NGHIÊN CỨU, XÂY DỰNG VÀ PHÒNG CHỐNG BOTNET

Đồng thời, khóa luận đưa ra các cơ chế điều khiểnBotnet, các giải pháp phát hiện IRC Botnet được sử dụng từ trước đến nay, khuyếnnghị cho người dùng và nhà quản trị hệ thống để ngăn chặn

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đinh Thị Thu Dung

NGHIÊN CỨU, XÂY DỰNG VÀ PHÒNG CHỐNG

BOTNET

KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công nghệ thông tin

HÀ NỘI - 2012

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đinh Thị Thu Dung

NGHIÊN CỨU, XÂY DỰNG VÀ PHÒNG CHỐNG

VIETNAM NATIONAL UNIVERSITY, HANOI UNIVERSITY OF ENGINEERING AND TECHNOLOGY

Dinh Thi Thu Dung

ANALYSIS AND DEFENCE BOTNET ATTACKING

Major: Information Technology

Supervisor: Ho Dac Phuong

HA NOI - 2012

LỜI CẢM ƠN

Lời đầu tiên tôi xin gửi lời cám ơn và lòng biết ơn sâu sắc đến thầy giáo ThS HồĐắc Phương, người đã giúp tôi chọn đề tài, định hình hướng nghiên cứu, tận tìnhhướng dẫn và chỉ bảo tôi trong suốt quá trình thực hiện khóa luận tốt nghiệp

Tôi xin gửi lời cám ơn chân thành đến các thầy, cô giáo trong trường Đại họcCông nghệ - Đại học Quốc gia Hà Nội Các thầy, cô giáo đã dạy bảo và truyền đạt chotôi rất nhiều kiến thức, giúp tôi có được một nền tảng kiến thức vững chắc sau bốnnăm học tập tại trường Đại học Công nghệ Tôi xin gửi lời cám ơn chân thành tới cácbạn trong lớp K53CC đã ủng hộ khuyến khích tôi trong suốt quá trình học tập tạitrường

Tôi xin gửi đến lời cám ơn chân thành đến anh Hà Hải Thanh, anh Hà Văn Tiến

và các anh, chị bên “Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT” đãhướng dẫn nhiệt tình và tạo điều kiện môi trường tốt nhất giúp tôi hoàn thành tốt khóaluận này

Cuối cùng, tôi muốn gửi lời cám ơn sâu sắc nhất đến gia đình và bạn bè, đặc biệt

là Bố Mẹ và em trai – những người thân yêu luôn kịp thời động viên và giúp đỡ tôivượt qua những khó khăn trong học tập cũng như trong cuộc sống

Hà Nội, ngày 18 tháng 05 năm 2012

Sinh viên

Đinh Thị Thu Dung

NGHIÊN CỨU, XÂY DỰNG VÀ PHÒNG CHỐNG BOTNET

Đinh Thị Thu Dung

Khóa QH-2008-I/CQ , ngành Công nghệ Thông Tin

Tóm tắt Khóa luận tốt nghiệp:

Internet ngày càng phát triển nhanh chóng và đa dạng hóa Những ứng dụng của côngnghệ thông tin được ứng dụng vào mọi mặt của đời sống, kinh tế, chính trị, xã hội Song songvới quá trình phát triển đó thì những mối đe dọa cũng xuất hiện ngày càng nhiều, nổi bật làmối đe dọa về Botnet

Các mạng Botnet được sinh ra một cách bí mật và tiềm ẩn trong đó những nguy cơ lớnđối với an ninh mạng Trong những năm qua, các hoạt động độc hại do Botnet đã gây ranhững sự thay đổi quan trọng đáng kể trên Internet, từ hành vi phá hoại đến tấn công và ảnhhưởng đến lợi ích kinh tế Sự thay đổi này đã được đánh dấu bởi một sự phát triển tinh vitrong công cụ và phương pháp sử dụng Botnet để tiến hành các cuộc tấn công Các nạn nhâncủa Botnet không ngừng gia tăng và số lượng ngày một lớn Các tổ chức an ninh mạng đã tìmthấy và gỡ bỏ nhiều mạng lưới Botnet trên Internet

Khóa luận cung cấp một cách nhìn tổng quan về Bot/Botnet, mục đích sử dụng Botnetcủa kẻ tấn công, các cơ chế điều khiển Botnet, yếu tố liên quan đến cuộc tấn công Đồng thời,khóa luận mô tả quá trình Bot lây nhiễm vào hệ thống và kẻ tấn công điều khiển hệ thống lâynhiễm từ xa thông qua kênh IRC Vì máy chủ IRC được dùng phổ biến nhất để điều khiểnBotnet, mạng IRC cung cấp cho kẻ tấn công khả năng dễ dàng và mềm dẻo để điều khiểnmạng Botnet lớn Từ đó, khóa luận cung cấp các giải pháp phát hiện IRC Botnet được sửdụng từ trước đến nay, các khuyến nghị cho người dùng và nhà quản trị hệ thống để ngănchặn, phát hiện và xử lý hoạt động của Bot

Khóa luận đưa ra mô hình thử nghiệm về xây dựng hệ thống Botnet dựa trên máy chủIRC để hiểu phần nào về cách xây dựng cũng như phương thức hoạt động thực tế của Botnet

Từ khóa: Bot, Botnet

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu và thực hiện khóa luận thực sựcủa riêng tôi, dưới sự hướng dẫn của Th.S Hồ Đắc Phương và một số cán bộ đồnghướng dẫn thuộc Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT

Mọi tham khảo từ các tài liệu, công trình nghiên cứu liên quan trong nước vàquốc tế đều được trích dẫn rõ ràng trong luận văn Mọi sao chép không hợp lệ, viphạm quy chế hay gian trá tôi xin hoàn toàn chịu trách nhiệm và chịu mọi kỷ luật củaĐHQG Hà Nội và Nhà trường

