-service (DoS) lên server, lây nhiễm hàng triệu với hàng triệu máy tính với các phần mềm gián điệp và mã độc hại khác, ăn cắp dữ liệu nhận dạng, gửi số lượng lớn các thư rác và tham gia vào các click gian lận, hăm dọa và tống tiền.

Botnet là mối đe dọa an ninh hàng đầu internet ngày nay. Hacker đang thu hút bởi botnet do client (bot) thực hiện đặt hàng tại bất cứ nơi nào có kết nối. Nó rất dẽ dàng để ăn hoa hồng dịch vụ tấn công botnet và hacker là người có thể khai thác lỗ hổng mới một cách nhanh hơn. Hàng chục ngàn máy tính thường là một phần của một botnet duy nhất. Botnet rất khó phát hiện bởi bị chúng rất năng động, thích ứng nhanh để trốn tránh việc bảo vệ an ninh phổ biết hiện nay.

Các sản phẩm bảo mật và quản trị hệ thống thông tin phải ngăn chặn các mạng trở thành một phần của botnet. Cả mạng doanh nghiệp lẫn mạng tư nhân cần được ngắn chặn khỏi bị tấn công botnet để ngăn chặn việc lạm dụng nguồn tài nguyên cơ sở hạ tầng lớn.

Vòng đời của một Botnet​

Vòng đời hoặc thời gian của một botnet phụ thuộc vào cách tạo ra botnet. Nó có thể xác định trong giai đoạn như sau:

• Kẻ tấn công (bot-herder) quyết định các thông số bot ban đầu như hướng lây nhiễm, tần suất, C&C chi tiết.
• Đăng ký DDNS (Dynamic DNS). Để điều khiển botnet có thể thay đổi địa chỉ IP và tạo ra bộ điều khiển bot mới hoặc nội dung bất cứ khi nào cần thiết.
• Đăng ký một IP tĩnh.
• Bot-herder hoạt động hoặc tìm kiếm những bot mới.
• Bots lây lan.
• Tấn công nạn nhân bằng DDoS hoặc thư rác hoặc lừa đảo.v.v
• Bị mất các bot