• Thực hiện theo hướng dẫn của nhà cung cấp về việc sử dụng an tồn, bản vá lỗi và cập nhật đối với các ứng dụng và hệ điều hành đã cài đặt.
• Thường xuyên theo dõi, cập nhật thơng tin về những lỗ hổng bảo mật mới nhất trên các trang web về bảo mật uy tín như cert.org và sans.org.
• Kích hoạt chế độ tự động cập nhật bản vá lỗi với các ứng dụng và hệ điều hành phổ biến. Đặc biệt là trên máy tính cung cấp các dịch vụ cơng cộng và được truy cập thơng qua tường lửa như các dịch vụ HTTP, FTP, mail và DNS.
• Thực hiện các xử lý an tồn trên các ứng dụng web phổ biến như dịch vụ mail, trình duyệt web, ...
• Sử dụng và thường xuyên cập nhật phần mềm diệt virus.
• Cài đặt phần mềm để giám sát hệ thống, phân tích tập tin log hoạt động và truy nhập của hệ thống.
Phát hiện:
• Ngồi những kỹ thuật phát hiện đối với người dùng thơng thường trên host, quản trị viên cĩ thể sử dụng kỹ thuật dựa trên mạng.
• Thường xuyên giám sát tập tin log của hệ thống sử dụng, tập tin log của hệ thống giám sát và phân tích lưu lượng truy cập internet bất thường. Độ trễ mạng cao hoặc lưu lượng truy cập lớn, lưu lượng truy cập tên các cổng khơng bình thường và hành vi hệ thống bất thường cĩ thể chỉ ra sự hiện diện của phần mềm độc hại.
• Thủ tục phát hiện IRC bất thường là đo thời gian phản hồi trên IRC. Người bình thường khơng thể phản hồi nhanh như phần mềm độc hại.
• Phân tích log tạo ra bởi phần mềm bắt gĩi tin trên mạng cĩ thể phát hiện ra máy chủ và kênh bí mật của kẻ tấn cơng sử dụng, biết được mật khẩu kết nối IRC mã hĩa hay khơng mã hĩa.
• Phát hiện hàng loạt các máy tính đang thực hiện các yêu cầu DNS tương tự, hoặc truy cập vào một máy chủ tại cùng một thời điểm, cĩ thể chắc chắn rằng cĩ vấn đề xảy ra.
• Tiến hành quét tồn bộ các máy tình nghi cĩ chứa mã độc, rà sốt, tìm và gỡ bỏ backdoor, rootkit.
• Cài đặt Honeypot trong hệ thống mạng với mục đích hấp dẫn kẻ tấn cơng. Honeypot trong an ninh hệ thống mạng đề cập đến hệ thống máy tính được sử dụng như một cái bẫy thu hút sự chú ý của những kẻ tấn cơng để tấn cơng hệ thống máy tính này. Honeypot khơng cĩ bất kỳ giá trị sản xuất nào, đây chỉ là hệ thống tài nguyên thơng tin, cĩ thể giả dạng bất cứ loại máy chủ tài nguyên nào như Mail Server, Domain Name Server, Web Server,... Tất cả
các tương tác giữa honeypot và hệ thống khác đều đáng ngờ, cần phải điều tra.
• Chú ý đến các cổng của bất kỳ dịch vụ nào dễ bị lây nhiễm và khai thác. Nếu thấy nhiều lưu lượng truy cập trên các cổng 135, 139, 445 (cổng chia sẻ dữ liệu trên windows), cĩ thể cĩ mã độc đang cố gắng lan truyền thơng qua các cổng đĩ.
• Chú ý đến lưu lượng SMTP lớn gửi ra ngồi. Đặc biệt là từ các máy tính khơng phải máy chủ SMTP, rất cĩ thể chỉ ra Bot gửi thư rác đã bị lây nhiễm trên hệ thống mạng.
Xử lý:
• Ngồi các biện pháp xử lý đề nghị cho người dùng thơng thường, quản trị viên hệ thống cĩ thể bắt đầu hành động kiểm sốt sự lây lan của Bot, ví dụ như cơ lập các mạng con đã bị lây nhiễm.
• Duy trì dữ liệu và các tập tin log cĩ liên quan như Tường lửa, Máy chủ Mail , IDS, DHCP, proxy,.. trên hệ thống bị lây nhiễm.