Hà Nội, ngày 18 tháng 05 năm 2012

Sinh viên

Đinh Thị Thu Dung

MỤC LỤC

DANH MỤC CÁC TỪ VIẾT TẮT

3 DDoS Distributed Denial of Sevice

10 TCP Transmission Control Protocol

DANH MỤC CÁC HÌNH VẼ

MỞ ĐẦU

Internet ngày càng phát triển nhanh chóng Những ứng dụng của công nghệthông tin được ứng dụng vào mọi mặt của đời sống, kinh tế, chính trị, xã hội Songsong với quá trình phát triển đó thì những mối đe dọa cũng xuất hiện ngày càng nhiều,nổi bật là mối đe dọa về Botnet Các mạng Botnet được sinh ra một cách bí mật vàtiềm ẩn trong đó những nguy cơ lớn đối với an ninh mạng Trong những năm gần đây,hiểm họa Botnet ngày càng trở nên nguy hiểm hơn với rất nhiều các công cụ và hìnhthức tấn công mới Khai thác, phát tán mã độc, phát tán thư rác số lượng lớn, tấn công

từ chối dịch vụ website của các tổ chức, thu thập thông tin cá nhân về người dùng, lànhững hành vi nguy hiểm thường thấy của Botnet đã gây ra những thiệt hại không nhỏ

về đời sống kinh tế, xã hội Các nạn nhân của Botnet không ngừng gia tăng và sốlượng ngày càng lớn

Các tổ chức an ninh mạng đã tìm thấy và gỡ bỏ nhiều Botnet trên Internet VậyBotnet là gì? Botnet hình thành và hoạt động như thế nào? Các nguy cơ của Botnet?Khóa luận tốt nghiệp “Nghiên cứu, xây dựng và phòng chống BOTNET” đề cập đếnIRC Botnet và trả lời các câu trên Đồng thời, khóa luận đưa ra các cơ chế điều khiểnBotnet, các giải pháp phát hiện IRC Botnet được sử dụng từ trước đến nay, khuyếnnghị cho người dùng và nhà quản trị hệ thống để ngăn chặn, phát hiện và xử lý hoạtđộng của Bot

Nội dung của khóa luận gồm 3 chương:

Chương 1: Tổng quan về Botnet

Đưa ra cái nhìn tổng quan về Bot/Botnet và những khái niệm liên quan Lịch sửcác Bot điển hình và thiệt hại mà chúng đã gây ra Mục đích sử dụng Botnet của tintặc Đồng thời trong chương này, khóa luận cũng giới thiệu sơ bộ về các phương phápđiều khiển Botnet điển hình

Chương 2: Xây dựng hệ thống IRC Bot

Trình bày chi tiết về quá trình lây nhiễm và các bước điều khiển Botnet Đưa ra

ví dụ cụ thể về mạng IRC Botnet

Chương 3: Giải pháp và khuyến nghị

Trình bày giải pháp được sử dụng trong lĩnh vực phát hiện Botnet Khuyến nghịdành cho người dùng và người quản trị hệ thống để có thể phòng chống, phát hiện và

xử lý máy tính hay hệ thống của mình

Phần xu hướng và kết luận:

Nêu lên xu hướng phát triển Botnet hiện nay Tóm tắt kết quả đạt được của khóaluận, chỉ ra những điểm cần khắc phục đồng thời đưa ra những định hướng nghiên cứutiếp theo.

CHƯƠNG 1 – TỔNG QUAN VỀ BOTNET

1.1 Khái niệm Bot, Botnet

Bot hay roBot mạng là ứng dụng phần mềm tự động thực thi các nhiệm vụ trênmạng Internet Thông thường Bot thực hiện các nhiệm vụ đơn giản được lập trình sẵn

và có cấu trúc lặp đi lặp lại với tốc độ cao hơn một người bình thường

Bot được phát hiện đầu tiên trong hệ thống mạng Internet Relay Chat (IRC)(Holz, 2005)[1] Oikarinen và Reed đã sáng tạo ra mạng IRC năm 1993 theo chuẩnRFC 1459 IRC là một dạng truyền dữ liệu thời gian thực trên Internet, cho phép mộtnhóm người có thể trò chuyện, liên lạc với nhau thông qua một kênh (channel), IRCcũng hỗ trợ các cuộc trò chuyện riêng tư giữa hai máy khách và truyền tải trực tiếp dữliệu Do có thể sử dụng các máy chủ IRC công cộng như một phương tiện liên lạc vàthực hiện các nhiệm vụ đơn giản, mạng IRC nhanh chóng được người dùng Internetyêu thích và sử dụng rộng rãi Các Bot đầu tiên đã được sử dụng như một phương tiện

để bảo vệ kênh IRC chống lại các hình thức tấn công từ chối dịch vụ (DoS)

Một Botnet được định nghĩa là một “mạng gồm rất nhiều máy tính bị xâm nhập

và có thể được kẻ tấn công điều khiển từ xa” “Máy tính bị xâm nhập” là máy tính bịlây nhiễm phần mềm độc hại (Bot) Như vậy, Botnet là tập hợp các Bot được sử dụngvới mục đích xấu Botmaster là một người hoặc một nhóm người điều khiển Botnet

Các đặc điểm chính của mạng Botnet:

Đầu tiên, Botnet là một hệ thống Hệ thống này có thể giao tiếp với nhau, các

Bot cấp thấp báo cáo kết quả quét hệ thống đã thực hiện được đến trung tâm chỉ huy,cũng như tiếp nhận mệnh lệnh và cập nhật Vì vậy khi phân tích Botnet, các nhànghiên cứu không chỉ cần tìm ra các chương trình độc hại mà còn phải tìm được hệthống của chính những kẻ tấn công

