3. Môi trường triển khai tại Công ty An ninh Mạng Bkav
1.1. Thành phần Collecting
Tương tự vai trò của Nepenthes của hệ thống Botnet Tracking đã giới thiệu, thành phần Collecting của hệ thống đề xuất sẽ làm nhiệm vụ thu thập các mẫu, các biến thể Botnet nhưng trong một phạm vi rộng hơn:
Hệ thống Honeypot của BKIS: là hệ thống thu thập mã độc, các chương trình nguy hiểm thông qua kết hợp các hoạt động bẫy, giả mạo lỗ hổng … thu hút tấn công của Botnet và thông qua giám sát các nguồn mẫu thu thập được trong quá trình phân tích các mã độc thu thập được. Hệ thống này đã được triển khai từ những năm đầu phát triển phần mềm diệt virus Bkav, là nguồn cung cấp mẫu chính trong thời gian đầu phát triển của phần mềm. Hiện nay, hệ thống liên tục được cải tiến và cập nhật để đảm bảo đáp ứng được bài toán thực tế.
Các diễn đàn hoặc các website của những tổ chức “ngầm” (Underground Sites): là một hình thức tổ chức và liên lạc của những hackers trong đó, có Bot Masters thảo luận và trao đổi các phương thức tấn công mới, ngoài ra còn là chia sẻ công cụ, mã nguồn, thư viện v…v… hỗ trợ cho việc phát triển phần mềm độc hại. Vì vậy, đây là một nguồn “mẫu” không thể bỏ qua khi tiến hành theo dõi Botnet hiện nay.
Một nguồn mẫu khác cũng không thể bỏ qua đó là các diễn đàn “chợ đen” trực truyến (Black Market sites), nơi các gói phần mềm Botnet Toolkits, các thư viện hỗ trợ hay các hoạt động giao dịch tấn công thuê diễn ra. Đây là nguồn cung cấp những thông tin mới nhất về các gói Botnet Toolkits hay thông tin về Botnet nói riêng.
Các nguồn dịch vụ chia sẻ “mã độc: Hiện nay, có rất nhiều các dịch vụ thu thập mã độc trên thế giới có chia sẻ dữ liệu của mình. Nổi tiếng có thể biết tới đó là Frame4, malwaredomainlist.com, malcode.com v…v… dựa vào những nguồn mẫu này, chúng ta có thể làm phong phú hơn nữa cơ sở dữ liệu mẫu thu thập được.
Các “nguồn mẫu” trên máy người sử dụng: Theo thống kê, có hàng triệu máy tính bị Botnet lợi dụng đi tấn công mỗi ngày. Những biến thể Botnet này là những mã độc đã thực hiện khai thác thành công và “nhiễm” vào máy tính của người sử dụng, biến các máy tính này thành các máy tính ma trong các mạng Botnet. Bằng việc sử dụng các cơ chế phát hiện mã độc thông minh và tiến bộ như Heuristic, phát hiện theo hành vi, các mã độc dạng này có thể được phát hiện sớm qua các phần mềm bảo mật An toàn thông tin như các phần mềm Antivirus, Firewall, … Ứng với môi trường triển khai tại công ty An ninh mạng Bkav, hệ thống Chăm sóc khách hàng bên cạnh việc tiếp nhận và giải đáp những thắc mắc đến từ phía những người sử dụng máy tính, cũng là nơi tiếp nhận những phần mềm độc hại (malware) được phát hiện thông qua các cơ chế thông minh đã đề cập trên máy tính của người sử dụng. Qua các phân tích trên, có thể thấy thực hiện thu thập thông tin từ những nguồn như
trên, có thể giúp chúng ta mở rộng được phạm vi tổng hợp mẫu hơn rất nhiều so với chỉ sử dụng hệ thống Nepenthes ở hệ thống Botnet tracking được đề cập ở chương trước, xây dựng nguồn đầu vào phong phú cho các thành phần còn lại của hệ thống Botnet Tracking sau này.