• Sử dụng phần mềm bắt gĩi tin để phân tích cách thức hoạt động của Bot, phát hiện các máy bị lây nhiễm, nguồn gốc của nơi phát lệnh,…
• Liên hệ các trung tâm xử lý sự cố máy tính, các trung tâm an ninh mạng để cùng phối hợp giải quyết.
XU HƯỚNG
Trong năm 2010, những cách thức mới để quản lý các mạng Botnet xuất hiện, ngồi việc sử dụng các giao thức truyền thống như IRC và P2P, hay hiện đại hơn thơng qua HTTP. Trong khi các phương pháp quản lý Botnet trước đĩ vẫn tồn tại, xuất hiện xu hướng quản lý Botnet mới sử dụng giao thức web.
Bên cạnh việc giảm các mạng Botnet thơng qua P2P, một tỉ lệ cao (30%) các phương pháp quản lý Botnet độc đáo, con số đĩ cĩ lẽ sẽ tăng trong năm tiếp theo, đặc biệt là phương pháp quản trị thơng qua các mạng xã hội.
Thực tế ngày nay khơng ai sử dụng Internet mà khơng cần tìm kiếm web hoặc sử dụng một số trang mạng xã hội.
Bằng cách cơng khai các entry trong tài khoản Twitter hay Facebook, kẻ tấn cơng cĩ thể khiến tất cả các máy tính zombie theo dõi các chỉ thị lệnh của mình, như gửi thư rác, thực thi tập tin, thực hiện tấn cơng từ chối dịch vụ, ... Theo cách này, khả năng của Botmaster gửi chỉ thị lệnh đến Bot zombie trực tiếp từ thiết bị di động được thực hiện dễ dàng hơn.
Dự kiến các năm tiếp theo kiểu Botnet này sẽ thường xuyên được thấy hơn và được điều khiển bằng cách phương pháp độc đáo, đặc biệt là thơng qua mạng xã hội, từ khi các mạng đĩ khơng bị chặn bởi nhà cung cấp Internet của nạn nhân.
Sự lây nhiễm và lan truyền: số lượng Botnet ngày tăng, đồng thời với nĩ số nút (zombie) của Botnet cũng tăng lên. Các Botnet ngày càng tinh vi hơn. Các cơng cụ phát tán cũng tinh vi và nguy hiểm hơn. Đặc biệt là các cơng cu được phát triển cho phép tự động phát hiện lỗ hổng và lây nhiễm mã độc.
Mục đích sử dụng: mục đích chính vẫn là DDoS, Spam mail, lấy chộm thơng tin cá nhân, làm hệ thống chia sẻ tập tin, phần mềm,…
KẾT LUẬN
Qua quá trình tìm hiểu về Botnet, mục đích sử dụng mạng Botnet của kẻ tấn cơng, và các cơ chế điều khiển Botnet, khĩa luận đã đưa ra mơ hình thử nghiệm về xây dựng hệ thống Botnet dựa trên máy chủ IRC.
Về mặt nội dung, khĩa luận đã đạt được kết quả sau đây:
– Giới thiệu tổng quan về Bot/Botnet và những khái niệm liên quan. Mục đích sử dụng Botnet và các cơ chế điều khiển Botnet điển hình.
– Đưa ra các yếu tố liên quan đến cuộc tấn cơng. Mơ tả chi tiết về quá trình lây nhiễm và các bước điều khiển Botnet. Ví dụ cụ thể xây dựng mạng IRC Botnet. Từ đĩ hiểu được phần nào về cách xây dựng cũng như phương thức hoạt động của Botnet.
– Cung cấp các giải pháp được sử dụng trong lĩnh vực phát hiện Botnet. Dựa vào cách thức lây nhiễm Botnet, đưa ra khuyến nghị cho người dùng và người quản trị hệ thống để cĩ thể phịng chống, phát hiện và xử lý máy tính hay hệ thống của mình.
Hạn chế:
Tuy nhiên, Botnet là một lĩnh vực khá rộng và khĩ, phát triển liên tục. Do hạn chế về mặt thời gian và kiến thức nên khĩa luận vẫn cịn tồn tại những hạn chế sau:
– Khĩa luận sử dụng mã nguồn Bot được chia sẻ để xây dựng hệ thống IRC Botnet.
– Khĩa luận mới chỉ tiến hành thực nghiệm được trên một cơ chế điều khiển Botnet.
– Chưa đi sâu vào phương pháp cụ thể để pháp hiện Botnet.
Định hướng nghiên cứu tiếp theo:
– Đi sâu vào phương pháp cụ thể phát hiện Botnet để cĩ thể ứng dụng trong thực tế.