– Phịng chống: giai đoạn này đưa ra các biện pháp cho người dùng và người quản trị hệ thống cĩ thể sử dụng để ngăn chặn hệ thống máy tính cá nhân hay hệ thống mạng chống lại sự lây nhiễm của Bot độc hại.
– Phát hiện: biện pháp mà người dùng thơng thường hay người quản trị hệ thống cĩ thể sử dụng để xác định hành vi của Bot độc hại trên máy tính cá nhân hoặc trong mạng.
– Xử lý: giai đoạn này đưa ra các hành động mà người dùng hay nhà quản trị hệ thống cĩ thể sử dụng để xử lý khi máy tính cá nhân hay hệ thống mạng bị lây nhiễm Bot/Botnet.
3.2.1 Đối với người dùng cá nhânPhịng chống: Phịng chống:
• Tấn cơng Botnet chủ yếu được thực hiện qua các loại sâu máy tính, dị quét trên mạng để tìm kiếm lỗ hổng thâm nhập được. Do đĩ, bước đầu tiên là phải
thường xuyên cập nhật, tải về các bản vá và bản update hệ thống cho cả hệ điều hành cũng như các ứng dụng truy cập Internet.
• Thao tác an tồn khi truy cập mail, web, chat,... như khơng lưu lại mật khẩu. • Cẩn thận khi mở tập tin đính kèm trong email.
• Dùng ít nhất một chương trình diệt virus, trojan và luơn cập nhật phiên bản mới nhất.
• Sử dụng tường lửa để chặn tất cả các kết nối từ Internet với các dịch vụ khơng được cơng bố cơng khai.Theo mặc định phải từ chối tất cả các kết nối gửi đến và chỉ cho phép dịch vụ đã biết rõ ràng.
• Thực thi chính sách mật khẩu. Mật khẩu phức tạp để khĩ bị crack tập tin mật khẩu trên máy tính bị xâm nhập. Điều này giúp ngăn ngừa hoặc hạn chế thiệt hại khi máy tính bị tổn thương.
• Đảm bảo các chương trình và người sử dụng máy tính dùng mức thấp nhất các đặc quyền cần thiết để hồn thành nhiệm vụ.
• Vơ hiệu hĩa AutoPlay để ngăn chặn sự thực thi tự động của các tập tin thực thi trên mạng và trên ổ đĩa di động. Ngắt kết nối đến các ổ đĩa khi khơng cần thiết. Nếu mức truy cập cho phép ghi là khơng cần thiết, kích hoạt chế độ chỉ đọc nếu cĩ tùy chọn này.
• Tắt tính năng chia sẻ tập tin nếu khơng cần thiết. Nếu cần chia sẻ tập tin, sử dụng mật khẩu bảo vệ để giới hạn truy cập. Vơ hiệu hĩa truy cập vơ danh đến các thư mục chia sẻ.
• Tắt và loại bỏ các dịch vụ khơng cần thiết. Theo mặc định, hiều hệ điều hành cài đặt dịch vụ phụ trợ khơng quan trọng. Những dịch vụ này dẫn đến các cuộc tấn cơng.
• Cấu hình máy chủ email để ngăn chặn hoặc loại bỏ email chứa tập tin đính kèm thường sử dụng để lan truyền các mối đe dọa như tập tin .vbs, .bat, .exe, .pif, và .scr.
Phát hiện:
• Cổng mặc định của IRC là 6667, cổng này cĩ thể bị thay đổi. Dùng lệnh netstat – an trên cả Windows và Linux để kiểm tra các cổng ra vào mà máy tính đang sử dụng.
Ví dụ : C:/windows> netstat – an Nếu xuất hiện dịng:
TCP địa_chỉ_IP_máy_bạn IP_máy_chủ_IRC:6667 ESTABLISHED cĩ nghĩa là cĩ kết nối IRC đến địa_chỉ_IP_máy_chủ_IRC qua cổng 6667. Các server IRC cĩ thể lắng nghe trên các cổng 6000- 7000
• Phát hiện tập tin mới, tập tin bị sửa đổi, cài đặt phần mềm mới hay cĩ sự sửa đổi trong Microsoft Windows Registry. Bởi vì sau khi máy tính bị nhiễm, mã độc sẽ tự copy đến thư mục bí mật và thay đổi cấu hình máy bị nhiễm cho phép kích hoạt tự động khi máy khởi động. Ví dụ trên nền Windows Bot sẽ thêm thơng tin vào Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVers ion\Run\ để cho phép tự động kích hoạt Bot khi máy khởi động.
• Phát hiện thấy máy tính hay mạng chậm hơn. Cĩ nhiều nguyên nhân nhưng khả năng cao là máy đã bị nhiễm phần mềm độc hại.
• Sử dụng phần mềm chống virus và phần mềm gián điệp cĩ thể phát hiện và xử lý chúng.
• Cĩ thể dùng các chương trình quét hệ thống trực tuyến của các hãng bảo mật lớn (như SYMANTEC).
• Sử dụng cơng cụ phát hiện phần mềm độc hại. Ví dụ Microsoft Process Explorer, để xác định những tiến trình nào đang chạy trên máy tính, và tính năng của tiến trình đĩ. Quan trọng hơn là để tạo ra một khung các tiến trình tin tưởng được để so sánh với khi máy tính gặp trục trặc, sự cố. Các tiến trình lạ khi đĩ rất cĩ thể là khả năng gây ra sự cố trên máy tính.
Xử lý:
• Ngắt kết nối mạng của máy bị nhiễm mã độc, để tránh nguy cơ ảnh hưởng, gây thiệt hại đến các máy trong cùng mạng.
• Cập nhật phần mềm diệt virus, kiểm tra xem nhà cung cấp hệ điều hành, phần mềm cĩ bản vá lỗi hay khơng. Bởi vì kẻ tấn cơng cĩ thể lợi dụng các lỗ hổng mới để xâm nhập vào hệ thống.
• Nếu các chương trình diệt virus khơng phát hiện ra cĩ thể dùng các cơng cụ hiển thị các tiến trình của máy tính (ví dụ process explore, TCP View,..) để phát hiện và diệt bằng tay.
• Nếu trên máy tính lưu trữ các thơng tin nhạy cảm như tài khoản ngân hàng, thẻ tín dụng... thì cần báo ngay cho cơ quan quản lý thẻ.
• Bất kỳ mật khẩu hay dữ liệu an tồn được lưu trữ và sử dụng trên máy tính nên được giả định đã bị xâm nhập và thay đổi luơn. Dữ liệu này bao gồm mật khẩu truy cập ISP, FTP, email, website và bất cứ dịch vụ nào khác yêu cầu đăng nhập an tồn.
• Nếu chưa giải quyết được cần liên hệ với người cĩ kỹ thuật xử lý.