I HC QUC GIA H NI TRNG I HC CễNG NGH inh Th Thu Dung NGHIấN CU, XY DNG V PHềNG CHNG BOTNET KHểA LUN TT NGHIP I HC H CHNH QUY Ngnh: Cụng ngh thụng tin H NI - 2012 I HC QUC GIA H NI TRNG I HC CễNG NGH inh Th Thu Dung NGHIấN CU, XY DNG V PHềNG CHNG BOTNET KHểA LUN TT NGHIP I HC H CHNH QUY Ngnh: Cụng Ngh Thụng Tin Cỏn b hng dn: H c Phng H NI - 2012 VIETNAM NATIONAL UNIVERSITY, HANOI UNIVERSITY OF ENGINEERING AND TECHNOLOGY Dinh Thi Thu Dung ANALYSIS AND DEFENCE BOTNET ATTACKING Major: Information Technology Supervisor: Ho Dac Phuong HA NOI - 2012 LI CM N Li u tiờn tụi xin gi li cỏm n v lũng bit n sõu sc n thy giỏo ThS. H c Phng, ngi ó giỳp tụi chn ti, nh hỡnh hng nghiờn cu, tn tỡnh hng dn v ch bo tụi sut quỏ trỡnh thc hin khúa lun tt nghip. Tụi xin gi li cỏm n chõn thnh n cỏc thy, cụ giỏo trng i hc Cụng ngh - i hc Quc gia H Ni. Cỏc thy, cụ giỏo ó dy bo v truyn t cho tụi rt nhiu kin thc, giỳp tụi cú c mt nn tng kin thc vng chc sau bn nm hc ti trng i hc Cụng ngh. Tụi xin gi li cỏm n chõn thnh ti cỏc bn lp K53CC ó ng h khuyn khớch tụi sut quỏ trỡnh hc ti trng. Tụi xin gi n li cỏm n chõn thnh n anh H Hi Thanh, anh H Vn Tin v cỏc anh, ch bờn Trung tõm ng cu khn cp mỏy tớnh Vit Nam VNCERT ó hng dn nhit tỡnh v to iu kin mụi trng tt nht giỳp tụi hon thnh tt khúa lun ny. Cui cựng, tụi mun gi li cỏm n sõu sc nht n gia ỡnh v bn bố, c bit l B M v em trai nhng ngi thõn yờu luụn kp thi ng viờn v giỳp tụi vt qua nhng khú khn hc cng nh cuc sng. H Ni, ngy 18 thỏng 05 nm 2012 Sinh viờn inh Th Thu Dung NGHIấN CU, XY DNG V PHềNG CHNG BOTNET inh Th Thu Dung Khúa QH-2008-I/CQ , ngnh Cụng ngh Thụng Tin Túm tt Khúa lun tt nghip: Internet ngy cng phỏt trin nhanh chúng v a dng húa. Nhng ng dng ca cụng ngh thụng tin c ng dng vo mi mt ca i sng, kinh t, chớnh tr, xó hi. Song song vi quỏ trỡnh phỏt trin ú thỡ nhng mi e da cng xut hin ngy cng nhiu, ni bt l mi e da v Botnet. Cỏc mng Botnet c sinh mt cỏch mt v tim n ú nhng nguy c ln i vi an ninh mng. Trong nhng nm qua, cỏc hot ng c hi Botnet ó gõy nhng s thay i quan trng ỏng k trờn Internet, t hnh vi phỏ hoi n tn cụng v nh hng n li ớch kinh t. S thay i ny ó c ỏnh du bi mt s phỏt trin tinh vi cụng c v phng phỏp s dng Botnet tin hnh cỏc cuc tn cụng. Cỏc nn nhõn ca Botnet khụng ngng gia tng v s lng ngy mt ln. Cỏc t chc an ninh mng ó tỡm thy v g b nhiu mng li Botnet trờn Internet. Khúa lun cung cp mt cỏch nhỡn tng quan v Bot/Botnet, mc ớch s dng Botnet ca k tn cụng, cỏc c ch iu khin Botnet, yu t liờn quan n cuc tn cụng. ng thi, khúa lun mụ t quỏ trỡnh Bot lõy nhim vo h thng v k tn cụng iu khin h thng lõy nhim t xa thụng qua kờnh IRC. Vỡ mỏy ch IRC c dựng ph bin nht iu khin Botnet, mng IRC cung cp cho k tn cụng kh nng d dng v mm iu khin mng Botnet ln. T ú, khúa lun cung cp cỏc gii phỏp phỏt hin IRC Botnet c s dng t trc n nay, cỏc khuyn ngh cho ngi dựng v nh qun tr h thng ngn chn, phỏt hin v x lý hot ng ca Bot. Khúa lun a mụ hỡnh th nghim v xõy dng h thng Botnet da trờn mỏy ch IRC hiu phn no v cỏch xõy dng cng nh phng thc hot ng thc t ca Botnet. T khúa: Bot, Botnet LI CAM OAN Tụi xin cam oan õy l cụng trỡnh nghiờn cu v thc hin khúa lun thc s ca riờng tụi, di s hng dn ca Th.S H c Phng v mt s cỏn b ng hng dn thuc Trung tõm ng cu khn cp mỏy tớnh Vit Nam VNCERT. Mi tham kho t cỏc ti liu, cụng trỡnh nghiờn cu liờn quan nc v quc t u c trớch dn rừ rng lun vn. Mi chộp khụng hp l, vi phm quy ch hay gian trỏ tụi xin hon ton chu trỏch nhim v chu mi k lut ca HQG H Ni v Nh trng. H Ni, ngy 18 thỏng 05 nm 2012 Sinh viờn inh Th Thu Dung MC LC DANH MC CC T VIT TT 10 11 C&C DoS DDoS DNS FTP HTTP IP IRC P2P TCP URL Command and Control Denial of Sevice Distributed Denial of Sevice Domain Name System File Transfer Protocol Hypertext Transfer Protocol