4. Định hướng phát triển
4.2. Hệ thống Botnet Tracking
Đơn giản hóa các bước thực thi trong hệ thống Botnet Tracking.
Thử nghiệm và tích hợp các thành phần con đã được đề cập trong hệ thống. Hướng tới một hệ thống Botnet Tracking tự động hóa.
Tích hợp đầu ra thông tin của hệ thống với các hệ thống bảo mật trong thực tế:
Hình 28: Giải pháp tích hợp đầu ra hệ thống
Là một hệ thống thu thập thông thông tin, hệ thống Botnet Tracking của chúng ta có thể cung cấp một nguồn dồi dào thông tin cho rất nhiều các hệ thống khác, sau đây là một số hệ thống:
Các Antivirus: Hệ thống cung cấp tập các mã độc thu được trong quá trình theo dõi các mạng Botnet. Đây là nguồn để các Antivirus phát triển các engine nhận diện, các tập chữ ký cho module phát hiện mã độc của mình. Các tổ chức An ninh: các thông tin về C&C Server và Botnet Master thu được có thể hỗ trợ các tổ chức này trong việc phát hiện và ngăn chặn loại tội phạm này.
Các tổ chức cung cấp giải pháp duyệt Web an toàn (Web Of Trust, Google Safe Browsing, …): Hệ thống của chúng ta có thể cung cấp các tên miền, các
địa chỉ IP nguy hiểm mà Botnet sử dụng để phát tán mã độc để tổ chức này ngăn chặn, cảnh báo cho người sử dụng, cung cấp môi trường Internet an toàn, thân thiện cho cộng đồng.
Các nhà cung cấp dịch vụ chia sẻ (Hosting Provider, FileSharing …): đây là các dịch vụ thường xuyên bị các hackers lợi dụng để phát tán mã độc mà không bị các phần mềm bảo mật phát hiện và ngăn chặn. Bằng việc cung cấp các liên kết độc hại bị các hackers lợi dụng tới các nhà cung cấp dịch vụ, chúng ta có thể ngăn chặn được Botnet tiếp tục phát tán, lây nhiễm vào máy tính người sử dụng.
VIRUS PORTALS: là hệ thống hỗ trợ tra cứu, thống kê, đưa ra những báo cáo hỗ trợ thuận tiện cho các hoạt động theo dõi, xem xét tình hình hoạt động của malware và virus ở từng thời điểm. Các thông tin C&C Server, thông tin về các hoạt động của Botnet là một nguồn tài nguyên hết sức hấp dẫn với các hệ thống này.
Hệ thống Firewall: là hệ thống ngăn chặn các truy cập trái phép, cung cấp các thông tin tấn công, thông tin IP nguy hiểm, chúng ta có thể hỗ trợ cho các Firewall đảm báo an toàn cho các máy tính của người sử dụng.
Hệ thống Honeypot: Nhược điểm của hệ thống Botnet Tracking đó là chỉ theo dõi những thông tin cập nhật mới nhất của các mạng Botnet, còn những thông tin thu được trong quá trình theo dõi trước đó thì không được quan tâm. Tuy nhiên, chúng ta có khắc phục nhược điểm này bằng việc cung cấp các thông tin này cho hệ thống Honeypot để tiến hành theo dõi lâu dài.
Bằng cách tích hợp các hệ thống an ninh bảo mật này với cơ sở dữ liệu thông tin thu được từ hệ thống Botnet Tracking, đây hứa hẹn sẽ là một mô hình hữu hiệu trong việc giảm thiểu thiệt hại do Botnet gây ra.
TÀI LIỆU THAM KHẢO
1. Christopher Patrick Lee, Framework for Botnet Emulation and analysis, Ph.D. Thesis, Georgia Institute of Technology, May 2009.
2. Niels Provos and Thorsten Holz, Virtual Honeypots: From Botnet Tracking to Intrusion Detection, Addison Wesley Professional, July 16 2007.
3. Chia Yuan Cho, Juan Caballero, Chris Grier, Vern Paxson and Dawn Song, Insights from the Inside:A View of Botnet Management from Infiltration, Proceedings of the Third USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET ’10), San Jose, California, April 2010.
4. Các bài viết về thuật ngữ chuyên môn trên Wikipedia.org (English & Vietnamese), last visited May 2011.
5. Claus R. F. Overbeck , “Botspy - Efficient Observation of Botnets”, Hack.Lu Security Conference, 2007.
6. Malware Intelligence , “SpyEye Bot Analysis of a new alternative scenario crimeware SpyEye Bot Analysis of a new alternative scenario Crimeware”. 7. Bài báo Bkis Tái cơ cấu tổ chức, http://www.bkav.com.vn/tieu_diem/bkis-tai-
co-cau-to-chuc-2346/, last visited May 2011.
8. Capture, care and analysis of Malware made easy,
http://www.linklogger.com/vm_capture.htm.
9. Mega-D botnet, http://en.wikipedia.org/wiki/Mega-D_botnet, last visited May 2011.
10. HTTP Header Fields, http://en.wikipedia.org/wiki/List_of_HTTP_header_fields, last visited May 2011.
11. RFC 2616 - Header Field Definitions,
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html, last visited May 2011.
12. IRC Command Help, http://www.irchelp.org/irchelp/misc/ccosmos.html, last visited May 2011.
13. Oxygen Documentation, http://www.doxygen.org/index.html, last visited May 2011.
14. Top 10 Botnet Threat Report, http://www.damballa.com, 2010.
15. Hiếu Tròn, “Botnet quảng cáo mang về 2000$ mỗi ngày cho chủ”,
http://www.thongtincongnghe.com/article/24491, 5-5-2011.
16. CodeProject Articles, http://www.codeproject.com, last visited May 2011.
17. Rubot in DETERLAB, https://trac.deterlab.net/wiki/RubotSoftware, last visited May 2011.
18. Jacqui Cheng, “Botnet master hits the kill switch, takes down 100,000 PCs”,
http://arstechnica.com/security/news/2009/05/zeus-botnet-hits-the-kill-switch- takes-down-100000-pcs.ars, 2009.
Hình 29: Các Class hỗ trợ trong CoreLayer