Nhắc đến Botnet có rất nhiều định nghĩa nhưng về cơ bản, các định nghĩa này đều mang chung một tư tưởng. Do đó, Đồ án sử dụng định nghĩa dưới đây để phù hợp với hướng tiếp cận của đề tài:“Botnet là khái niệm đề cập tới một tập hợp các máy tính bị lợi dụng chịu sự điều khiển của các hackers, nhằm phục vụ cho các ý đồ xấu xa của các cá nhân này.” Trong đó, các hackers điều khiển còn được gọi là các Bot Masters hay các Bot Helders, thành phần được cài đặt ngầm trong các máy tính người sử dụng để các Bot Masters có thể thao túng được các máy tính này là các Bot, đây là các malware có kịch bản tấn công tùy biến phụ thuộc vào những câu lệnh từ phía điều khiển. Một thành phần khác của Botnet cũng không kém phần quan trọng, đó là các CC Server (Command Control Server) là server hỗ trợ các Bot Masters điều khiển cả mạng Botnet. Thông qua các server này, các Bot Master đưa ra các câu lệnh điều khiển tới các bot nhằm lợi dụng máy tính người dùng đi thực thi những khai thác nguy hiểm.
MỤC LỤC MỤC LỤC MỞ ĐẦU PHẦN I: ĐẶT VẤN ĐỀ VÀ ĐỊNH HƯỚNG GIẢI PHÁP .5 CHƯƠNG – TỔNG QUAN VỀ BOTNET Định nghĩa Botnet .6 Phân loại Botnet Cài đặt Botnet Các hình thức công sử dụng Botnet .9 Phát tán lây nhiễm Botnet .11 CHƯƠNG – GIỚI THIỆU ĐỀ TÀI & CỞ SỞ LÝ THUYẾT .13 Giới thiệu đề tài 13 1.1 Mục tiêu đề tài 13 1.2 Các vấn đề cần giải .13 1.2.1 Khái niệm Botnet Tracking 13 1.2.2 Các phương pháp Botnet Tracking có 13 Cơ sở lý thuyết 16 2.1 Tóm tắt lý thuyết Tracking Botnet 16 2.2 Tóm tắt lý thuyết Bot Milkers 18 Công cụ sử dụng 19 PHẦN 2: NGHIÊN CỨU VÀ NHỮNG KẾT QUẢ ĐẠT ĐƯỢC 20 CHƯƠNG – PHÂN TÍCH LÝ THUYẾT & MÔI TRƯỜNG TRIỂN KHAI 21 Đánh giá phương pháp Tracking Botnet cũ 21 Phân tích hai lý thuyết Tracking Botnet Bot Milkers 22 2.1 Phân tích lý thuyết Tracking Botnet 22 2.2 Phân tích lý thuyết Bot Milkers 23 Môi trường triển khai Công ty An ninh Mạng Bkav .24 CHƯƠNG 4: XÂY DỰNG HỆ THỐNG BOTNET TRACKING 26 Mô hình hệ thống Botnet Tracking 26 1.1 Thành phần Collecting 27 1.2 Thành phần Analyzing 28 1.2.1 Phân tích theo hành vi 28 1.2.2 Phân tích theo mã/phân tích nhị phân 30 1.2.3 So sánh hai phương pháp 31 1.3 Thành phần Tracking 32 Mở rộng khái niệm Bot Milkers cho Botnet Tracking Framework 34 Xây dựng Botnet Tracking Framework .37 3.1 Xác định yêu cầu cho Framework 39 3.2 Thiết kế thành phần Botnet Tracking Framework 39 3.3 Tài liệu tra cứu Botnet Tracking Framework 42 3.4 Thử nghiệm Framework 42 Đánh giá 45 4.1 Đánh giá Framework 45 4.2 Đánh giá hệ thống Botnet Tracking 46 Tổng kết 46 PHẦN 3: KẾT LUẬN VÀ ĐỊNH HƯỚNG PHÁT TRIỂN 47 Những công việc thực 48 Những công việc chưa thực .48 Khó khăn hạn chế 49 Định hướng phát triển 50 4.1 Botnet Tracking Framework 50 4.2 Hệ thống Botnet Tracking .50 TÀI LIỆU THAM KHẢO .53 PHỤ LỤC 53 BOTNET TRACKING FRAMEWORK API 54 MỞ ĐẦU Ngày nay, nhắc đến Botnet, nhắc đến hiểm