Internet Protocol Internet Relay Chat Peer-to-Peer Transmission Control Protocol Uniform Resource Locator DANH MC CC HèNH V M U Internet ngy cng phỏt trin nhanh chúng. Nhng ng dng ca cụng ngh thụng tin c ng dng vo mi mt ca i sng, kinh t, chớnh tr, xó hi. Song song vi quỏ trỡnh phỏt trin ú thỡ nhng mi e da cng xut hin ngy cng nhiu, ni bt l mi e da v Botnet. Cỏc mng Botnet c sinh mt cỏch mt v tim n ú nhng nguy c ln i vi an ninh mng. Trong nhng nm gn õy, him Botnet ngy cng tr nờn nguy him hn vi rt nhiu cỏc cụng c v hỡnh thc tn cụng mi. Khai thỏc, phỏt tỏn mó c, phỏt tỏn th rỏc s lng ln, tn cụng t chi dch v website ca cỏc t chc, thu thp thụng tin cỏ nhõn v ngi dựng, . l nhng hnh vi nguy him thng thy ca Botnet ó gõy nhng thit hi khụng nh v i sng kinh t, xó hi. Cỏc nn nhõn ca Botnet khụng ngng gia tng v s lng ngy cng ln. Cỏc t chc an ninh mng ó tỡm thy v g b nhiu Botnet trờn Internet. Vy Botnet l gỡ? Botnet hỡnh thnh v hot ng nh th no? Cỏc nguy c ca Botnet? Khúa lun tt nghip Nghiờn cu, xõy dng v phũng chng BOTNET cp n IRC Botnet v tr li cỏc cõu trờn. ng thi, khúa lun a cỏc c ch iu khin Botnet, cỏc gii phỏp phỏt hin IRC Botnet c s dng t trc n nay, khuyn ngh cho ngi dựng v nh qun tr h thng ngn chn, phỏt hin v x lý hot ng ca Bot. Ni dung ca khúa lun gm chng: Chng 1: Tng quan v Botnet a cỏi nhỡn tng quan v Bot/Botnet v nhng khỏi nim liờn quan. Lch s cỏc Bot in hỡnh v thit hi m chỳng ó gõy ra. Mc ớch s dng Botnet ca tin tc. ng thi chng ny, khúa lun cng gii thiu s b v cỏc phng phỏp iu khin Botnet in hỡnh. Chng 2: Xõy dng h thng IRC Bot Trỡnh by chi tit v quỏ trỡnh lõy nhim v cỏc bc iu khin Botnet. a vớ d c th v mng IRC Botnet. Chng 3: Gii phỏp v khuyn ngh Trỡnh by gii phỏp c s dng lnh vc phỏt hin Botnet. Khuyn ngh dnh cho ngi dựng v ngi qun tr h thng cú th phũng chng, phỏt hin v x lý mỏy tớnh hay h thng ca mỡnh. Phn xu hng v kt lun: 10 Hỡnh 2.6: Bot sn sng ch lnh t Botmaster Nu Bot ó sn sng ch lnh ca Botmaster, Bot tr li Ready boss! nh hỡnh trờn. Sau ú ta cú th lnh cho Bot. Vớ d yờu cu Bot ghộ thm trang web http://google.com.vn: !visit http://google.com.vn Hỡnh 2.7: Botmaster a yờu cu cho Bot 39 Sau Bot nhn c lnh, bờn mỏy-o-hai trỡnh duyt t ng m trang http://www.google.com.vn. Trong vớ d ny tụi a tớnh nng rt n gin. Thc t, KBot cung cp mt hp rt phong phỳ cỏc lnh v chc nng. Mt s ú l: Lnh Mụ t !login pass Botmaster ng nhp vi mt khu thm nh !seed url/yourtorrent.torrent !visit URL M URL trỡnh duyt !visilent URC Ghộ thm URL, n trờn mỏy tớnh b nhim !dl URL/gay.exe Ti v tin thc thi t URL !update URL/gay.exe !kill G b Bot !die Ngng hot ng ca bot !fz Thu thp tờn ng nhp/mt khu !syn host port threads sockets Tn cụng TCP SYN !stopsyn Ngng tn cụng TCP SYN !httpflood host intervals threads Tn cụng trn ngp HTTP !httpfloodstop Ngng tn cụng trn ngp HTTP !udpfloodstart host intervals threads Tn cụng trn ngp bng UDP !udpfloodstop Ngng tn cụng trn ngp bng UDP Ti mỏy-o-hai ta dựng phn mm wireshark bt gúi tin. Phõn tớch gúi tin thu c, ta nhn thy gi liờn lc gia Bot v mỏy ch IRC, nh k Bot gi thụng ip PING n mỏy ch IRC, ng thi mỏy ch IRC tr li Bot bng thụng ip PONG. 40 Hỡnh 2.8: Bot gi thụng ip PING ti mỏy ch IRC Hỡnh 2.9: Mỏy ch IRC tr li Bot thụng ip PONG Khi Botmaster lnh cho Bot m trang http://www.google.com.vn thỡ gúi tin thu c ta thy lnh !visit http://www.google.com.vn gi n Bot t mỏy ch IRC. 41 Hỡnh 2.10: Botmaster lnh cho Bot Sau Bot ó thc hin nhim v, thỡ gúi tin thu c ta thy thụng ip tr li Website visited! gi t Bot n mỏy ch IRC. Hỡnh 2.11: Bot tr li ó thc hin lnh CHNG GII PHP V KHUYN NGH 3.1 Gii phỏp[10] 42 Phn ny trỡnh by mt s gii phỏp ó c dựng t trc n i vi phỏt hin IRC Botnet . 