TỔNG QUAN VỀ BOTNET VÀ PHÁT HIỆN BOTNET 10
1 1 1 Khái quát về botnet và phương thức hoạt động
1 1 1 1 Giới thiệu về bot, botnet
Bot là phần mềm độc hại cho phép kẻ tấn công kiểm soát máy tính hoặc thiết bị tính toán bị nhiễm, thường được gọi là zombie Hàng triệu máy tính kết nối Internet có thể bị nhiễm bot mà người dùng không hay biết Kẻ tấn công có thể sử dụng các zombie này để thực hiện các cuộc tấn công từ chối dịch vụ hoặc gửi thư rác Khi truy vết nguồn gốc các cuộc tấn công, thường thấy rằng các zombie thực sự là nạn nhân, không phải kẻ tấn công Các bot được kiểm soát bởi một botmaster thông qua một hoặc nhiều máy tính, tạo thành một mạng lưới gọi là botnet, và botmaster điều khiển chúng thông qua hệ thống máy chủ chỉ huy và kiểm soát.
Control, hay còn gọi là C&C hoặc CnC, là kênh giao tiếp giữa các bot và máy chủ CnC trong một botnet Kênh này có thể sử dụng các giao thức như IRC, HTTP hoặc các phương thức truyền thông khác.
Hình 1 1: Mô hình botmaster kiểm soát các bot thông qua các máy chủ CnC
Botnet là một mối đe dọa an ninh nghiêm trọng đối với mạng Internet toàn cầu, với khả năng lây nhiễm vào bất kỳ hệ thống nào có kết nối Internet So với các loại phần mềm độc hại khác, botnet có ưu thế vượt trội nhờ khả năng tương tác và phối hợp hành động giữa các bot Sự phát triển của Internet và băng thông đã làm tăng sức mạnh của botnet, với khả năng có hàng trăm ngàn thiết bị bị nhiễm Chúng rất khó bị phát hiện do khả năng thích ứng nhanh với các hệ thống an ninh hiện tại Botnet thường liên quan đến các hành vi độc hại như gửi thư rác, tấn công từ chối dịch vụ, lây lan phần mềm gián điệp, và thực hiện các hành vi gian lận, hăm dọa, tống tiền Do đó, nghiên cứu về botnet và các phương pháp phát hiện, ngăn chặn chúng đang thu hút sự quan tâm lớn từ cộng đồng mạng.
1 1 1 2 Phương thức hoạt động, vòng đời
Vòng đời của một mạng botnet bao gồm các bước chính: Khởi tạo, Đăng ký, Lây nhiễm sơ bộ, Xây dựng mạng bot, Tập hợp, Khởi động tấn công, và Nâng cấp và Bảo trì Bước "Khởi tạo" là giai đoạn thiết lập các thông số của bot để bắt đầu truyền thông Sau đó, botmaster thực hiện "Đăng ký" tên miền và địa chỉ IP tĩnh cho các máy chủ CnC thông qua hệ thống tên miền động (DDNS) Trong giai đoạn "Lây nhiễm sơ bộ", mã bot được lây lan qua nhiều hình thức như tải nội dung không mong muốn hoặc mở tệp đính kèm độc hại từ email Tiếp theo, trong bước "Xây dựng mạng bot", các bot tiếp tục lây nhiễm và cài đặt mã độc sang các hệ thống mới, tìm kiếm nạn nhân và tải mã độc từ các máy chủ CnC Quá trình tải mã độc thường diễn ra qua các giao thức như HTTP, FTP, hoặc P2P.
Hình 1 2: Vòng đời của botnet
Trong giai đoạn "Tập hợp", các bot thiết lập kết nối với máy chủ CnC, một bước quan trọng cho phép chúng nhận lệnh từ botmaster và duy trì trạng thái kết nối Giai đoạn này diễn ra bất cứ khi nào bot khởi động lại, tạo thành một quy trình chu kỳ trong vòng đời của botnet Khi kết nối thành công, giai đoạn "Khởi động tấn công" bắt đầu, nơi các bot thực hiện các hoạt động độc hại như tấn công DDoS, trộm cắp tài nguyên, lây lan mã độc và đánh cắp dữ liệu cá nhân Giai đoạn cuối cùng, "Nâng cấp và bảo trì", là cần thiết để duy trì mối liên hệ giữa botmaster và bot, đồng thời cập nhật mã nhị phân để tránh bị phát hiện và cải thiện tính năng Đây là giai đoạn dễ bị tổn thương nhất của botnet, vì có thể bị phát hiện thông qua việc quan sát và phân tích hành vi mạng.
Botnet có thể được phân loại dựa trên hai tiêu chí chính: kiến trúc mạng và giao thức truyền thông Chúng thường được tổ chức theo các mô hình mạng khác nhau, với hệ thống máy chủ CnC đóng vai trò trung gian giữa botmaster và các bot Các giao thức truyền thông là yếu tố quan trọng, giúp thiết lập sự giao tiếp hiệu quả giữa các máy chủ CnC và bot trong botnet.
1 1 2 1 Phân loại botnet theo kiến trúc mạng
Sức mạnh của botnet đến từ khả năng hình thành và điều khiển một mạng lưới linh hoạt các máy tính kết nối Internet Để giải quyết vấn đề truyền thông giữa các thực thể trong mạng botnet, nhiều phương pháp khác nhau đã được áp dụng Hình 1.3 minh họa các kiến trúc mạng botnet, bao gồm kiến trúc tập trung, kiến trúc ngang hàng và kiến trúc lai.
