3. Xây dựng Botnet Tracking Framework
3.4. Thử nghiệm Framework
Để thử nghiệm tính đúng đắn và phù hợp Framework, trong thời gian 1 tháng kết hợp theo dõi và phân tích các mẫu Botnet đang hoạt động trong thực tế, em thực hiện phát triển một số kịch bản xây dựng các Tracker theo dõi các mạng Botnet này. Các Botnet được lựa chọn bao gồm:
Tên mạng Botnet Xuất xứ Mô tả
Vetor IRC Botnet Nước ngoài Là một module trong dòng virus lây file siêu đa hình Vetor34, thực hiện tải và thực thi các bản biến thể và rất nhiều các mã độc khác nhau trên máy tính nạn nhân.
33 Doxygen – chuẩn thiết kế tài liệu từ những mô tả chi tiết các thành phần trong một tập hợp các mã nguồn được thiết kế đúng chuẩn. Doxygen Toolkit sẽ hỗ trợ sinh tài liệu theo nhiều chuẩn khác nhau.
Spyeye Botnet Nước ngoài Là một biến thể của dòng SpyEye – Các bộ cài đặt (Spyeye Toolkit) dòng này đang được rao bán và công khai rất nhiều trên Internet, thực thi rất nhiều các hành vi nguy hiểm như phá hoại máy tính, ăn sâu vào các thành phần của Windows để ăn cắp thông tin và che dấu sự tồn tại … Dòng Botnet này liên tục cập nhật các cấu hình và biến thể mới trong suốt quá trình thực thi.
ngrBot Botnet Nước ngoài Là dòng Botnet IRC lợi dụng các host lưu trữ trực tuyến để chứa các thành phần cập nhật, giao tiếp điều khiển qua các server IRC, liên tục cập nhật các biến thể, malware mới và thay đổi C&C Server.
Vietnamese Site DDoS
Botnet Việt Nam Dòng Botnet chuyên đi tấn công từ chối dịch vụ các website của Việt Nam như danlambao.com, zing.vn … Dòng này thường xuyên thay đổi cấu hình để thay đổi mục tiêu và phương thức tấn công.
Bảng 3: Các Botnet được sử dụng thử nghiệm.
Mô tả ngắn kịch bản của các mẫu:
1. Vetor IRC Botnet: Sử dụng bộ ngữ pháp các câu lệnh IRC được tùy biến với một số thông tin hệ thống để xác thực, bao gồm: thông tin mã CRC của ổ đĩa cứng, mã phiên bản hệ điều hành Windows, các thông tin này được mã hóa dựa vào thuật toán mã hóa có sử dụng Key được sinh ngẫu nhiên theo thời gian hệ thống.Phía server sau khi xác thực được Bot sẽ trả về các câu lệnh điều khiển là các đường link tới các mã độc mới mà hacker muốn phát tán trên máy tính bị điều khiển, các thông tin trả về cũng bị mã hóa tương ứng với Key được sử dụng để mã hóa.
2. Spyeye Botnet: Sử dụng giao thức HTTP để cập nhật các điều khiển mới. Các thông tin để xác thực là các thông tin hệ thống Bot thực hiện thu thập dữ liệu từ các máy tính bị hại. Khi thông tin gửi lên là phù hợp, C&C Server sẽ trả về các câu lệnh điều khiển (LOAD, UPDATE …)35
3. ngrBot Botnet: sử dụng mật khẩu và thông tin đăng ký theo chuẩn của Botnet để xác thực với Server. Các câu lệnh điều khiển mới được gửi trả về qua mỗi lần Bot kết nối lên server sau khi đã xác thực.
4. Vietnamese Site DDoS Botnet: Bot sử dụng nhiều server để lưu trữ các cập nhật và các cấu hình tấn công. Mỗi loại dữ liệu lại được sử dụng một thuật toán mã hóa riêng.
Nguồn lấy mẫu:
o Mẫu trong hệ thống Honeypot của Bkav
o Mẫu thu thập qua cơ chế phát hiện mã độc thông minh trên các máy tính sử dụng phần mềm Bkav.
Môi trường triển khai: mô hình được đưa ra thử nghiệm bao gồm hai máy tính có
cấu hình như sau:
Cấu hình chung:
Hệ điều hành: Windows XP Home(32 bit) RAM: 2GB
Thư viện lập trình: Microsoft Windows Platform 2008 (Visual C++ 2008).
Các cấu hình riêng:
Máy tính chứa các Trackers:
IP: 192.168.7.204 Có kết nối Internet.
Máy tính chứa các thành phần quản lý Tracker – Bot Manager: đi kèm chức năng quản lý CSDL và FTP Server.
IP: 192.168.7.50 Có kết nối Internet.
Quản lý vào ra tại cổng 180589 để Tracker gửi nhận thông tin theo dõi. CSQL: Microsoft Windows Server 2000
FTP Server: FileZilla Server phiên bản mới nhất (03/2011)
Hình 26: Mô hinh thực hiện thử nghiệm
Kết quả thử nghiệm:
Tên Botnet Thời gian sống Mô tả kết quả
Vetor Irc Botnet 3 ngày C&C Server (Irc Server) không hoạt động, có thể Bot Master đã thay đổi C&C Server tại trước thời điểm Tracker của hệ thống hoạt động.
SpyEye Botnet 2 ngày Các C&C Server được các cơ quan chức năng có thẩm quyền, can thiệp và Block
ngrBot Botnet Các mẫu bot được thay đổi định kỳ theo tần suất 2 ngày/Bot và thay đổi C&C Server theo từng tuần.
Trong thời gian theo dõi, các File cập nhật cần được thường xuyên phân tích để xác định các thông tin mới. Tuy nhiên, vì tiến hành thử nghiệm nên công tác này được lược đi.
Các hoạt động phát hiện trong quá trình Track:
Spam các thông điệp qua chương trình MSN Messenger, thông điệp là chứa một đường link giả mạo một bức ảnh trên mạng xã hội facebook nhưng bản chất đây là các mã độc (tần suất 1 link/ngày).
Liên tục tải về các mã độc và thực thi trên máy tính bị nhiễm (tần suất 2 link/ngày).
Vietnamese Site DDoS Botnet
Trong suốt thời gian theo dõi, Bot thực hiện một lần cập nhật để thay đổi cấu hình tấn công và thay đổi đối tượng tấn công (các website của danlambao)
Bảng 4: Bảng kết quả thử nghiệm