3.1.1 Chia s thụng tin quc t iu quan trng l phõn tớch cu trỳc v phõn phi c phộp gia cỏc nh cung cp dch v Internet (ISP). ú l yu t ch yu hiu hnh vi ca Botnet da trờn bt c thụng tin no thu thp c. Chc nng giỏm sỏt v iu khin mng l sn cú i vi mi ISP nhng cng cú th b li dng. Giỏm sỏt v iu khin mng c thc hin thụng qua C quan An ninh (Security Authority - SA) bng cỏch thu thp v phõn tớch ch th lnh v thụng tin tn cụng trờn ISP. Bot zombie vt qua ISP bng cỏch s dng mt l hng DNS (DNS sinkhole), l hng DNS ny chp nhn lu lng iu khin qua lnh. Tuy nhiờn, lu lng d liu cú th c thu thp t cỏc l hng v phõn tớch chia s quc t. Nhng lu lng d liu thu thp ti cng giao tip mng LAN (gateway interfacing LAN) v mng backbone sau ú c gi n cỏc mụ un phỏt hin. 3.1.2 Mụ hỡnh hp tỏc phõn cp Mụ hỡnh hp tỏc phõn cp chia s thụng tin v hp tỏc v ba cp ca thụng tin, tớnh nng v a quyt nh, sau ú trớch xut cỏc tớnh nng thit yu ca Botnet t nhiu d liu. 3.1.3 Theo dừi da trờn mng v lc lung d liu khụng xỏc nh Hu ht tớnh toỏn chuyờn sõu nht phỏt hin s kt hp Botnet c thc hin da vo s gim t ngt lu lng. Lc lung d liu gim thiu khụng gian tỡm kim Botnet. c im ca lung d liu IRC xỏc nh lm th no chỳng ta cú th phõn tỏch kờnh ch huy v iu khin t lu lng truy cp Internet khỏc. gim bt d liu, chuyn i chui cỏc gúi tin liờn tip thnh lung d liu túm tt, v sau ú xỏc nh mt h thng ỏng ng. 3.1.4 Phỏt hin qua dng email C ch phỏt hin Botnet cú th da trờn phõn tớch dng email. Email cú th c c trng bng cỏch bt chc ngi kim tra trc quan. Mt cỏc dng email thu c sau ú s dng chỳng to du hiu phỏt hin Botnet. 3.1.5 Phõn tớch tng tỏc email khỏch Email cú kh nng cung cp kờnh ch huy v iu khin tng hỡnh. Thụng ip cú th c ngy trang tinh vi cha mt c ch Botnet m cú th t ng thc hin 43 khụng cn tng tỏc ca ngi dựng ti email khỏch v cú kh nng n mỡnh vi c ch phỏt hin. ỏnh giỏ kh nng ca Botmaster, hai kờnh ch huy v kim soỏt c thit k mó húa dũng lnh email. S liờn lc sau ú trờn kờnh thụng tin liờn lc email gia Bot v Botmaster cho phộp truy cp m khụng cn xỏc thc hoc hn ch no. 3.1.6 B lc th rỏc thụng qua phõn tớch header email Phng phỏp ny s phõn tớch cỏc trng phn header ca email ỏnh giỏ email ú l email thụng thng hay l spam[18]. Spam thng cú mt s c im nh: trng trng From: hoc trng To: Trng From: cha a ch email khụng tuõn theo cỏc chun RFC. Cỏc URL phn header v phn thõn ca thụng ip cú cha a ch IP c mó húa di dng h hex/oct hoc cú s kt hp theo dng username/password. Phn tiờu ca email cú th cha a ch email ngi nhn cỏ nhõn húa email ú. Lu ý s dng tớnh nng ny vi cỏc a ch email dựng chung cú dng nh sales@company.com. Vớ d mt khỏch hng phn hi bng cỏch s dng tớnh nng auto-reply vi tiờu your email to sales cú th b ỏnh du l spam. Gi ti mt s lng rt ln ngi nhn khỏc nhau. Ch cha nhng tin nh m khụng cha cỏc t ỏnh la cỏc b lc. S dng ngụn ng khỏc vi ngụn ng m ngi nhn ang s dng. 3.1.7 Phõn bit lu lng IRC chun v Botnet da trờn IRC Phng phỏp phỏt hin ny phõn bit lu lng gia IRC chun v Botnet da trờn IRC. nhúm cỏc hnh vi ca cựng mt Bot, mt lung d liu lu lng tng quan c s dng. u tiờn, s dng phng phỏp lc c bn, sau ú tng hp cỏc lung d liu thnh lung d liu liờn lc. Sau ú, cỏc tớnh nng liờn quan c trớch xut t cỏc lung d liu ú v mi liờn h c thit lp da trờn thụng tin nhn c. 3.1.8 Kim tra Turing Mt phng phỏp c Google s dng xỏc nh v phõn bit ngi dựng hp phỏp v chng trỡnh Bot bng cỏch hng ngi dựng cú k hoch truy cp trang web ó b tn cụng n mt nhúm nỳt. Cỏc nỳt ny s thc hin th tc xỏc thc, 44 ngi dựng c yờu cu phi hon thnh mt bi kim tra Turing trc t c quyn truy cp vo trang web. Google cú th giỳp xỏc nh lu lng truy cp c gi bi cụng c tỡm kim hp l. 3.1.9 Phng phỏp tip cn Bayesian Cỏch tip cn Bayesian s dng mt mng Naùve Bayes phõn loi cỏc phiờn HTTP ca nht ký truy cp mỏy ch Web ngi hay crawler to ra[16]. Mng Bayesian kt hp cỏc phn khỏc ca du hiu c th hin trờn