họa Internet Tấn công từ chối dịch vụ web site tổ chức, phát tán thư rác với số lượng lớn, thu thập thông tin cá nhân người dùng v…v… hành vi nguy hiểm thường thấy Botnet Các nạn nhân Botnet không ngừng gia tăng số lượng ngày lớn Theo thống kê tổ chức DAMBALLA hiểm họa Internet năm 2010, 50 tuần theo dõi tính từ thời điểm đầu năm 2010, số nạn nhân hiểm họa Botnet tăng tới 654%, với tần suất trung bình tuần 8% Các công sử dụng Botnet ngày trở nên phổ biến với nhiều thủ đoạn hình thức công Chính vậy, thiệt hại Botnet gây trở thành mối lo với nhà chức trách nói riêng cộng động người sử dụng Internet nói chung Ngay năm kỷ 21, với đời nhiều mạng Botnet năm, nhiều nghiên cứu nhằm làm giảm thiệt hai Botnet gây đề xuất triển khai Trong số đó, Botnet Tracking phương pháp hiệu việc theo dõi Botnet, dò vết thu thập thông tin hỗ trợ giảm thiểu thiệt hại mối hiểm họa Nằm đội phát triển dự án nghiên cứu Botnet thuộc công ty An ninh mạng Bkav, nhằm đưa giải pháp ngăn chặn giảm bớt thiệt hại Botnet gây ra, "Nghiên cứu phát triển hệ thống Botnet Tracking theo dõi giám sát mạng Botnet" đề tài em lựa chọn làm Đồ Án Tốt nghiệp Trong phạm vi đồ án, em thực tìm hiểu lý thuyết xoay quanh Botnet Tracking ứng dụng để xây dựng hệ thống Botnet Tracking phù hợp với môi trường triển khai công ty An ninh mạng Bkav Kết thúc đồ án, em thực xây dựng Botnet Tracking Framework thành phần hệ thống Botnet Tracking Về bố cục, đồ án chia thành phần: Phần I: Đặt vấn đề định hướng giải pháp – giúp người đọc có nhìn tổng quan Botnet khái niệm có liên quan Song song với số phương pháp Tracking Botnet lý thuyết sử dụng để theo dõi Botnet tính tới thời điểm Phần II: Nghiên cứu kết đạt – đồ án phân tích ưu nhược điểm phương pháp triển khai cũ, kết hợp phát triển số lý thuyết phương pháp Tracking cũ để đưa mô hình hệ thống Botnet Tracking phù hợp với môi trường triển khai công ty An ninh mạng Bkav Trong mục cuối, đồ án trình bày thiết kế phát triển thành phần quan trọng hệ thống Botnet Tracking Framework, tảng hỗ trợ phát triển Tracker theo dõi Botnet Phần III: Kết luận – Người đọc biết tới định hướng tiềm ứng dụng, tích hợp hệ thông Botnet Tracking đề xuất thực tế Được thực khung thời gian giới hạn, đồ án không khỏi hạn chế thiếu sót, tác giả đồ án mong nhận ý kiến góp ý người đọc để nghiên cứu hoàn thiện PHẦN I: ĐẶT VẤN ĐỀ VÀ ĐỊNH HƯỚNG GIẢI PHÁP Nội dung chính: - Chương 1: Tổng quan Botnet Chương 2: Giới thiệu đề tài & Cơ sở lý thuyết CHƯƠNG – TỔNG QUAN VỀ BOTNET Định nghĩa Botnet Nhắc đến Botnet có nhiều định nghĩa bản, định nghĩa mang chung tư tưởng Do đó, Đồ án sử dụng định nghĩa để phù hợp với hướng tiếp cận đề tài: “Botnet khái niệm đề cập tới tập hợp máy tính bị lợi dụng chịu điều khiển hackers, nhằm phục vụ cho ý đồ xấu xa cá nhân này.”1 Trong đó, hackers điều khiển gọi Bot Masters hay Bot Helders, thành phần