Thứ hai, các máy tính tham gia vào một Botnet khi đã bị xâm nhập Máy tính có

thể bị xâm nhập bằng nhiều cách khác nhau, ví dụ, thông qua lỗ hổng của ứng dụnghay hệ điều hành, khai thác các đoạn mã tự động, phần mềm độc hại dựa trên nền web(lừa đảo, tải về miễn phí),…

Thứ ba, Bot có thể được điều khiển từ xa Bot báo cáo kết quả và nhận mệnh

lệnh từ hệ thống chỉ huy và điều khiển (C&C) Do đó, kẻ tấn công có thể tận dụng khảnăng của hầu hết các máy tính bị nhiễm trong Botnet Hệ thống điều khiển Botnet cóthể tập trung hoặc phân cấp Có bốn kiểu cấu trúc điều khiển Botnet điển hình:

• Cấu trúc điều khiển dựa trên kênh IRC, Bot có thể tham gia vào kênh IRC để gửibáo cáo hoặc chờ đợi lệnh chỉ huy.

• Cấu trúc điều khiển dựa trên nền web (web-based), Bot được lập trình để kết nốiđến máy chủ web

• Cấu trúc điều khiển dựa trên peer-to-peer (P2P), P2P có kiến trúc phân quyền tốthơn được sử dụng để điều khiển Bot và nhiều Bot có thể dễ dàng chia sẻ vai tròđiều khiển khi sử dụng cấu trúc điều khiển này

• Cấu trúc điều khiển dựa trên những kênh thông tin liên lạc bí mật (ví dụ, DNS) Những thế hệ Botnet đầu tiên sử dụng IRC, mặc dù không còn được sử dụngrộng rãi như trước, nhưng Botnet dựa trên IRC vẫn tồn tại đến ngày nay Ví dụ, BotnetHamweq dựa trên IRC đã được coi là một Bot hiệu quả

Cuối cùng, mục đích kiểm soát Botnets của tin tặc là một số hình thức hoạt động

bất hợp pháp Những hoạt động này bao gồm, tấn công từ chối dịch vụ phân tán(DDoS), phát tán thư giác (spamming), theo dõi lưu lượng dữ liệu trên hệ thống mạng(sniffing network traffic), theo dõi bàn phím (keylogging), phát tán mã độc (spreadingmalware), v.v

1.2 Lịch sử Botnet

Cùng với sự phát triển bùng nổ của máy tính và mạng Internet, tin tặc ngày càngtạo ra nhiều loại Bot độc hại, với nhiều kích cỡ, chủng loại và tác hại khác nhau Mộtvài loại mã độc được tạo ra chỉ để cho vui, một vài loại để quậy phá bạn bè và một sốkhác vì mục đích kinh tế, chính trị

Tháng Một năm 1986: Virus Brain

Đây là loại virus đầu tiên lây nhiễm trên máy tính tại Pakistan[14] Brain lâynhiễm thông qua đĩa mềm trên hệ điều hành MS-DOS Tuy nhiên, đây không phải làloại virus phá hoại, tác giả là anh em nhà Alvi chỉ chèn tên tuổi và thông tin cá nhâncủa mình vào trong mã của virus Hiện Amjad Farooq Alvi và Basit Faqooq Alvi, haitác giả của virus Brain đến từ Lahore, Pakistan, đang điều hành công ty viễn thông,cung cấp các dịch vụ Internet tại nước này

Năm 1987: Virus Stoned

Loại virus này đo một sinh viên ở New Zealand tạo ra Đến năm 1989, Stoned đãlây nhiễm ra khắp New Zealand và Autralia[17]

Năm 1990: Virus Form

Virus Form có nguồn gốc từ Thụy Sỹ, đến nay vẫn chưa rõ ai là tác giả Form làmột trong những loại virus nguy hiểm nhất trong lịch sử máy tính Có nhiều biến thểkhác nhau, Form lây nhiễm từ MS-DOS cổ điển đến tận các phiên bản Windows hiệnđại Đến tận tháng Một năm 2006, Form vẫn bị xem là virus cực kỳ nguy hiểm[13],[15].

Tháng Hai năm 1991: Virus Michelangelo

Virus Michelangelo được phát hiện tại Úc Virus này được thiết kế để lây nhiễmcác hệ điều hành DOS, nhằm mục đích ghi đè lên tất cả các sector của đĩa cứng[19]

Năm 1992: Virus Creation Laboratory (VCL)

Virus này là một trong những nỗ lực đầu tiên cung cấp một công cụ tạo virus đểcác cá nhân có ít chuyên môn lập trình có thể tạp tạo ra virus máy tính[20]

Năm 1994: Virus Monkey

Virus Monkey ra đời năm 1994 tại Canada Virus này là một biến thể của VirusStoned Là chương trình đầu tiên có khả năng che giấu mình trước sự phát hiện củangười dùng[13]

Năm 1995: Virus Concept

Ra đời năm 1995 tại Mỹ, Concept là virus đầu tiên chứng tỏ khả năng xâm nhậpđược vào các tập tin của chương trình soạn thảo văn bản Microsoft Word[14]

Năm 1999: Virus Happy99

Xuất hiện năm 1999, đánh dấu sự xuất hiện đầu tiên của virus máy tính lâynhiễm qua email, nhưng không rõ nguồn gốc Những máy bị nhiễm loại virus này sẽ

tự động gửi một email với tiêu đề “Happy New Year 1999” đến tất cả bạn bè có trongdanh sách địa chỉ email Tương tự như Brain, Happy99 không thực sự gây tác hại đếnmáy tính Tuy nhiên, loại virus này cũng đã lây nhiễm trên hàng triệu máy tính trêntoàn cầu[13], [21]

Năm 2000: Virus Letter (hay virus ILOVEYOU)

Virus Letter xuất hiện năm 2000 từ Philippines Virus này là một trong nhữngloại virus có khả năng lây nhiễm rộng lớn nhất trong lịch sử Những máy tính bị lâynhiễm virus này sẽ tự gửi đến danh sách bạn bè email với tiêu đề ILOVEYOU, đínhkèm theo những tập tin Word có chứa mã độc Song không giống với Happy99, ngoàikhả năng lây nhiễm qua email, Love Letter còn phá hoại máy tính của nạn nhân Đã

có hơn 50 triệu máy tính bị lây nhiễm loại virus này, gây thiệt hại lên đến hàng tỷ

USD Tác giả của virus Love Letter là một sinh viên người Philippines Tuy nhiên, thủphạm đã được tha bổng vì vào thời điểm đó, Philippines chưa có đạo luật để trừng trịcác tin tặc[13].