nht ký truy cp phõn bit lu lng HTTP ca ngi hay ca crawler. Thut toỏn ca h thng phỏt hin Bot da trờn phng phỏp tip cn Bayesian: Phõn tớch nht ký truy cp v xỏc thc phiờn. Cỏc c im ca phiờn c la chn s dng nh cỏc bin mng Bayesian. Xõy dng cu trỳc mng Bayesian. Learning: (a) Gỏn nhón hp cỏc mu hun luyn. Ti bc ny, cỏc phiờn c phõn loi thnh hai lp (phiờn cú ngun gc t crawler v phiờn cú ngun gc t human), mi lp l mt hp cỏc mu hun luyn. (b) Hc cỏc thụng s cn thit ca mng Bayesian bng cỏch s dng hp mu hun luyn c ly t bc (a). (c) Xỏc nh s lng mng Bayesian bng cỏch s dng cỏc thụng s hc. Phõn loi: chỳng ta trớch xut cỏc c trng ca mi phiờn v s dng cỏc c trng ú nh l du hiu chốn vo mụ hỡnh mng Bayesian. Gi s cú ớt nht mt Bot Botnet c bit n, bng cỏch s dng phng phỏp tip cn Bayesian, chỳng ta tỡm cỏc mỏy ch khỏc vi lu lng DNS tng t. T ú cú th thu thp c lu lng DNS ca mỏy ch b nhim. 3.1.10 BloBot BloBot l mt cụng c phỏt hin Botnet thi gian thc v phớa ngi s dng. Lc kt ni ngi dựng ngoi. BLOBOT phõn tớch lu lng sinh t ngi dựng n, c gng phỏt hin bt thng cho thy s hin din ca Botnet. BloBot phỏt hin c c mng ch huy v iu khin da trờn HTTP v IRC. Gim hng lot lu lng truy cp c th v thc s hiu qu phỏt hin Botnet thi gian thc. 3.1.11 Truy vt 45 Truy vt t mỏy tớnh nn nhõn n Bot v t Bot n mỏy ch ch huy v kim soỏt. ỏnh giỏ t l truy vt thnh cụng ca Bot x lý trờn mỏy tớnh cỏ nhõn b xõm nhp. Thu thp h s truy cp ca Bot v mụ t cu trỳc liờn kt Botnet cho thy cỏc mỏy ch ch huy v kim soỏt ang hot ng. 3.1.12 H thng honeypot Honeypot an ninh h thng mng cp n h thng mỏy tớnh c s dng nh mt cỏi by thu hỳt s chỳ ý ca nhng k tn cụng tn cụng h thng mỏy tớnh ny. Honeypot khụng cú bt k giỏ tr sn xut no, õy ch l h thng ti nguyờn thụng tin, cú th gi dng bt c loi mỏy ch ti nguyờn no nh Mail Server, Domain Name Server, Web Server, . Tt c cỏc tng tỏc gia honeypot v h thng khỏc u ỏng ng, cn phi iu tra. K thut ny rt hiu qu vic thu thp v theo dừi Botnet, cung cp phõn tớch y v iu tra hnh vi ca Bot cng nh tin nh phõn nghiờn cu. Honeypot s tng tỏc trc tip vi tin tc, thụng tin hu ớch Honeypot cú th thu thp c l du hiu ca Bot; thụng tin ca mỏy ch/c ch ch huy v kim soỏt Botnet; l hng bo mt cha c bit cho phộp Bot thõm nhp vo h thng mng; cụng c v k thut k tn cụng s dng; ng c ca k tn cụng. 3.2 Khuyn ngh Phũng th chng li vic lõy nhim v tn cụng ca Bot chia lm ba giai on chớnh: phũng chng, phỏt hin v x lý[5]. Phũng chng: giai on ny a cỏc bin phỏp cho ngi dựng v ngi qun tr h thng cú th s dng ngn chn h thng mỏy tớnh cỏ nhõn hay h thng mng chng li s lõy nhim ca Bot c hi. Phỏt hin: bin phỏp m ngi dựng thụng thng hay ngi qun tr h thng cú th s dng xỏc nh hnh vi ca Bot c hi trờn mỏy tớnh cỏ nhõn hoc mng. X lý: giai on ny a cỏc hnh ng m ngi dựng hay nh qun tr h thng cú th s dng x lý mỏy tớnh cỏ nhõn hay h thng mng b lõy nhim Bot/Botnet. 3.2.1 i vi ngi dựng cỏ nhõn Phũng chng: Tn cụng Botnet ch yu c thc hin qua cỏc loi sõu mỏy tớnh, dũ quột trờn mng tỡm kim l hng thõm nhp c. Do ú, bc u tiờn l phi 46 thng xuyờn cp nht, ti v cỏc bn vỏ v bn update h thng cho c h iu hnh cng nh cỏc ng dng truy cp Internet. Thao tỏc an ton truy cp mail, web, chat, . nh khụng lu li mt khu. Cn thn m tin ớnh kốm email. Dựng ớt nht mt chng trỡnh dit virus, trojan v luụn cp nht phiờn bn mi nht. S dng tng la chn tt c cỏc kt ni t Internet vi cỏc dch v khụng c cụng b cụng khai.Theo mc nh phi t chi tt c cỏc kt ni gi n v ch cho phộp dch v ó bit rừ rng. Thc thi chớnh sỏch mt khu. Mt khu phc khú b crack tin mt khu trờn mỏy tớnh b xõm nhp. iu ny giỳp ngn nga hoc hn ch thit hi mỏy tớnh b tn thng. m bo cỏc chng trỡnh v ngi s dng mỏy tớnh dựng mc thp nht cỏc c quyn cn thit hon thnh nhim v. Vụ hiu húa AutoPlay ngn chn s thc thi t ng ca cỏc tin thc thi trờn