cài đặt ngầm máy tính người sử dụng để Bot Masters thao túng máy tính Bot, malware có kịch công tùy biến phụ thuộc vào câu lệnh từ phía điều khiển Một thành phần khác Botnet không phần quan trọng, C&C Server (Command & Control Server) server hỗ trợ Bot Masters điều khiển mạng Botnet Thông qua server này, Bot Master đưa câu lệnh điều khiển tới bot nhằm lợi dụng máy tính người dùng thực thi khai thác nguy hiểm Hình 1: Mô hình mạng Botnet thường gặp Phân loại Botnet Trước đây, Botnet phân loại theo hai kiểu: Theo giao thức (Protocol): gửi nhận Bot phía C&C Server để thực giao tiếp thành phần Thường thấy nay, Botnet sử dụng hai giao thức truyền tải siêu văn HTTP (HyperText Transfer Protocol) giao thức thường sử dụng để trò chuyện qua Internet IRC (Internet Relay Chat) Khái niệm tổng hợp ý nghĩa từ định nghĩa wikipedia Hình 2: Mô hình tập trung Hình 3: Mô hình phân tán Theo kiến trúc mạng Botnet: có hai mô hình mô hình tập trung mô hình phân tán (như hình) Trong đó, với kiến trúc tập trung, quyền điều khiển phía C&C Server đảm nhiệm, Bot kết nối lên C&C Server nhận lệnh thực thi Ngược lại với kiến trúc kiến trúc phân tán, Bot giao tiếp với để nhận câu lệnh điều khiển không qua C&C Server, kiến trúc giúp Bot Master trì quản lý nhiên, dễ bị “cướp Bot” (một Anti-Bot gửi câu lệnh giả mạo tới Bot khác nhằm thay đổi điều khiển) Tuy nhiên, Botnet phức tạp nhiều: Không đơn loại mà thường kết hợp nhiều kiểu cải tiến số loại nên Botnet ngày nguy hiểm khó phát Cài đặt Botnet Trước đây, Botnet công cụ hacker “lâu năm” phát triển sử dụng vào mục đích như: hoạt động công thương mại “ngầm” 3, hacker đóng vai trò trung gian điều khiển công đối tượng mục tiêu yêu cầu: Những hackers có nhiều năm kinh nghiệm Các hoạt động công công từ chối dịch vụ, phát tán thư rác, lừa đảo … thực hình thức thương mại Hình 4: Hackers điều khiển Botnet phát tán thư rác thuê Ngày nay, với phát triển ngôn ngữ lập trình công cụ hỗ trợ, Botnet phát triển dạng công cụ với đầy đủ tính hỗ trợ xây dựng điều khiển thành phần mạng Botnet Các công cụ gọi Botnet Toolkits (hay Botnet Kits), rao bán, chia sẻ diễn đàn kênh thông tin ngầm Giá công cụ đa dạng, vài chục đô la là vài trăm, vài nghìn đô la: Hình 5: Công cụ hỗ trợ xây dựng botnet Spy Eye v1.0 Giá công cụ phiên 500$, nhiên thêm số tính mở rộng giá lên tới 1000$ Việc phần giải thích cho tính phổ biến Botnet nay: thành phần điều khiển trước hackers có kinh nghiệm, có cá nhân chưa ý thức mức độ nguy hiểm Botnet, sử dụng Botnet công cụ chọc phá người sử dụng khai thác đáp ứng nhu cầu cá nhân Các hình thức công sử dụng Botnet Các hình thức công Botnet đa dạng liên tục thay đổi, cập nhật phương thức ngày nguy hiểm hơn, tiến trước Trong đó, phổ biến hình thức công sau: Tấn công từ chối dịch vụ (DDoS Attack): cách huy động số lượng lớn máy tính ma4 mạng Botnet vét cạn tài nguyên