Tháng Bảy năm 2001: Worm Code Red

Code Red là loại sâu máy tính, được phát hiện vào tháng Bảy năm 2001 CodeRed đã tấn công các máy chủ web IIS của Microsoft Loại sâu này sẽ tự động phát tán

dù người dùng có tác động đến hay không[22]

Năm 2002: SDBot

SDBot xuất hiện vào tháng Tư năm 2002, do lập trình viên người Nga viết.SDBot là một bước tiến quan trọng trong quá trình phát triển Bot, được viết bằng C++[12] Đặc điểm chính của SDBot là chứa và sử dụng các cửa sau điều khiển từ xa.SDBot khai thác lỗ hổng hai ứng dụng máy chủ: WebDav (cổng 80) và MSSQL (cổng1433); khai thác hai lỗ hổng hai ứng dụng bên thứ ba: phần mềm quản lý từ xaDameWare (cổng 6129) và tên người dùng đăng nhập email IMAPD (cổng 143); khaithác lỗ hổng bộ định tuyến Cisco: CISCO IOS HTTP ủy quyền (cổng 80)[8]

Năm 2002: AgoBot (hay GaoBot)

AgoBot xuất hiện năm 2002, là một họ của sâu máy tính[24] Lập trình viênngười Đức, Alex “Ago” Gembe là người viết phiên bản đầu tiên Agobot được viếtbằng C++, mã nguồn được thiết kế ở mức cao, cho phép thêm các chức năng mới vào

dễ dàng AgoBot sử dụng cơ chế điều khiển qua lệnh dựa trên máy chủ IRC, nhưnglây lan thông qua các ứng dụng chia sẻ tập tin P2P Bot được chỉ huy thông qua IRC,đồng thời mở cửa hậu truy cập từ xa cho phép kẻ tấn công có thể truy cập trực tiếp

Năm 2003: Virus Slammer

Slammer là một trong những loại virus có tốc độ lan truyền kỷ lục, với 75.000máy bị lây nhiễm chỉ sau 10 phút Slammer đã làm sập hệ thống máy ATM của ngânhàng Mỹ và mạng lưới 911 tại Seatles (Mỹ)[14]

Năm 2003: Sobig Worm

Sâu máy tính Sobig được phát hiện năm 2003 Ngày 19 tháng 8, SoBig thiết lập

kỷ lục về khả năng lây nhiễm qua email, lây nhiễm tới hàng triệu máy tính chỉ trongvòng vài giờ sau khi xuất hiện[25]

Năm 2003: Fizzer Worm

Năm 2003 đánh dấu sự ra mắt của phần mềm độc hại đầu tiên được tạo ra vớimục đích lợi nhuận[14] Sâu máy tính Fizzer lây nhiễm thông qua các tập tin đínhkèm trên email, ổ đĩa chia sẻ trên mạng, IRC và phần mềm P2P KaZaA[26] Sau khilây nhiễm vào máy tính, Fizzer cố gắng kết thúc các phần mềm chống virus trên máytính nạn nhân Một máy tính sau khi bị nhiễm sâu Fizzer có thể bị tin tặc đánh cắpquyền điều khiển và đưa vào các mạng lưới Botnet hoặc sử dụng để gửi đi các emailspam.

Năm 2004: MyDoom Worm

MyDoom là sâu máy tính ảnh hưởng đến Microsoft Windows MyDoom trởthành sâu phát tán thư rác nhanh nhất chưa từng thấy, vượt kỷ lục trước đó được thiếtlập bởi sâu Sobig và ILOVEYOU[27]

Năm 2004: Sasser Worm

Tác giả của Sâu máy tính Sasser là Sven Jaschan, một tin tặc chỉ mới 18 tuổi củaĐức[28] Sâu Sasser ảnh hưởng đến các máy tính dùng các phiên bản dễ bị tổn thươngcủa hệ điều hành Windows XP và Windows 2000 Sasser lây lan bằng cách khai thác

lỗ hổng hệ thống thông qua cổng mạng dễ bị tổn thương Vì thế, Sasser đặc biệt nguyhiểm vì có thể tự lây lan mà không có sự can thiệp của người sử dụng, tuy nhiênSasser cũng dễ dàng bị chặn tại tường lửa được cấu hình đúng hoặc tải các bản cậpnhật hệ thống từ Windows Update Sasser quét các dải địa chỉ IP khác nhau và kết nốiđến máy tính nạn nhân chủ yếu thông qua TCP cổng 445 (hoặc 139) Do ảnh hưởngcủa Sasser, cơ quan thông tấn Agence France-Presse (AFP) đã bị khóa trong vài giờ

và hãng hàng không Delta Air Lines của Mỹ đã phải hủy bỏ vài chuyến bay xuyên ĐạiTây Dương vì hệ thống máy tính bị sâu này tấn công Hãng hàng không Anh gặp tìnhtrạng tương tự, đã không thể sử dụng máy bay trong nhiều giờ Một công ty dầu lửatại Úc phải ngưng hoạt động vì Sasser làm gián đoạ Công ty Sampo ở Phần Lan chobiết họ tạm ngưng hoạt động 130 chi nhánh để sửa máy tính đề phòng bị sâu Sassertấn công Sasser cũng tấn công 300.000 máy tính ở Bưu điện Deutsche (Đức) và khiếnkhoảng 500 máy tính ở những bệnh viện tại New Orleans phải ngừng hoạt động trong