mng v trờn a di ng. Ngt kt ni n cỏc a khụng cn thit. Nu mc truy cp cho phộp ghi l khụng cn thit, kớch hot ch ch c nu cú tựy chn ny. Tt tớnh nng chia s tin nu khụng cn thit. Nu cn chia s tin, s dng mt khu bo v gii hn truy cp. Vụ hiu húa truy cp vụ danh n cỏc th mc chia s. Tt v loi b cỏc dch v khụng cn thit. Theo mc nh, hiu h iu hnh ci t dch v ph tr khụng quan trng. Nhng dch v ny dn n cỏc cuc tn cụng. Cu hỡnh mỏy ch email ngn chn hoc loi b email cha tin ớnh kốm thng s dng lan truyn cỏc mi e da nh tin .vbs, .bat, .exe, .pif, v .scr. Phỏt hin: Cng mc nh ca IRC l 6667, cng ny cú th b thay i. Dựng lnh netstat an trờn c Windows v Linux kim tra cỏc cng vo m mỏy tớnh ang s dng. Vớ d : C:/windows> netstat an Nu xut hin dũng: TCP a_ch_IP_mỏy_bn IP_mỏy_ch_IRC:6667 ESTABLISHED cú ngha l cú kt ni IRC n a_ch_IP_mỏy_ch_IRC qua cng 6667. Cỏc server IRC cú th lng nghe trờn cỏc cng 6000- 7000 õy cng l cỏch phỏt hin cỏc phn mm giỏn ip khỏc. 47 Phỏt hin tin mi, tin b sa i, ci t phn mm mi hay cú s sa i Microsoft Windows Registry. Bi vỡ sau mỏy tớnh b nhim, mó c s t copy n th mc mt v thay i cu hỡnh mỏy b nhim cho phộp kớch hot t ng mỏy ng. Vớ d trờn nn Windows Bot s thờm thụng tin vo Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVers ion\Run\ cho phộp t ng kớch hot Bot mỏy ng. Phỏt hin thy mỏy tớnh hay mng chm hn. Cú nhiu nguyờn nhõn nhng kh nng cao l mỏy ó b nhim phn mm c hi. S dng phn mm chng virus v phn mm giỏn ip cú th phỏt hin v x lý chỳng. Cú th dựng cỏc chng trỡnh quột h thng trc tuyn ca cỏc hóng bo mt ln (nh SYMANTEC). S dng cụng c phỏt hin phn mm c hi. Vớ d Microsoft Process Explorer, xỏc nh nhng tin trỡnh no ang chy trờn mỏy tớnh, v tớnh nng ca tin trỡnh ú. Quan trng hn l to mt khung cỏc tin trỡnh tin tng c so sỏnh vi mỏy tớnh gp trc trc, s c. Cỏc tin trỡnh l ú rt cú th l kh nng gõy s c trờn mỏy tớnh. X lý: Ngt kt ni mng ca mỏy b nhim mó c, trỏnh nguy c nh hng, gõy thit hi n cỏc mỏy cựng mng. Cp nht phn mm dit virus, kim tra xem nh cung cp h iu hnh, phn mm cú bn vỏ li hay khụng. Bi vỡ k tn cụng cú th li dng cỏc l hng mi xõm nhp vo h thng. Nu cỏc chng trỡnh dit virus khụng phỏt hin cú th dựng cỏc cụng c hin th cỏc tin trỡnh ca mỏy tớnh (vớ d process explore, TCP View, ) phỏt hin v dit bng tay. Nu trờn mỏy tớnh lu tr cỏc thụng tin nhy cm nh ti khon ngõn hng, th tớn dng . thỡ cn bỏo cho c quan qun lý th. Bt k mt khu hay d liu an ton c lu tr v s dng trờn mỏy tớnh nờn c gi nh ó b xõm nhp v thay i luụn. D liu ny bao gm mt khu truy cp ISP, FTP, email, website v bt c dch v no khỏc yờu cu ng nhp an ton. Nu cha gii quyt c cn liờn h vi ngi cú k thut x lý. 3.2.2 i vi nh qun tr h thng Phũng chng: 48 Thc hin theo hng dn ca nh cung cp v vic s dng an ton, bn vỏ li v cp nht i vi cỏc ng dng v h iu hnh ó ci t. Thng xuyờn theo dừi, cp nht thụng tin v nhng l hng bo mt mi nht trờn cỏc trang web v bo mt uy tớn nh cert.org v sans.org. Kớch hot ch t ng cp nht bn vỏ li vi cỏc ng dng v h iu hnh ph bin. c bit l trờn mỏy tớnh cung cp cỏc dch v cụng cng v c truy cp thụng qua tng la nh cỏc dch v HTTP, FTP, mail v DNS. Thc hin cỏc x lý an ton trờn cỏc ng dng web ph bin nh dch v mail, trỡnh duyt web, . S dng v thng xuyờn cp nht phn mm dit virus. Ci t phn mm giỏm sỏt h thng, phõn tớch tin log hot ng v truy nhp ca h thng. Phỏt hin: Ngoi nhng k thut phỏt hin i vi ngi dựng thụng thng trờn host, qun tr viờn cú th s dng k thut da trờn mng. Thng xuyờn giỏm sỏt tin log ca h thng s dng, tin log ca h thng giỏm sỏt v phõn tớch lu lng truy cp internet bt thng. tr mng cao hoc lu lng truy cp ln, lu lng truy cp tờn cỏc cng khụng bỡnh thng v hnh vi h thng bt thng cú th ch s hin din ca phn mm c hi. Th tc phỏt hin IRC bt thng l o thi gian phn hi trờn IRC. Ngi bỡnh thng khụng th phn hi nhanh nh