máy tính Các máy tính thường máy chủ đặt website, máy chủ điều khiển công ty, doanh nghiệp … Hình 6: Sử dụng Botnet để công DDoS Phát tán thư rác (Spam Mails): Botnet Master lợi dụng máy tính ma để tăng hiệu việc phát tán thư rác đặc biệt phạm vi số lượng Một kịch thường thấy Botnet sử dụng để phát tán thư rác giả mạo nguồn gửi email nạn nhân mạng Botnet gửi tới bạn bè danh sách liên hệ (Contact Books) họ Lợi dụng tin tưởng người dùng với email đến từ bạn bè, người thân, kịch thực thành công, làm tăng số nạn nhân hiểm họa spam mail lên số tính đơn vị triệu người tuần Zombie Computer Hình 7: Sử dụng Botnet để phát tán thư rác (số lượng hiệu tăng lên gấp bội) Lừa đảo trực tuyến (Phishing): hình thức hacker sử dụng để đưa thông báo, thông tin thật nhằm lừa nạn nhân chia sẻ thông tin tài khoản, thông tin thẻ tín dụng, mật … Thường thấy nay, lừa đảo cách giả mạo thông báo nhà cung cấp dịch vụ tới khách hàng nhằm thu thập thông tin tài khoản người dùng Hình 8: Botnet phát tán FakeAV để lừa người dùng mua quyền (đây hành vi thường thấy Botnet ngày ngay, sử dụng chương trình giả mạo để lừa người dùng mua phần mềm giả mạo nhằm mục đích ăn cắp tài khoản …) Ăn cắp thông tin (Data theft): hình thức công có từ lâu phổ biến Sau cài đặt thành công máy tính nạn nhân, bot thu thập thông tin nhạy cảm máy thông tin cá nhân, thông tin tài khoản, thông tin quyền phần mềm v…v… Theo báo cáo gần đây, hình thức công ngày trở nên nguy hiểm Bot thực hành vi can thiệp sâu vào hệ thống (ghi log bàn phím, bắt gói tin …) nhằm thu thập thông tin máy tính nạn nhân Môi trường triển khai: mô hình đưa thử nghiệm bao gồm hai máy tính có cấu sau: Cấu hình chung: Hệ điều hành: Windows XP Home(32 bit) RAM: 2GB Thư viện lập trình: Microsoft Windows Platform 2008 (Visual C++ 2008) Các cấu hình riêng: Máy tính chứa Trackers: IP: 192.168.7.204 Có kết nối Internet Máy tính chứa thành phần quản lý Tracker – Bot Manager: kèm chức quản lý CSDL FTP Server IP: 192.168.7.50 Có kết nối Internet Quản lý vào cổng 180589 để Tracker gửi nhận thông tin theo dõi CSQL: Microsoft Windows Server 2000 FTP Server: FileZilla Server phiên (03/2011) Hình 26: Mô hinh thực thử nghiệm Kết thử nghiệm: Tên Botnet Thời gian sống Vetor Irc Botnet ngày SpyEye Botnet ngày Mô tả kết C&C Server (Irc Server) không hoạt động, Bot Master thay đổi C&C Server trước thời điểm Tracker hệ thống hoạt động Các C&C Server quan chức có thẩm quyền, can thiệp Block ngrBot Botnet Vietnamese Site DDoS Botnet Các mẫu bot thay đổi định kỳ theo tần suất ngày/Bot thay đổi C&C Server theo tuần Trong thời gian theo dõi, File cập nhật cần thường xuyên phân tích để xác định thông tin Tuy nhiên, tiến hành thử nghiệm nên công tác lược Các hoạt động phát trình Track: Spam thông điệp qua chương trình MSN Messenger, thông điệp chứa đường link giả mạo ảnh mạng xã hội facebook