3. Môi trường triển khai tại Công ty An ninh Mạng Bkav
1.3.Thành phần Tracking
Kết quả phân tích ở bước phân tích trên sẽ qua hai bước xử lý trong hệ thống Botnet Tracking được đề xuất, trong đó, thành phần Tracking sẽ chịu trách nhiệm ở bước thứ hai, sau khi đã được “lọc” hành vi bằng lý thuyết Bot Milkers được cải tiến, sẽ được trình bày ở đề mục kế tiếp.
Thành phần Tracking sẽ sử dụng các phân tích đã được “lọc” trên như các kịch bản của các Trackers, là các thành phần sẽ đi mô phỏng các Bot hỗ trợ cho quá trình theo dõi, thu thập thông tin về các mạng Botnet cho hệ thống. Ở bước mô phỏng, hệ thống sẽ sử dụng một Framework đặc trưng hỗ trợ các thao tác mô phỏng giao tiếp và “tracking” để tạo các Trackers giao tiếp với các thành phần điều khiển của mạng Botnet và cập nhật các thông tin cho hệ thống Botnet Tracking. Mô hình thực hiện của thành phần này như sau:
Hình 17:Mô hình thành phần Tracking
trong đó:
(1) – Kịch bản giao tiếp của Bot (sau khi đã “lọc” hành vi bằng “luật” Bot Milkers).
(2) – Luồng thông tin các Trackers giả lập giao tiếp của Bot lên các C&C Server.
(3) – Luồng thông tin các C&C Server gửi tới các “Bot mô phỏng” để đưa ra các câu lệnh điều khiển.
(4) – Giao tiếp giữa các Bot Tracker với BOT MANAGER – là thành phần quản lý, lưu trữ các thông tin thu thập được.
(5) – Là các thông tin được BOT MANAGER xử lý lưu trữ vào cơ sở dữ liệu thông tin của hệ thống.
Thông qua các kịch bản đã được lọc, các Bot Tracker được mô phỏng trên hỗ trợ Botnet Tracking Framework. Các Tracker này thực hiện “gia nhập” vào các mạng Botnet, nhận các câu lệnh cập nhật từ phía các server điều khiển (C&C Server), phân tích cú pháp và trích xuất các thành phần được quan tâm. Các thông tin này sẽ được gửi tới BOT MANAGER – Thành phần quản lý các Bot và xử lý lưu trữ cơ sở dữ liệu thu được trong suốt quá trình Tracking.
Trong thành phần Tracking này, Botnet Tracking Framework đóng vai trò quan trọng nhất. Khác với mô hình hệ thống Botnet Tracking được giới thiệu ở chương trước, sử dụng một công cụ hỗ trợ “giả lập” các Bot (BotSpy), Đồ án đề xuất một phương án sử dụng một Framework được thiết kế đặc biết hỗ trợ theo dõi Botnet để tạo các Tracker mô phỏng – Botnet Tracking Framework (BTF), được thiết kế mang hướng mở, BTF được kỳ vọng sẽ đáp ứng được nhu cầu tracking botnet không chỉ tại thời điểm hiện tại mà có thể cả nhu cầu Tracking trong tương lai. Chi tiết Framework sẽ được trình bày trong các đề mục kế tiếp.
Kết luận: Trong đề mục vừa, đồ án đã đề xuất một hệ thống Botnet Tracking, là một ứng dụng và cải tiến hệ thống Botnet Tracking đã được giới thiệu ở phần trước bằng việc dựa trên phân tích những công cụ, dự án và nguồn nhân lực tại công ty An ninh mạng Bkav. Hệ thống bao gồm ba thành phần chính là : Collecting, Analyzing và Tracking. Hiện nay, các thành phần của hệ thống đang được tiến hành nghiên cứu và phát triển … trong đó, thành phần Collecting được dự kiến triển khai trong các dự án mở rộng Honeypot hiện tại, thành phần Analyzing sử dụng nguồn lực sẵn có của bộ phận Malware Research Team, kết hợp với một số dự án đang được thử nghiệm như Bkav Sandbox, Bkav Scan Online v…v… và thành phần Tracking sử dụng nền tảng là Botnet Tracking Framework sẽ được đồ án xây dựng và trình bày trong các phần kế tiếp.