phn mm c hi. Phõn tớch log to bi phn mm bt gúi tin trờn mng cú th phỏt hin mỏy ch v kờnh mt ca k tn cụng s dng, bit c mt khu kt ni IRC mó húa hay khụng mó húa. Phỏt hin hng lot cỏc mỏy tớnh ang thc hin cỏc yờu cu DNS tng t, hoc truy cp vo mt mỏy ch ti cựng mt thi im, cú th chc chn rng cú xy ra. Tin hnh quột ton b cỏc mỏy tỡnh nghi cú cha mó c, r soỏt, tỡm v g b backdoor, rootkit. Ci t Honeypot h thng mng vi mc ớch hp dn k tn cụng. Honeypot an ninh h thng mng cp n h thng mỏy tớnh c s dng nh mt cỏi by thu hỳt s chỳ ý ca nhng k tn cụng tn cụng h thng mỏy tớnh ny. Honeypot khụng cú bt k giỏ tr sn xut no, õy ch l h thng ti nguyờn thụng tin, cú th gi dng bt c loi mỏy ch ti nguyờn no nh Mail Server, Domain Name Server, Web Server, . Tt c 49 cỏc tng tỏc gia honeypot v h thng khỏc u ỏng ng, cn phi iu tra. Chỳ ý n cỏc cng ca bt k dch v no d b lõy nhim v khai thỏc. Nu thy nhiu lu lng truy cp trờn cỏc cng 135, 139, 445 (cng chia s d liu trờn windows), cú th cú mó c ang c gng lan truyn thụng qua cỏc cng ú. Chỳ ý n lu lng SMTP ln gi ngoi. c bit l t cỏc mỏy tớnh khụng phi mỏy ch SMTP, rt cú th ch Bot gi th rỏc ó b lõy nhim trờn h thng mng. X lý: Ngoi cỏc bin phỏp x lý ngh cho ngi dựng thụng thng, qun tr viờn h thng cú th bt u hnh ng kim soỏt s lõy lan ca Bot, vớ d nh cụ lp cỏc mng ó b lõy nhim. Duy trỡ d liu v cỏc tin log cú liờn quan nh Tng la, Mỏy ch Mail , IDS, DHCP, proxy, trờn h thng b lõy nhim. S dng phn mm bt gúi tin phõn tớch cỏch thc hot ng ca Bot, phỏt hin cỏc mỏy b lõy nhim, ngun gc ca ni phỏt lnh, Liờn h cỏc trung tõm x lý s c mỏy tớnh, cỏc trung tõm an ninh mng cựng phi hp gii quyt. 50 XU HNG Trong nm 2010, nhng cỏch thc mi qun lý cỏc mng Botnet xut hin, ngoi vic s dng cỏc giao thc truyn thng nh IRC v P2P, hay hin i hn thụng qua HTTP. Trong cỏc phng phỏp qun lý Botnet trc ú tn ti, xut hin xu hng qun lý Botnet mi s dng giao thc web. Bờn cnh vic gim cỏc mng Botnet thụng qua P2P, mt t l cao (30%) cỏc phng phỏp qun lý Botnet c ỏo, s ú cú l s tng nm tip theo, c bit l phng phỏp qun tr thụng qua cỏc mng xó hi. Thc t ngy khụng s dng Internet m khụng cn tỡm kim web hoc s dng mt s trang mng xó hi. Bng cỏch cụng khai cỏc entry ti khon Twitter hay Facebook, k tn cụng cú th khin tt c cỏc mỏy tớnh zombie theo dừi cỏc ch th lnh ca mỡnh, nh gi th rỏc, thc thi tin, thc hin tn cụng t chi dch v, . Theo cỏch ny, kh nng ca Botmaster gi ch th lnh n Bot zombie trc tip t thit b di ng c thc hin d dng hn. D kin cỏc nm tip theo kiu Botnet ny s thng xuyờn c thy hn v c iu khin bng cỏch phng phỏp c ỏo, c bit l thụng qua mng xó hi, t cỏc mng ú khụng b chn bi nh cung cp Internet ca nn nhõn. S lõy nhim v lan truyn: s lng Botnet ngy tng, ng thi vi nú s nỳt (zombie) ca Botnet cng tng lờn. Cỏc Botnet ngy cng tinh vi hn. Cỏc cụng c phỏt tỏn cng tinh vi v nguy him hn. c bit l cỏc cụng cu c phỏt trin cho phộp t ng phỏt hin l hng v lõy nhim mó c. Mc ớch s dng: mc ớch chớnh l DDoS, Spam mail, ly chm thụng tin cỏ nhõn, lm h thng chia s tin, phn mm, 51 KT LUN Qua quỏ trỡnh tỡm hiu v Botnet, mc ớch s dng mng Botnet ca k tn cụng, v cỏc c ch iu khin Botnet, khúa lun ó a mụ hỡnh th nghim v xõy dng h thng Botnet da trờn mỏy ch IRC. V mt ni dung, khúa lun ó t c kt qu sau õy: Gii thiu tng quan v Bot/Botnet v nhng khỏi nim liờn quan. Mc ớch s dng Botnet v cỏc c ch iu khin Botnet in hỡnh. a cỏc yu t liờn quan n cuc tn cụng. Mụ t chi tit v quỏ trỡnh lõy nhim v cỏc bc iu khin Botnet. Vớ d c th xõy dng mng IRC Botnet. T ú hiu c phn no v cỏch xõy dng cng nh phng thc hot ng ca Botnet. Cung cp cỏc gii phỏp c s dng lnh vc phỏt hin Botnet. Da vo cỏch thc lõy nhim Botnet, a khuyn ngh cho ngi dựng v ngi qun tr h thng cú th phũng chng, phỏt hin v x lý mỏy tớnh hay h thng ca mỡnh. Hn ch: Tuy