chất mã độc (tần suất link/ngày) Liên tục tải mã độc thực thi máy tính bị nhiễm (tần suất link/ngày) Trong suốt thời gian theo dõi, Bot thực lần cập nhật để thay đổi cấu hình công thay đổi đối tượng công (các website danlambao) Bảng 4: Bảng kết thử nghiệm Đánh giá 4.1 Đánh giá Framework Trong thời gian tháng tiến hành thử nghiệm Framework để theo dõi Botnet thực tế, Framework nhiều bugs lỗi lập trình thiếu thốn hàm, phương thức cung cấp thông tin, tiện dùng nhờ có hỗ trợ tài liệu hỗ trợ Botnet Tracking Framework Documentation phân tích tỉ mỉ, đẩy đủ thông tin, thử nghiệm hoàn tất thu số kết ban đầu khẳng định tính hiệu tư tưởng sử dụng Framework cho việc theo dõi Botnet: Các mã độc cập nhật với sở liệu phần mềm diệt virus Bkav Các địa nguy hiểm (C&C Server, đường link sử dụng để phát tán) đưa vào Firewall submit lên hệ thống phát IP độc hại Safe Browser, WOT36 … Cập nhật đường link độc hại vào CSDL honeypot để tiện cho trình theo dõi sau 36 WOT - Web of Trust 4.2 Đánh giá hệ thống Botnet Tracking So sánh với mô hình Botnet Tracking hệ thống Honeypot giới thiệu tài liệu[2], hệ thống Botnet Tracking đồ án có phần rộng ứng dụng tài nguyên kết nghiên cứu có công ty An ninh mạng Bkav Trên sở mở rộng ý nghĩa triển khai thành phần mô hình hệ thống cũ, hệ thống đưa tổng quát hơn, phù hợp với nhu cầu thực tế hơn: Hình 27: Đối chiếu hệ thống Botnet Tracking cũ (Các thành phần hệ thống không bị giới hạn phạm vi thành phần hệ thống Honeypot nữa) Tổng kết Trong phần này, đồ án thực phân tích xác định mô hình hệ thống Botnet Tracking phù hợp với môi trường triển khai công ty An ninh mạng Bkav bao gồm ba thành phần: Collecting, Analyzing Tracking Trong đó, thành phần Tracking phát triển dựa tảng thư viện Botnet Tracking Framework đồ án thiết kế đặc biệt để đáp ứng nhu cầu theo dõi Botnet Những đề mục cuối chương, đồ án trình bày yêu cầu, thiết kế tiến hành thử nghiệm Framework việc tiến hành theo dõi mẫu Botnet thực tế Những kết ban đầu, khẳng định tính hiệu khả triển khai Framework hệ thống Botnet Tracking đề xuất thực tế PHẦN 3: KẾT LUẬN VÀ ĐỊNH HƯỚNG PHÁT TRIỂN Nội dung chính: - Những công việc thực Những công việc chưa thực Khó khăn hạn chế Định hướng phát triển tương lai Trong thời gian làm đồ án, em cố gắng tìm hiểu Botnet Tracking khái niệm, phương pháp có liên quan Từ đó, ứng dụng kiến thức này, đưa mô hình hệ thống Botnet Tracking phù hợp với môi trường triển khai công ty An ninh mạng Bkav Bên cạnh công việc đồ án đạt được, công việc chưa thực hiện: Những công việc thực Về mặt lý thuyết, đồ án hoàn thành nghiên cứu sau: Mở rộng ứng dụng mô hình Botnet Tracking có 37 vào môi trường triển khai công ty An ninh mạng Bkav, để đưa mô hình Botnet Tracking mới, bao gồm ba thành phần Collecting, Analyzing Tracking, thực tế phù hợp với môi trường nhu cầu công ty An ninh mạng Bkav Cải tiến