7 giờ

Năm 2004: Cabir Worm

Sâu máy tính Cabir được phát triển trong năm 2004, được thiết kế để lây nhiễmsang điện thoại di động chạy hệ điều hành Symbian[29] Cabir là sâu đầu tiên tronglịch sử có thể lây sang điện thoại di động Cabir có thể lây nhiễm thông qua bluetooth,làm giảm thời lượng sử dụng pin trên điện thoại di động bị lây nhiễm

Năm 2005: Haxdoor backdoor

Là một họ của chương trình quản lý mã độc từ xa, thường được tin tặc dùng phổbiến để ăn cắp thông tin nhạy cảm, chi tiết tài khoản, từ máy tính bị nhiễm[30] Một

số biến thể của Haxdoor bao gồm khả năng rootkit, có thể che dấu sự hiện diện vàhành động trên hệ thống máy tính bị nhiếm

Năm 2005: Sony BMG rootkit

Thêm một loại rootkit khác xuất hiện cùng năm với HaxDoor, nhưng có nguồngốc ở Mỹ và Anh[14], [31] Hãng đĩa nhạc Sony BMG đã tích hợp một loại phần mềmtrên các đĩa của mình, cho phép tự động cài đặt trên máy tính sử dụng hệ điều hànhWindows khi khách hàng mở đĩa CD Đây là động thái bảo vệ bản quyền của SonyBMG Phần mềm này can thiệp theo cách bình thường trong hệ điều hành Windowsbằng cách cài một rootkit nhưng đã vô tình tạo ra lỗ hổng để các phần mềm độc hạikhai thác

Năm 2007: Storm Worm

Sâu máy tính Storm bắt đầu lây nhiễm hàng ngàn máy tính (chủ yếu là tư nhân)

ở châu Âu và Hoa Kỳ vào ngày 19 tháng Một năm 2007, bằng cách sử dụng một tinnhắn với dòng tiêu đề "230 dead as storm batters Europe" Đến ngày 22 tháng Mộtnăm 2007, Storm Worm chiếm đến 8% số lượng phần mềm độc hại lây nhiễm trêntoàn cầu[32] Theo PCWorld, Storm Worm có nguồn gốc từ Nga, có thể theo dõi cácmạng kinh doanh Nga Các máy tính bị nhiễm Storm Worm sẽ kết hợp thành mộtBotnet, Storm Worm hoạt động như mạng P2P, không có máy chủ tập trung Ngày 07tháng Chín năm 2007, ước tính kích thước của Botnet Storm có khoảng từ 1 đến 10triệu máy tính

Năm 2008: Conficker

Conficker (hay với cái tên khác là Downup, Downadup, Kido) là sâu máy tínhnhắm vào hệ điều hành Windows đã được phát hiện trong tháng Mười Một năm 2008.Khai thác lỗ hổng trong phần mềm Windows, tấn công vào mật khẩu quản trị viên đểlây truyền hình thành hệ thống Botnet Conficker lây nhiễm hàng triệu máy tính baogồm chính phủ, kinh doanh và máy tính cá nhân tại hơn 200 quốc gia trên thếgiới[33] Intramar, mạng máy tính của Hải quân Pháp đã bị nhiễm Conficker ngày 15tháng Một năm 2009 Mạng lưới này sau đó đã được cách ly, buộc máy bay tại vài căn

cứ không quân không cất cánh được bởi vì kế hoạch chuyến bay của họ không thể tải

về được Ngày 02 tháng Hai, năm 2009, các lực lượng vũ trang thống nhất của Đức

thông báo rằng khoảng 100 máy tính của họ bị nhiễm Sự lây nhiễm vào hệ thốngCông nghệ thông tin của Hội đồng thành phố Manchester đã gây ra ước tính trị giá 1,5triệu bảng của sự gián đoạn trong tháng Hai năm 2009.

Năm 2010: Stuxnet

Sâu máy tính Stuxnet được phát hiện vào tháng Sáu năm 2010 bởi công ty bảomật Belarus[34] Ban đầu lây nhiễm thông qua hệ điều hành Windows Stuxnet là mẫusâu máy tính đầu tiên được phát hiện có khả năng thâm nhập và tái cấu trúc các hệthống công nghiệp, cũng là sâu máy tính đầu tiên chứa rootkit điều khiển logic khả lập(programmable logic controller – PLC rootkit) Stuxnet được viết ra để tấn công trựctiếp vào các hệ thống giám sát điều khiển và thu thập dữ liệu (SCADA) sử dụng trongđiều khiển các quy trình công nghiệp Stuxnet có thể tự động xâm nhập vào một hệthống, đánh cắp công thức pha trộn sản phẩm, xáo trộn thành phần nguyên liệu; đánhlừa hệ điều hành và phần mềm diệt virus rằng mọi thứ vẫn đang hoạt động bìnhthường Biến thể khác nhau của Stuxnet nhắm mục tiêu năm tổ chức của Iran, với mụctiêu nghi ngờ là cơ sở hạ tầng làm giàu uranium tại Iran Công ty an ninh mạng củaNga Kaspersky Labs đã mô tả Stuxnet như “một dạng vũ khí thông minh linh động vàđáng sợ” Theo nghiên cứu của Symantec về sự lây lan của Stuxnet cho thấy các nước

bị ảnh hưởng chính trong những ngày đầu bị lây nhiễm là Iran, Indonesia và Ấn độ, cụthể một số nước chịu ảnh hưởng của Stuxnet:

Đất nước Phần trăm Máy tính bị lây nhiễm

mặc dù cả hai loại này cùng sử dụng một số mã tương tự để thâm nhập vào hệ thốngmáy tính Duqu chỉ xâm nhập ăn cắp dữ liệu chứ không phá hủy hệ thống máy tínhnhư Stuxnet.

kê dưới đây

Mục đích cơ bản nhất mà Botmaster muốn thực hiện trên mỗi máy tính bị lâynhiễm (Botclient) là tìm kiếm các máy tính tiềm năng khác để lây nhiễm phần mềmđộc hại sang[2] Botclient có thể quét hệ thống máy tính ứng viên Ví dụ, RBot khaithác thư mục chia sẻ của Windows qua việc đoán hoặc tấn công vét cạn mật khẩu đểcác Botclient quét các hệ thống khác khi cổng 139 hoặc 445 mở, bằng cách sử dụngcác công cụ như smbscan.exe, ntscan.exe,… Ta cũng có thể sử dụng lệnh net (netview /DOMAIN và net view /DOMAIN: <domain name>) cho RBot để liệt kê tênNetBIOS của những ứng viên tiềm năng

Botnet thường xuyên được sử dụng để tấn công từ chối dịch vụ phân tán (DDoS)nhằm mục tiêu trả thù hoặc lợi nhuận[3] Ý tưởng chính đằng sau một cuộc tấn công

từ chối dịch vụ phân tán là làm kiệt quệ một số tài nguyên yêu cầu cung cấp từ máychủ, làm chậm hoặc ngăn chặn khả năng xử lý các yêu cầu hợp pháp của người dùngbình thường Theo phân tích cho đến nay mỗi Bot bao gồm nhiều khả năng khác nhau

để thực hiện một cuộc tấn công DDoS chống lại các máy chủ khác Phổ biến nhất vàTCP SYN và làm tràn UDP

Ví dụ cho cuộc tấn công từ chối dịch vụ điển hình như hình 1:

Hình 1.1: Cuộc tấn công DDoS điển hình

Tấn công tràn ngập (Flooding attacks)

Các cuộc tấn công tràn ngập ICMP và UDP nhằm mục tiêu làm tràn ngập băngthông sử dụng để cung cấp dịch vụ Chúng thường hoạt động bằng cách gửi một khốilượng lớn dữ liệu mà sử dụng tất cả băng thông của kết nối hoặc gửi rất nhiều gói dữliệu mà sự kết nối, các router hoặc các máy chủ bị quá tải để xử lý trở nên cực kỳchậm hoặc ngừng đáp ứng

Các cuộc tấn công DDoS không giới hạn đối với các máy chủ web, hầu như bất

kỳ dịch vụ có sẵn trên Internet đều có thể là mục tiêu của các cuộc tấn công Các giaothức cao cấp hơn có thể được sử dụng làm tăng thêm hiệu quả bằng cách sử dụng cáccuộc tấn công rất cụ thể, chẳng hạn như làm tràn HTTP đệ quy trên trang web của nạnnhân Làm tràn HTTP đệ quy có nghĩa là các Bot bắt đầu từ một liên kết HTTP nhấtđịnh sau đó đi đến tất cả các liên kết trên trang web đó cung cấp theo một cách đệ quy.Điều này còn được gọi là bò loang

Gần như tất cả các Bot bao gồm các chức năng cho phép tải và thực thi các tậptin thông qua các giao thức FTP, HTTP Đây là phương pháp chính được sử dụng đểcập nhật Bot Bot có thể tải về bất kỳ tập tin điều khiển của kẻ tấn công Những tập tin

đó có thể được thực thi ngay hoặc sau một thời gian nhất định Khả năng tải về và

thực thi chương trình thường được sử dụng để cài đặt thêm các chương trình độc hạinhư spyware, adware, hoặc các công cụ khác được quản lý bởi kẻ tấn công.

Botnet là một công cụ lý tưởng cho những kẻ phát tán thư rác[2] Với sự giúp đỡcủa một mạng Botnet và hàng ngàn Bot zombie, kẻ tấn công có thể gửi hàng loạt thưrác Một số Bot thực hiện chức năng đặc biệt để thu hoạch địa chỉ email Sử dụngBotnet, kẻ tấn công có thể thiết lập mạng lưới thư rác tự động Ngoài ra, Botnet cũngđược sử dụng để gửi email lừa đảo (phishing-mail)

Phân tích tiêu đề của các thư rác tương tự nhau và các cuộc tấn công lừa đảo cóthể cho phép các nhà điều tra tìm ra các thành viên của các Botnet phổ biến Giám sáthoạt động của các thành viên và máy chủ Bot có thể mang lại những thông tin đủ đểloại bỏ Botnet

Các máy tính bị kiểm soát có thể được dùng như một kho lưu trữ động những dữliệu bất hợp pháp chẳng hạn như những bộ phim, trò chơi đánh cắp, phần mềm viphạm bản quyền, tranh ảnh khiêu dâm… Trong một số trường hợp, tin tặc đã thànhlập một mạng lưới các vị trí lưu trữ Các tập tin được lưu trữ trong các thư mục ẩn,một số được lưu trữ trong thùng rác[2]

Đối với việc khai thác dữ liệu, tin tặc sử dụng các công cụ để thu thập thông tin

từ mỗi máy tính bị chiếm quyền điều khiển[2] Các Bot có thể sử dụng một gói sniffer