nhiờn, Botnet l mt lnh vc khỏ rng v khú, phỏt trin liờn tc. Do hn ch v mt thi gian v kin thc nờn khúa lun cũn tn ti nhng hn ch sau: Khúa lun s dng mó ngun Bot c chia s xõy dng h thng IRC Botnet. Khúa lun mi ch tin hnh thc nghim c trờn mt c ch iu khin Botnet. Cha i sõu vo phng phỏp c th phỏp hin Botnet. nh hng nghiờn cu tip theo: i sõu vo phng phỏp c th phỏt hin Botnet cú th ng dng thc t. Tỡm hiu c ch qun lý Botnet mi v tỡm cỏch phũng chng. 52 TI LIU THAM KHO Ting Anh [1] Franỗois Bộgin, "BYOB: Build Your Own Botnet and learn how to mitigate the threat posed by Botnets", the SANS Institute Reading Room site, 27th July 2011, pp. 3-4 [2] Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross, "Botnets - The Killer Web App", pp. 42-44, 51-52, 55-56, 61 [3] Nicholas Lenelli, Aaron Hackworth, "Botnets as a Vehicle for Online Crime", December 1, 2005, pp. 7, 16-17, 17-19, 20 [4] Ping Wang, Baber Aslam, Cliffi C. Zou, School of Electrical Engineering and Computer Science, University of Central Florida, Orlando, Florida 32816, "Peer-to-Peer Botnets: The Next Generation of Botnet Attacks" [5] Ramneek Puri, "Bots & Botnet: An Overview", August 08, 2003, pp. 4-9, 1114 [6] David Harley & Tony Bradley, Big Bad Botnets, Syngress, 2007, pp. 165 [7] ESET Latin America's Lab, "Trends for 2011: Botnets and Dynamic Malware", November 22nd, 2010, pp. 8-9 [8] Mahathi Kiran.Kola, "Botnets: Overview and Case Study", 2008, pp. 7-8 [9] National Computer Emergency Response technical Team/Coordination Centre of China (CNCERT/CC), "Guide on Policy and Technical-Approaches against Botnet", Security & Prosperity Steering Group (SPSG) Meeting, Lima, Peru, 12-17 October 2008, pp. 18-21 [10] 2011 2nd International Conference on Networking and Information Technology IPCSIT vol.17 (2011) â (2011) IACSIT Press, Singapore, "IRC Botnet Major Issues and Solutions", pp. 345-347 Cỏc ngun trờn Internet [11]http://www.pcworld.com/businesscenter/article/250971/malware_increasingl y_uses_dns_as_command_and_control_channel_to_avoid_detection_experts_sa y.html [12] http://www.honeynet.org/node/53 53 [13] http://forum.trendmicro.net.vn/viewtopic.php?f=32&t=1611 [14] http://www.quantrimang.com.vn/m/bao-mat/84677.aspx [15] http://en.wikipedia.org/wiki/Form_(computer_virus) [16] http://www.slideshare.net/parinita83/Bot-detection-algorithm [17] http://en.wikipedia.org/wiki/Stoned_(computer_virus) [18]http://www.athena.com.vn/?vnTRUST=mod:news%7Cact:detail %7Cnewsid:1162 [19] http://en.wikipedia.org/wiki/Michelangelo_(computer_virus) [20] http://en.wikipedia.org/wiki/Virus_Creation_Laboratory [21] http://en.wikipedia.org/wiki/Happy99 [22] http://en.wikipedia.org/wiki/Code_Red_(computer_worm) [23] http://www.honeynet.org/node/52 [24] http://en.wikipedia.org/wiki/Agobot [25] http://en.wikipedia.org/wiki/Sobig [26] http://www.protectorplus.com/virus_info/worms/fizzer.htm [27] http://en.wikipedia.org/wiki/Mydoom [28] http://en.wikipedia.org/wiki/Sasser_(computer_worm) [29] http://en.wikipedia.org/wiki/Cabir_(computer_worm) [30] http://www.f-secure.com/v-descs/haxdoor.shtml [31] http://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal [32] http://en.wikipedia.org/wiki/Storm_botnet [33] http://en.wikipedia.org/wiki/Conficker [34] http://en.wikipedia.org/wiki/Stuxnet [35] http://en.wikipedia.org/wiki/Duqu 54 [...]