lý thuyết Bot Milkers có để phù hợp với nhu cầu theo dõi Botnet hệ thống Lý thuyết ứng dụng hệ thống việc lọc hành vi sau phân tích (Analyzing) dựng mô hình Tracker theo dõi mạng Botnet Về mặt ứng dụng: Đồ án tiến hành phân tích, tham khảo tài liệu có, kết hợp với thực tế lấy mẫu mã độc Botnet số máy tính người dùng phạm vi Hà Nội để xác định yêu cầu hành vi chung Botnet Từ đó, phát triển Botnet Tracking Framework tảng chung hỗ trợ cho việc mô Botnet tạo Trackers theo dõi thu thập thông tin loại tội phạm mạng Xây dựng thử nghiệm Botnet Tracking Framework vào việc theo dõi số mạng Botnet thực tế Các thông tin thu ban đầu cập nhật vào phần mềm bảo mật Firewall, Honeypot, Antivirus công ty An ninh mạng Bkav Những công việc chưa thực Bên cạnh công việc đạt được, công việc đồ án chưa thực thiết kế chưa hoàn thiện: Chưa hoàn thiện Botnet Tracking Framework: o Các thông tin “an toàn” hệ thống cung cấp đơn giản chưa đủ để đáp ứng nhu cầu Tracking thực tế đa dạng 37 Mô hình đưa tài liệu Virtual Honeypots: From Botnet Tracking to Instrusion Detection o Framework chưa hỗ trợ việc theo dõi loại Botnet P2P Botnet o Chưa tích hợp module theo dõi Botnet tảng SmartPhone o Tài liệu tra cứu tiếng Việt: tài liệu tra cứu Botnet Tracking Framework thiết kế tiếng Anh, chưa hỗ trợ tiếng Việt để thuận tiện cho việc tra cứu sau o Các phương thức hỗ trợ class Botnet Tracking Framework chưa “thân thiện” chưa có tính chất đóng gói cao o Thiết kế Core Layer Botnet Tracking Framework đơn giản cần cải tiến nhiều đáp ứng nhu cầu theo dõi tất mạng Botnet Các thành phần hệ thống Botnet Tracking đề xuất chưa thử nghiệm để kiểm tra hiệu hoạt động Các bước thực thi hệ thống đề xuất phức tạp cần đơn giản hóa, đặc biệt khâu Phân tích mẫu, lọc hành vi xây dựng kịch cho Tracker Khó khăn hạn chế Trong trình thực đồ án đặc biệt thử nghiệm Botnet Tracking Framework, khó khăn lớn việc phân tích mẫu biến thể Botnet, để đảm bảo đủ thông tin hỗ trợ cho việc triển khai theo dõi Botnet Lựa chọn kết hợp hai phương pháp phân tích, thông tin thu đủ để đáp ứng nhu cầu nhiên công đoạn phân tích theo mã gặp nhiều khó khăn giải thuật mã nguồn sau tiến hành dịch ngược mã Assembly – dạng gần với ngôn ngữ máy nên công việc phân tích có phần vất vả Bên cạnh vấn đề theo dõi C&C Server Botnet: Khi theo dõi Botnet IRC, server Botnet sử dụng Server IRC chuẩn nên kênh thông tin Botnet tạo không hoạt động (Bot Master không sử dụng nữa) phải vài lần theo dõi kiểm tra kết log đăng nhập, xác định trạng thái C&C Server Ngoài ra, số Botnet lợi dụng dịch vụ chia sẻ miễn phí để phát tán mã độc, đặc điểm dịch vụ File liệu chia sẻ không tồn server truy vấn tới liên kết có kết trả Về chất, kết trả thông báo trạng thái liệu không tồn server, kèm theo nhiều đoạn quảng cáo xen lẫn gây khó khăn cho trình theo dõi trạng thái nguồn phát tán mã độc Hiện