để xem dữ liệu đi qua bởi một máy tính bị chiếm quyền điều khiển Các sniffer được

sử dụng chủ yếu để lấy những thông tin nhạy cảm như tên người dùng và mật khẩu.Tất nhiên các dữ liệu sniffer cũng chứa những thông tin thú vị khác Nếu một máytính bị chiếm quyền điều khiển bởi nhiều hơn một Bot thì các gói sniffing còn chophép thu thập những thông tin quan trọng của Botnet khác Từ đó có thể “ăn cắp” mộtBotnet khác

Khi máy tính nạn nhân sử dụng các kênh thông tin liên lạc được mã hóa nhưHTTPS hay POP3S[23], nếu chỉ có sniffing các gói dữ liệu trên mạng máy tính củanạn nhân là không hiệu quả Tuy nhiên, hầu hết các Bot đều được cung cấp các tínhnăng để giải quyết tình huống này Với sự hỗ trợ của keylogger có thể thu thập tất cảcác thông tin trên bàn phím khi người dùng gõ vào máy tính, thật dễ dàng cho tin tặc

lấy được các thông tin nhạy cảm Với cơ chế lọc (chỉ quan tâm tới tổ hợp phím gần @,paypal.com,…) giúp cho việc ăn cắp dữ liệu bí mật tốt hơn.

Adsence là một chương trình dịch vụ quảng cáo của Google, cung cấp cho cáccông ty khả năng hiển thị quảng cáo của Google trên trang web của họ, khi kháchquan kích chuột lên quảng cáo thì công ty sẽ được trả một số tiền Kẻ tấn công lợidụng chương trình này bằng cách tận dụng Botnet của mình để kích vào các quảngcáo này tự động Ứng dụng này của Botnet là tương đối hiếm, tuy nhiên đây là ýtưởng không tồi theo góc độ của kẻ tấn công[23]

Các cuộc bầu cử/thi trực tuyến đang nhận được sự chú ý nhiều hơn và điều nàykhá dễ dàng thao tác với một Botnet Bởi vì mỗi Bot đều có địa chỉ IP khác nhau, mỗiphiếu bầu sẽ có độ tin cậy như phiếu bầu bởi một người thực sự[23]

1.4 Phân loại cơ chế điều khiển Botnet

Botnet được xem là một trong những mối đe dọa an ninh nghiêm trọng nhất hiệnnay Sự khác biệt đáng chú ý nhất giữa Botnet và các phần mềm độc hại truyền thốngkhác là kênh chỉ huy và điều khiển Botnet Kênh chỉ huy và điều khiển Botnet tươngđối ổn định và không thay đổi giữa các Bot, đây là cơ chế cần thiết cho phépBotmaster chỉ đạo hành động của các Bot trong Botnet Ban đầu Botnet chỉ giới hạntrong mạng Botnet dựa trên IRC, và Bot là phần mềm Trojan hoặc backdoor Cùngvới các giao thức mạng khác được tin tặc sử dụng trong Botnet, các nhà nghiên cứunhận ra bản chất của Botnet, cơ chế chỉ huy và điều khiển ngày càng nhiều Kênh chỉhuy và điều khiển có thể là máy chủ IRC, máy chủ Web, các nút trong cấu trúc mạngPeer-to-Peer, các máy chủ DNS, v.v

Loại máy chủ dùng để chỉ huy và điều khiển được sử dụng phổ biến nhất làInternet Relay Chat (IRC)[3] Giao thức IRC cung cấp cơ chế chỉ huy và điều khiểntập trung, bao gồm một máy chủ như điểm trung tâm cho các máy khách (hoặc cácmáy chủ khác) kết nối đến, làm nhiệm vụ gửi đi các thông điệp đã yêu cầu, ghép kênh

và các chức năng khác Đây là kỹ thuật “đẩy”, các lệnh được đẩy hoặc gửi đến các Bot

từ máy chủ Các máy chủ này được ưa chuộng bởi vì chúng rất dễ sử dụng, độ trễthấp, kết nối thời gian thực và hầu hết các máy chủ IRC đều cho truy cập miễn phí.Trong giai đoạn đầu phát triển Botnet, IRC đã trở thành giao thức chính trong việc

thiết lập kênh chỉ huy và điều khiển Botnet Tính năng đáng chú ý nhất của mạng IRC

là kênh, nơi mà tất cả mọi người có thể nói chuyện tự do Kẻ tấn công có thể sử dụngcác mạng IRC công cộng hoặc tự xây dựng máy chủ cho riêng mình Các máy chủIRC bí mật có thể được cùng nằm ở vị trí máy chủ “bullet proof” (BP) mà các nhàcung cấp dịch vụ đã đảm bảo thời gian hoạt động, hoặc chúng có thể được cài trênmột trong những hệ thống bị xâm nhập

Máy chủ “bullet proof” ý nói đến các dịch vụ được cung cấp liên tục, không thể

bị ngừng Những máy chủ này có xu hướng đặt tại nước ngoài, hoặc ở ngoài biển khơi

xa, nơi mà luật pháp không tồn tại hoặc không nghiêm ngặt

Botnet dựa trên chuẩn IRC thông thường điều khiển các Bot thông qua các lệnh

“PRIVMSG”, “NOTICE” và “TOPIC” “PRIVMSG” dùng để chuyển thông điệp giữahai máy khách hoặc giữa các máy khách trên một kênh, Botmaster thường sử dụng đểgửi hướng dẫn tấn công đến một Bot đơn lẻ hoặc đến tất cả các Bot trên một kênh

“NOTICE” tương tự như “PRIVMSG” nhưng ít khi được sử dụng hơn Các kênh vớicác chủ đề cho biết chủ đề của cuộc hội thoại hiện hành “TOPIC” là tập hợp các lệnhcho các kênh Khi các Bot kết nối đến kênh IRC bí mật, Bot phân tích chủ đề và làmtheo

Hình 1.2: Giao diện điều khiển Botnet qua IRC

“TOPIC” thể hiện ở hình 2 điều khiển hệ thống thực hiện các chức năng nhưsau:

