2.1. Phân tích lý thuyết Tracking Botnet
Tiến hành phân tích lý thuyết Tracking Botnet đã đề cập ở chương trước, người viết phát hiện một số ưu và nhược điểm sau:
Ưu điểm:
Sử dụng các thành phần sẵn có của hệ thống Honeypot. Có khả năng tự động hóa cao.
Hạn chế được số nhân lực cần sử dụng.
Đáp ứng được nhu cầu Tracking Botnet tại thời điểm đề xuất (Năm 2005, Botnet tại thời điểm này vẫn chủ yếu là Botnet IRC, các Bot vẫn được thiết kế khá đơn giản, chưa có nhiều biện pháp chống phá các hoạt động Tracking Botnet)
Nhược điểm:
Các mẫu thu thập được chỉ trong phạm vi hệ thống Nepenthes của Honeypot, trong khi đó còn nhiều nguồn mẫu khác cũng có thể khai thác.
Trong nhiều trường hợp, phân tích các mẫu malwares theo phương pháp phân tích theo hành vi (sử dụng CWsandbox) có thể không thực thi được hoặc cho các kết quả không đầy đủ, không đáp ứng được nhu cầu.
Hạn chế trong phạm vi hỗ trợ của chương trình BotSpy có thể không đáp ứng được nhu cầu tracking Botnet hiện nay, đặc biệt là các Botnet có sử dụng mã hóa thông tin hoặc trong quá trình trình giao tiếp với server điều khiển. Với các đặc điểm của Botnet hiện nay, mô hình này cần được cải tiến và mở
rộng hơn nữa mới có thể đáp ứng được bài toán thực tế.
2.2. Phân tích lý thuyết Bot Milkers
Như đã đề cập ở chương trước, lý thuyết Bot Milkers có thể ứng dụng rất tốt với Botnet Mega-D và một số mạng Botnet khác nhưng với rất nhiều các mạng Botnet hiện nay có sử dụng chính thông tin thu được những hành vi được định nghĩa là “nguy hiểm” là điều kiện xác thực để có thể nhận các cấu hình điều khiển v…v… thì lý thuyết này có thể không còn hiệu quả nữa.
Ví dụ sau đây là một xác thực của Spyeye Botnet với những thông tin lấy từ máy nạn nhân:
Bot thực hiện gửi Request HTTP sau lên server điều khiển:
nazarethimaging.com/com/bt_version_checker.php?guid=ADMINISTRADOR! MALWARERESEACH!
B850A8A1&ver=10072&stat=ONLINE&ie=6.0.2900.2180&os=5.1.2600&ut=Ad min&cpu=22&ccrc=9038AAB016
Trong ví dụ này, các thông tin mà bot gửi lên để xác thực với server điều khiển là những thông tin nhạy cảm trên máy người dùng, bao gồm:
• guid: là tên tài khoản người dùng17 mà nạn nhân đang đăng nhập và sử dụng.
• ver: là thông tin version của Bot
• stat: là trạng thái kết nối hiện tại
• ie: là thông tin phiên bản phần mềm Internet Explorer trên máy tính.
• os: là phiên bản hệ điều hành Windows (5.1.2600 là phiên bản Windows XP
Service Pack 1).
• ut: là dạng viết tắt của kiểu tài khoản người dùng đang được sử dụng
(Admin=Administrator, Limit=Limited).
• cpu: là trạng thái hiện tại của CPU trên máy tính.
• ccrc: là thông tin về mã CRC của ổ đĩa cứng đang được sử dụng.
Như vậy, có thể thấy trong quá trình giao tiếp, Server điều khiển đã thu thập được rất nhiều các thông tin trên máy nạn nhân. Các thông tin này có thể được sử dụng vào nhiều mục đích khác nhau như:
Điều hướng tấn công để che dấu sự tồn tại: thường thấy là thông tin về CPU để xác định trạng thái của máy, nếu lớn hơn một ngưỡng nào đó, thì Bot 16 Trang 7 – Báo cáo phân tích Spyeye Botnet
Master sẽ ra câu lệnh tương ứng để tránh làm tăng trạng thái CPU, dẫn tới hoạt động trên máy tính chậm và người dùng sẽ nghi ngờ sự tồn tại của Bot. Xác định mã khai thác tiếp theo: Dựa vào thông tin các phiên bản phần mềm trên máy tính, Bot Master có thể đưa ra các cấu hình điều khiển tương ứng mã khai thác phần mềm trên máy tính (thường thấy nhất là khai thác các phiên bản Windows chưa được cập nhật các bản vá). (adsbygoogle = window.adsbygoogle || []).push({});
Kiểm tra sự hợp lệ của các Bot: bằng cách sử dụng các thông tin mà các Bot gửi lên từ máy tính nạn nhân, thông qua thống kê các Bot Master có thể phát hiện được sự thâm nhập của các thành phần Bot giả mạo và điều hướng tấn công.
Từ phân tích ví dụ trên, có thể thấy lý thuyết Bot Milkers đã được đề xuất là “chưa đủ” để có thể xây dựng các thành phần mô phỏng đi theo dõi các mạng Botnet hiện nay. Ở các đề mục sau, em xin đề xuất một cải tiến của Bot Milkers nhằm ứng dụng đi theo dõi các mạng Botnet trong thực tế.