tại, vấn đề khó phát cần có hướng giải để tối ưu thời gian tài nguyên sử dụng trình theo dõi Botnet sau Định hướng phát triển 4.1 Botnet Tracking Framework Phát triển tài liệu hỗ trợ tiếng Việt để tiện cho trình tra cứu Tìm hiểu cập nhật thêm nhiều module để hỗ trợ nhu cầu theo dõi Botnet đa dạng Chuẩn hóa thiết kế Layer để tiện cho trình phát triển bảo trì Framework sau Liên tục cập nhật thông tin Botnet gói công cụ cài đặt mạng Botnet để Framework đầy đủ thông tin, đáp ứng toán thực tế Cần có công cụ để tự động hóa thao tác phát triển Bot Milkers Trackers nhu cầu theo dõi mạng Botnet tăng cao 4.2 Hệ thống Botnet Tracking Đơn giản hóa bước thực thi hệ thống Botnet Tracking Thử nghiệm tích hợp thành phần đề cập hệ thống Hướng tới hệ thống Botnet Tracking tự động hóa Tích hợp đầu thông tin hệ thống với hệ thống bảo mật thực tế: Hình 28: Giải pháp tích hợp đầu hệ thống Là hệ thống thu thập thông thông tin, hệ thống Botnet Tracking cung cấp nguồn dồi thông tin cho nhiều hệ thống khác, sau số hệ thống: Các Antivirus: Hệ thống cung cấp tập mã độc thu trình theo dõi mạng Botnet Đây nguồn để Antivirus phát triển engine nhận diện, tập chữ ký cho module phát mã độc Các tổ chức An ninh: thông tin C&C Server Botnet Master thu hỗ trợ tổ chức việc phát ngăn chặn loại tội phạm Các tổ chức cung cấp giải pháp duyệt Web an toàn (Web Of Trust, Google Safe Browsing, …): Hệ thống cung cấp tên miền, địa IP nguy hiểm mà Botnet sử dụng để phát tán mã độc để tổ chức ngăn chặn, cảnh báo cho người sử dụng, cung cấp môi trường Internet an toàn, thân thiện cho cộng đồng Các nhà cung cấp dịch vụ chia sẻ (Hosting Provider, FileSharing …): dịch vụ thường xuyên bị hackers lợi dụng để phát tán mã độc mà không bị phần mềm bảo mật phát ngăn chặn Bằng việc cung cấp liên kết độc hại bị hackers lợi dụng tới nhà cung cấp dịch vụ, ngăn chặn Botnet tiếp tục phát tán, lây nhiễm vào máy tính người sử dụng VIRUS PORTALS: hệ thống hỗ trợ tra cứu, thống kê, đưa báo cáo hỗ trợ thuận tiện cho hoạt động theo dõi, xem xét tình hình hoạt động malware virus thời điểm Các thông tin C&C Server, thông tin hoạt động Botnet nguồn tài nguyên hấp dẫn với hệ thống Hệ thống Firewall: hệ thống ngăn chặn truy cập trái phép, cung cấp thông tin công, thông tin IP nguy hiểm, hỗ trợ cho Firewall đảm báo an toàn cho máy tính người sử dụng Hệ thống Honeypot: Nhược điểm hệ thống Botnet Tracking theo dõi thông tin cập nhật mạng Botnet, thông tin thu trình theo dõi trước không quan tâm Tuy nhiên, có khắc phục nhược điểm việc cung cấp thông tin cho hệ thống Honeypot để tiến hành theo dõi lâu dài Bằng cách tích hợp hệ thống an ninh bảo mật với sở liệu thông tin thu từ hệ thống Botnet Tracking, hứa hẹn mô hình hữu hiệu việc giảm thiểu thiệt hại Botnet gây TÀI LIỆU THAM KHẢO Christopher Patrick Lee, Framework for Botnet Emulation and analysis, Ph.D