... gia vào và dựa trên một mạng P2P; Botonly P2P Botnet, đề cập đến Botnet nằm trong một mạng độc lập Cơ chế chỉ huy và điều khiển Botnet 29 Cơ chế chỉ huy và điều khiển Botnet là phần chính trong thiết kế một Botnet Cơ chế này trực tiếp xác định cấu trúc liên kết của một Botnet, và do đó ảnh hưởng đến sức mạnh của một Botnet, chống lại lỗi mạng, giám sát an ninh và phòng thủ Botnet truyền thống, như Botnet. .. hành động kết nối Botnet nào nữa Bởi vì Botnet cư trú trong mạng P2P, các Bot có thể tìm thấy và giao tiếp với nhau thông qua giao thức P2P đó Như vậy mạng Botnet đã xây dựng xong, sẵn sàng để Botmaster điều khiển Nếu như tất cả ứng viên Bot được lựa chọn từ mạng P2P thì việc xây dựng Botnet P2P rất đơn giản, Botnet này được gọi là "parasite P2P Botnet" Tuy nhiên, quy mô của một Botnet parasite bị... một vài Bot Như ở hình 4, Botnet P2P không có máy 26 chủ trung tâm, các Bot được kết nối với mỗi topo khác và hoạt động như một máy khách để nhận lệnh hoặc như một máy chủ để phát tán lệnh Botnet P2P đã chỉ ra được những lợi thế vượt trội Botnet tập trung truyền thống Là thế hệ tiếp theo của Botnet, Botnet P2P mạnh hơn và khó khăn hơn đối với đội ngũ an ninh mạng Hình 1.5: P2P Botnet Xây dựng Botnet. .. điều khiển Botnet Botnet được xem là một trong những mối đe dọa an ninh nghiêm trọng nhất hiện nay Sự khác biệt đáng chú ý nhất giữa Botnet và các phần mềm độc hại truyền thống khác là kênh chỉ huy và điều khiển Botnet Kênh chỉ huy và điều khiển Botnet tương đối ổn định và không thay đổi giữa các Bot, đây là cơ chế cần thiết cho phép Botmaster chỉ đạo hành động của các Bot trong Botnet Ban đầu Botnet chỉ... Internet) sẽ trao đổi danh sách nút của họ để xây dựng danh sách mới Bằng cách này, Botnet P2P tránh thủ tục bootstrap dựa trên danh sách mã hóa cứng Phân loại Botnet P2P Dựa trên việc lựa chọn ứng viên Bot và mạng Botnet tham gia, Botnet P2P có thể chia thành ba loại: parasite P2P Botnet, đề cập đến Botnet mà máy chủ dễ bị tổn thương nằm trong mạng P2P; leeching P2P Botnet, các Bot được chọn từ khắp nơi trên... hạn trong mạng Botnet dựa trên IRC, và Bot là phần mềm Trojan hoặc backdoor Cùng với các giao thức mạng khác được tin tặc sử dụng trong Botnet, các nhà nghiên cứu nhận ra bản chất của Botnet, cơ chế chỉ huy và điều khiển ngày càng nhiều Kênh chỉ huy và điều khiển có thể là máy chủ IRC, máy chủ Web, các nút trong cấu trúc mạng Peer-to-Peer, các máy chủ DNS, v.v 1.4.1 Chỉ huy và điều khiển Botnet sử dụng... về quá trình xây dựng một hệ thống Botnet Phần này xây dựng mô hình tấn công đơn giản, cho phép chúng ta quan sát và hiểu được cơ chế hoạt động của chương trình chỉ huy và điều khiển Hai máy tính được sử dụng Cả hai máy đều sử dụng Hệ điều hành Windows XP3 ảo trên VMware Workstation Máy-một dùng để điều khiển Botnet, cài phần mềm “Visual Studio 2010 untimate x86” để biên dịch mã nguồn Bot và một text... nhiên, cơ chế chỉ huy và điều khiển Botnet này tương đối lỏng lẻo, Botmaster không kiểm soát được các Bot, bởi vì có một độ trễ khi Botmaster gửi lệnh và khi Bot nhận lệnh 1.4.3 Chỉ huy và điều khiển Botnet theo cơ chế Peer-to-Peer Botnet peer-to-peer (P2P) (ngang hàng) là Botnnet có cơ chế chỉ huy và điều khiển dựa trên P2P[4] Cũng giống như các mạng P2P, sự giao tiếp trong Botnet P2P sẽ không bị... Botnet dựa trên IRC, là Botnet tập trung, chúng có một vài máy chủ trung tâm để tất cả các Bot kết nối đến và nhận lệnh Botnet P2P có mô hình chỉ huy và điều khiển dựa trên P2P, không có máy chủ trung tâm Mỗi thành viên Bot vừa hoạt động như một máy chủ phân phối lệnh, vừa như một máy khách nhận lệnh Vì thế Botnet P2P đàn hồi hơn so với Botnet tập trung truyền thống Cơ chế chỉ huy và điều khiển có thể... tìm ra chính xác các máy tính bị nhiễm và loại bỏ Bot 1.4.2 Chỉ huy và điều khiển Botnet dựa trên nền Web Khi các nhà nghiên cứu an ninh mạng chú ý hơn đến các Botnet dựa trên máy chủ IRC, các tin tặc dần dần bắt đầu sử dụng giao thức HTTP trong cấu trúc điều khiển Botnet, để ẩn mình tốt hơn và tránh bị phát hiện Giao thức dựa trên HTTP cũng cung cấp cơ chế chỉ huy và điều khiển tập trung, nhưng Botmaster