Hình 1 3: Phân loại botnet theo kiến trúc mạng
Kiến trúc tập trung trong botnet sử dụng mô hình khách-chủ (client-server) truyền thống, với giao thức IRC là một ví dụ điển hình Trong kiến trúc này, các bot thiết lập kênh truyền thông với một hoặc nhiều máy chủ CnC, có nhiệm vụ gửi lệnh và mã cập nhật đến các bot Các giao thức IRC và HTTP thường được sử dụng làm phương thức giao tiếp chính trong hệ thống tập trung này.
Hình 1 4: Kiến trúc CnC tập trung
Kiến trúc tập trung có nhiều ưu điểm như triển khai dễ dàng mà không cần phần cứng chuyên dụng, phản ứng nhanh nhờ vào việc các máy chủ CnC trực tiếp điều phối các bot mà không bị can thiệp, khả năng tiếp cận tốt giữa botmaster và các bot, cập nhật thông tin kịp thời từ botmaster, và khả năng mở rộng hiệu quả Tuy nhiên, nhược điểm lớn nhất của kiến trúc này là máy chủ CnC được coi là điểm yếu duy nhất trong hệ thống botnet.
[62] và dễ dàng bị vô hiệu hóa
Kiến trúc ngang hàng hay phi tập trung mang lại sự linh hoạt cao cho botnet, cho phép hỗ trợ nhiều bot và tối ưu hóa hiệu quả hoạt động Tuy nhiên, việc đối phó với các botnet này gặp nhiều khó khăn do một số lý do: (i) Việc vô hiệu hóa botnet phụ thuộc vào khả năng phát hiện từng nhóm bot hoạt động riêng lẻ, làm cho việc thống kê tổng số bot trở nên phức tạp; (ii) Botnet không có mạng lưới máy chủ CnC tập trung, dẫn đến khó khăn trong việc xác định phạm vi ảnh hưởng; và (iii) Khó khăn trong việc tạm dừng botnet do sự liên kết lỏng lẻo giữa các bot Mặc dù kiến trúc ngang hàng khó bị vô hiệu hóa và có thể duy trì hoạt động mà không cần máy chủ CnC tập trung, nhưng các mạng botnet này lại chậm trong việc hội tụ và phản ứng, đồng thời khó quản lý và mở rộng.
Hình 1 5: Kiến trúc botnet ngang hàng
Kiến trúc lai trong botnet kết hợp các đặc điểm của kiến trúc tập trung và kiến trúc ngang hàng Trong mô hình này, có hai loại bot: bot phục vụ (servant bot) và bot khách (client bot) Bot phục vụ hoạt động như cả máy khách và máy chủ, sử dụng địa chỉ IP tĩnh, trong khi bot khách chỉ hoạt động như máy khách với địa chỉ IP động Bot phục vụ gửi thông tin địa chỉ IP của mình đến danh sách bot và chờ kết nối từ bot khách, trong khi bot khách nhận địa chỉ IP từ bot phục vụ để kết nối và nhận lệnh cùng mã cập nhật Để bảo mật giao tiếp giữa bot phục vụ và bot khách, botnet với kiến trúc lai sử dụng mật mã khóa đối xứng.
Hình 1 6: Kiến trúc botnet lai
1 1 2 2 Phân loại botnet theo giao thức truyền thông
Các botnet sử dụng nhiều giao thức truyền thông khác nhau, như IRC, HTTP, DNS và P2P, điều này khiến việc nghiên cứu, phát hiện và phòng ngừa botnet trở nên khó khăn hơn Botmaster thường lựa chọn các giao thức phổ biến, làm tăng độ phức tạp trong việc xử lý các mối đe dọa này Ngoài ra, một số giao thức ít phổ biến hơn như IM hoặc Skype cũng đã được sử dụng trong truyền thông của botnet.
IRC (Internet Relay Chat) là một trong những giao thức truyền thông đầu tiên, hoạt động theo mô hình client-server, cho phép các bot đăng ký với máy chủ CnC do botmaster kiểm soát Sự đơn giản, linh hoạt và tính khả dụng của phần mềm máy chủ và máy khách IRC mã nguồn mở hoặc miễn phí đã thu hút nhiều kẻ tấn công Tuy nhiên, khi các botnet IRC trở nên nổi tiếng hơn, botmaster đã bắt đầu chuyển sang các giao thức khác do việc giao tiếp dựa trên kênh của IRC dễ bị chặn.
Giao thức truyền siêu văn bản (HTTP) là một phương thức phổ biến cho các botnet, cho phép các máy khách (bot) giao tiếp với máy chủ do botmaster kiểm soát để nhận và thực hiện lệnh Các lệnh này có thể được ngụy trang trong lưu lượng HTTP thông thường để tránh sự nghi ngờ Gần đây, đã phát hiện các phương pháp cải tiến sử dụng HTTP, trong đó botmaster công bố lệnh trên các trang web công khai, cho phép người dùng tải lên các dạng nội dung Khi các bot truy cập những trang này, chúng sẽ kiểm tra và tải các lệnh được công bố gần đây.
Hệ thống phân giải tên miền (DNS) có thể được lợi dụng để truyền lệnh từ botmaster đến các bot trong botnet Botmaster thực hiện điều này bằng cách ẩn các lệnh trong lưu lượng DNS thông thường, khiến các máy chủ DNS theo quy chuẩn không phát hiện ra bất kỳ điều gì bất thường Trong khi đó, botmaster kiểm soát một máy chủ DNS độc hại có khả năng trích xuất các thông điệp bí mật được nhúng trong lưu lượng DNS.