– advscan: ra lệnh Botnet quét các hệ thống có thể có lỗ hổng

– lsass_445: cố gắng khai thác các máy chủ có lỗ hổng

– 150: số lượng các tiến trình đồng thời

– 3: thời gian (giây) trễ giữa các lần quét

– 9999: chỉ định số lần thực hiện hành động quét

– -r: các địa chỉ IP Bot cố gắng quét được tạo ra ngẫu nhiên

– -s: việc quét diễn ra ngầm và không cần báo cáo sự tìm kiếm trong kênh.Chỉ huy và điều khiển Botnet dựa trên IRC có một lỗ hổng nghiêm trọng đó là sựgiao tiếp trên IRC theo mặc định diễn ra trên cổng 6666 hay 6667 Nếu Bot nằm trongmột mạng có tường lửa hoặc có một người quản trị hệ thống thì Bot sẽ dễ dàng bị loại

bỏ, hoặc lọc ra khi có lưu lượng truy cập đến và đi từ các cổng đó, cũng như tìm rachính xác các máy tính bị nhiễm và loại bỏ Bot

Khi các nhà nghiên cứu an ninh mạng chú ý hơn đến các Botnet dựa trên máychủ IRC, các tin tặc dần dần bắt đầu sử dụng giao thức HTTP trong cấu trúc điềukhiển Botnet, để ẩn mình tốt hơn và tránh bị phát hiện Giao thức dựa trên HTTP cũngcung cấp cơ chế chỉ huy và điều khiển tập trung, nhưng Botmaster không trực tiếptương tác với các Bot sử dụng cơ chế giống như trò chuyện Thay vào đó, Botmasterchỉ đơn giản đặt lệnh trong một tập tin trên máy chủ chỉ huy và điều khiển (máy chủHTTP)[3] Một giao diện web có thể được tạo ra để theo dõi và kiểm soát Botnet.Những kẻ tấn công sử dụng giao diện để gửi dòng lệnh đến từng hệ thống riêng lẻhoặc đến toàn bộ Botnet thông qua các phản hồi HTTP (HTTP responses) Bot định

kỳ kết nối tới máy chủ để nhận lệnh Đây là kỹ thuật “kéo”, các Bot kéo hoặc tải vềtập lệnh từ máy chủ Lưu lượng Botnet ẩn dưới lưu lượng truy cập web thông thường,Bot có thể dễ dàng vượt qua tường lửa với cơ chế lọc dựa trên các cổng và tránh IDSphát hiện Quan trọng hơn là kết nối không liên tục của giao thức HTTP khác cơ bảnkết nối liên tục của IRC, vì thế Botnet dựa trên HTTP khó bị phát hiện hơn

Cơ chế hoạt động điển hình của Bonet dựa trên HTTP[9]:

(1) Kẻ tấn công khai thác lỗ hổng và lây nhiễm đến máy tính nạn nhân bằngnhiều cách khác nhau

(2) Từ máy tính nạn nhân, Bot lây truyền sang các máy tính khác

(3) Sau khoảng thời gian định kỳ các Bot gửi dữ liệu đến máy chủ điều khiển.(4) Các máy chủ đáp ứng với một lệnh hoặc một trang HTML

Hình 1.3: Quá trình lây nhiễm Bot dựa trên HTTP

Khi bị lây nhiễm, hệ thống bị lây nhiễm cố gắng liên lạc với máy chủ chỉ huy vàđiều khiển dựa trên nền web và thông báo địa chỉ IP của máy, cổng proxy nào đanghoạt động và chuỗi nhận dạng máy mà có thể được sử dụng để nhận diện và liên lạcvới các Bot riêng lẻ

Hình 1.4: Giao diện dòng lệnh Chỉ huy và Điều khiển Botnet dựa trên nền Web

Trang cmd.php thể hiện trong hình 4 là một ví dụ về một trang web Botmaster sửdụng để gửi các lệnh đến các hệ thống bị xâm nhập trong mạng Botnet Các lệnh đượcnhập vào trang web, khi submit thì một tập tin mệnh lệnh được tạo ra (ví dụ cmd.txt)

Cứ năm giây các hệ thống bị xâm nhập truy vấn đến tập tin cmd.txt và sau đó thực thibất kỳ lệnh nào được cấp cho chúng Một số lệnh chỉ dẫn Bot như sau:

– Tải về và thực thi tập tin từ một URL

– Thực thi các lệnh shell

– Thiết lập vị trí lưu trữ các ảnh chụp màn hình và các bản ghi URL

– Thiết lập các tập tin host trên hệ thống bị xâm nhập

Tuy nhiên, cơ chế chỉ huy và điều khiển Botnet này tương đối lỏng lẻo,Botmaster không kiểm soát được các Bot, bởi vì có một độ trễ khi Botmaster gửi lệnh

và khi Bot nhận lệnh

Botnet peer-to-peer (P2P) (ngang hàng) là Botnnet có cơ chế chỉ huy và điềukhiển dựa trên P2P[4] Cũng giống như các mạng P2P, sự giao tiếp trong Botnet P2P

sẽ không bị phá vỡ khi bị mất đi một vài Bot Như ở hình 4, Botnet P2P không có máy

chủ trung tâm, các Bot được kết nối với mỗi topo khác và hoạt động như một máykhách để nhận lệnh hoặc như một máy chủ để phát tán lệnh Botnet P2P đã chỉ rađược những lợi thế vượt trội Botnet tập trung truyền thống Là thế hệ tiếp theo củaBotnet, Botnet P2P mạnh hơn và khó khăn hơn đối với đội ngũ an ninh mạng.

1) Lựa chọn ứng viên Bot

Mạng P2P đang phổ biến của các ứng dụng phân tán, chẳng hạn như chia sẻ tập