Thesis, Georgia Institute of Technology, May 2009 Niels Provos and Thorsten Holz, Virtual Honeypots: From Botnet Tracking to Intrusion Detection, Addison Wesley Professional, July 16 2007 Chia Yuan Cho, Juan Caballero, Chris Grier, Vern Paxson and Dawn Song, Insights from the Inside:A View of Botnet Management from Infiltration, Proceedings of the Third USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET ’10), San Jose, California, April 2010 Các viết thuật ngữ chuyên môn Wikipedia.org (English & Vietnamese), last visited May 2011 Claus R F Overbeck , “Botspy - Efficient Observation of Botnets”, Hack.Lu Security Conference, 2007 Malware Intelligence , “SpyEye Bot Analysis of a new alternative scenario crimeware SpyEye Bot Analysis of a new alternative scenario Crimeware” Bài báo Bkis Tái cấu tổ chức, http://www.bkav.com.vn/tieu_diem/bkis-tai-cocau-to-chuc-2346/, last visited May 2011 Capture, care and analysis of Malware made easy, http://www.linklogger.com/vm_capture.htm Mega-D botnet, http://en.wikipedia.org/wiki/Mega-D_botnet, last visited May 2011 10 HTTP Header Fields, http://en.wikipedia.org/wiki/List_of_HTTP_header_fields, last visited May 2011 11 RFC 2616 Header Field Definitions, http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html, last visited May 2011 12 IRC Command Help, http://www.irchelp.org/irchelp/misc/ccosmos.html, last visited May 2011 13 Oxygen Documentation, http://www.doxygen.org/index.html, last visited May 2011 14 Top 10 Botnet Threat Report, http://www.damballa.com, 2010 15 Hiếu Tròn, “Botnet quảng cáo mang 2000$ ngày cho chủ”, http://www.thongtincongnghe.com/article/24491, 5-5-2011 16 CodeProject Articles, http://www.codeproject.com, last visited May 2011 17 Rubot in DETERLAB, https://trac.deterlab.net/wiki/RubotSoftware, last visited May 2011 18 Jacqui Cheng, “Botnet master hits the kill switch, takes down 100,000 PCs”, http://arstechnica.com/security/news/2009/05/zeus-botnet-hits-the-kill-switchtakes-down-100000-pcs.ars, 2009 PHỤ LỤC BOTNET TRACKING FRAMEWORK API Hình 29: Các Class hỗ trợ CoreLayer Hình 30: Class Diagram mô Bot thử nghiệm (Bot Layer) Hình 31: Class mô tả Tracker thử nghiệm theo dõi Bot Hình 32: Tra cứu hàm Botnet Tracking Framework ... nghiên cứu Botnet thuộc công ty An ninh mạng Bkav, nhằm đưa giải pháp ngăn chặn giảm bớt thiệt hại Botnet gây ra, "Nghiên cứu phát triển hệ thống Botnet Tracking theo dõi giám sát mạng Botnet" đề... phần mô theo dõi mạng Botnet Ở đề mục sau, em xin đề xuất cải tiến Bot Milkers nhằm ứng dụng theo dõi mạng Botnet thực tế Môi trường triển khai Công ty An ninh Mạng Bkav Công ty An ninh mạng Bkav... niệm Botnet Tracking Về bản, Botnet Tracking đề cập tới việc theo dõi hoạt động thành phần Bot mạng Botnet từ đó, thu thập thông tin cập nhật nhằm xác định giải pháp giảm nhẹ thiệt hại Botnet