Danh sách đen không phải là kỹ thuật trực tiếp chống lại hoạt động của mạng botnet. Danh sách đen có thể sử dụng để ngăn chặn luồng dữ liệu tới các tên miền/địa chỉ IP/URL độc hại. Tuy nhiên việc sử dụng danh sách đen sẽ không thể loại bỏ được mã độc trên các máy tính bị nhiễm bot mà chỉ ngăn chặn được kết nối vì thế phương pháp này thường được sử dụng kết hợp là đầu vào cho giải pháp kỹ thuật khác. Danh sách đen có thể được sử dụng theo nhiều cách khác nhau, ví dụ ngăn chặn luồng dữ liệu liên quan tới địa chỉ IP duy nhất cho các host độc hại hoặc một mạng con có các hành động đáng ngờ hoặc một tập URL có thể được sử dụng bởi các cỗ máy tình kiếm, trình duyệt để lọc hoặc đánh dấu các trang web với nội dụng độc hại (ví dụ các cảnh báo trang web Phishing hoặc chứa mã độc trên các trình duyệt web). Một số ISP, nhà cung cấp dịch vụ thư điện tử (như Spamhaus), CERT, và Anti-Virut cũng thường sử dụng, duy trì và công bố danh sách đen của mình. Ngoài ra các Honeypot có thể được sử dụng để thu thập dữ liệu về các host bị nhiễm mã độc, tạo ra thông tin để đưa vào danh sách đen.
40
Phương pháp dựa trên DNS là một phương pháp tiếp cận để ngăn chặn hoạt động của mạng botnet tương đối hiệu quả. Một trong những kỹ thuật được sử dụng rộng rãi và hiệu quả là “Kỹ thuật DNS Sinkhole” còn gọi là “Kỹ thuật DNS hố”.
Kỹ thuật DNS Sinkhole thực hiện thay đổi địa chỉ IP của tên miền độc hại, việc thay đổi dựa trên bản ghi của dịch vụ DNS. Kỹ thuật này có thể áp dụng ở hai mức:
a) Mức cơ bản: thay đổi địa chỉ IP của tên miền độc hại về địa chỉ cục bộ (loopback). Như vậy thay vì kết nối tới máy chủ điều khiển các máy bị nhiễm bot sẽ kết nối tới chính mình.
41
(1) Phát tán mã độc thông qua một kênh nào đó (thư điện tử, các trang web). Trong mô hình trên là kênh thư điện tử.
(2) Các máy chủ thư nhận được thư và chuyển vào hòm thư của người dùng. Máy client mở thư và bị nhiễm mã độc.
(3) Máy client thực hiện kết nối ra ngoài Internet (để tham gia vào mạng botnet, cập nhật lệnh của tin tặc Bot) thông qua tên miền sẽ phải gửi yêu cầu phân giải tên miền tới máy chủ DNS cục bộ.
(4) Máy chủ DNS có áp dụng kỹ thuật “Sinkhole” thay vì trả về địa chỉ IP thật tương ứng với tên miền độc hại sẽ trả về địa chỉ IP loopback – 127.0.0.1. (5) Máy client nhận được trả lời từ máy chủ DNS sẽ thực hiện kết nối tới địa chỉ loopback – địa chỉ của chính máy client nên không thể cập nhật các lệnh điều khiển của tin tặc.
b) Mức mở rộng: thay đổi địa chỉ IP của tên miền độc hại tới địa chỉ của
Honeypot thu thập mẫu mã độc hoặc tới một máy chủ web chứa các công cụ giúp “bóc gỡ mã độc” trên máy bị nhiễm bot.
Mô hình ở mức mở rộng hoạt độngnhư sau:
Bước (1) (2) (3) như trong mô hình cơ bản.
(4) Máy chủ DNS áp dụng kỹ thuật “Sinkhole” thay vì trả về địa chỉ IP thật tương ứng với tên miền độc hại sẽ trả về địa chỉ IP của Honeypot hoặc bất kỳ một máy đóng vai trò như bẫy, để giám sát, thu thập mẫu.
(5) Máy client nhận được trả lời từ máy chủ DNS sẽ thực hiện kết nối tới địa chỉ IP của Honeypot nên không thể cập nhật các lệnh điều khiển của tin tặc. (6) Tại máy Honeypot có thể thu thập được mẫu mã độc phục vụ cho công tác sau này.
42
Hình 14: Kỹ thuật DNS Sinhhole mở rộng
2.2.3. Lọc gói tin
Phương pháp lọc gói tin dựa trên kỹ thuật thanh tra gói tin, mở rộng của phương pháp phát hiện dựa trên hành vi (phương pháp dựa trên dấu hiệu và bất thường) bằng cách đưa ra hành động phản ứng sau khi phát hiện các hoạt động độc hại trong mạng.
43
các “dấu hiệu – mẫu” độc hại, sau đó sử dụng các thiết bị, phần mềm có chức năng lọc để lọc gói tin. Kỹ thuật này nếu được áp dụng ở tầng mạng thì việc lọc gói tin có thể được thực hiện bởi tưởng lửa hoặc hệ thống phát hiện và ngăn chặn xâm nhập IDPS.
2.3. Một số hệ thống theo dõi và bóc gỡ botnet điển hình trên thế giới
2.3.1. Hệ thống của Hàn Quốc
Hệ thống chống Botnet của Hàn Quốc được bắt đầu xây dựng khi các cuộc tấn công DDoS xảy ra rất nhiều ở các máy tính cá nhân của Hàn Quốc. Vì vậy, Cơ quan an ninh Internet Hàn Quốc (KISA- Korean Internet Security Agency) và Trung tâm ứng cứu khẩn cấp máy tính Hàn Quốc (KRCERT- Korean Computer Emegency Response Team) đã bắt đầu một chiến dịch chống lại Botnet rộng rãi. Dưới đây là mô hình chống botnet của Hàn Quốc.
Hình 15: Mô hình chống Botnet của Hàn Quốc
Mô hình chống botnet của Hàn Quốc gồm:
- Phát hiện: các máy tính bị nhiễm bot được phát hiện theo nhiều cách khác nhau (giám sát máy chủ DNS, dữ liệu thu thập từ các kết quả phân tích phần mềm
44 Honeypot...).
- Bóc gỡ: KRCERT giám sát botnet trên diện rộng và bóc gỡ bằng cách sử dụng kỹ thuật DNS Sinkhole như đề cập ở trên.
2.3.2. Hệ thống của Nhật Bản
Hệ thống phản ứng với botnet của Nhật Bản có tên là “Cyber Clean Center” còn gọi là CCC được xây dựng từ năm 2006 và hoạt động từ tháng 3 năm 2011. Hệ thống CCC xây dựng với mục tiêu bóc gỡ bot trên máy tính người dùng bị nhiễm, trên cơ sở hợp tác với các nhà cung cấp dịch vụ Internet ISP và các hãng bảo mật.
Hình 16: Mô hình chống Botnet của Nhật Bản
Mô hình bóc gỡ botnet của Nhật Bản hoạt động như sau:
(1): Máy tính của người dùng bị nhiễm bot thông qua các hành động khi truy cập Internet.
(2): Phát hiện và lấy mẫu bot thông qua các ISP: yêu cầu các ISP xác định với máy tính của người dùng bị nhiễm botnet.
45
(4): Gửi yêu cầu định danh các máy tính bị nhiễm botnet tới ISP. (5): ISP định danh các máy bị nhiễm.
(6): ISP gửi cảnh báo máy bị nhiễm bot và công cụ để loại bỏ tới người dung.
(7): Người dùng nhận được cảnh báo chủ động truy cập vào trang web cung cấp công cụ loại bỏ bot.
(8): Người dùng tải công cụ bóc gỡ bot do hệ thống CCC cung cấp và thực hiện loại bỏ bot.
46
GỠ BOTNET
Trong phần này đề xuất một mô hình phát hiện và bóc gỡ botnet dựa trên hoạt động bóc gỡ botnet của Trung tâm VNCERT. Mô hình cài đặt và thử nghiệm là một mô hình rút gọn của mô hình đề xuất, mô hình này có thể áp dụng trong các doanh nghiệp có môi trường mạng lớn như các doanh nghiệp cung cấp dịch vụ Internet hoặc các doanh nghiệp, đơn vị có sử dụng máy chủ DNS riêng. Trong phần thử nghiệm mô hình tôi xây dựng mô hình gồm các máy ảo (window và linux) chạy trên phần mềm Vmware và sử dụng hai mẫu mã độc thuộc hai mạng botnet Conficker và Zeus được kích hoạt trên máy ảo Window XP để mô phỏng một máy người dùng bị nhiễm bot trên Internet.
3.1. Hoạt động bóc gỡ botnet của Trung tâm VNCERT
3.1.1 Mạng lưới ứng cứu sự cố máy tính tại Việt Nam
Theo Quyết định số 39/2008/QĐ-BTTTT ngày 30/06/2008 của Bộ Thông tin và Truyền thông, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) là đơn vị trực thuộc Bộ Thông tin và Truyền thông, thực hiện chức năng điều phối các hoạt động ứng cứu sự cố máy tính trong toàn quốc; cảnh báo kịp thời các vấn đề về an toàn mạng máy tính; xây dựng, phối hợp xây dựng các tiêu chuẩn kỹ thuật về an toàn mạng máy tính; thúc đẩy hình thành hệ thống các trung tâm ứng cứu khẩn cấp máy tính (CERT) trong các cơ quan, tổ chức, doanh nghiệp; là đầu mối thực hiện hợp tác với các tổ chức CERT nước ngoài.
Hiện tại VNCERT đã xây dựng mạng lưới điều phối sự cố Internet trong không gian mạng Việt Nam theo thông tư 27/2011/TT-BTTT ngày 04/10/2011 của Bộ trưởng Bộ Thông Tin và Truyền Thông quy định về điều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam với sự tham gia của:
- 24 doanh nghiệp ISP.
- Sở thông tin truyền thông của 63 tỉnh thành.
47
Hình 17: Mạng lưới điều phốiứng cứu sự cố máy tínhtheo thông tư 27/2011/BTTT
Theo mô hình phân cấp cảnh báo, khi có sự cố mạng máy tính liên quan tới hệ thống của các cơ quan tổ chức (như mã độc, tấn công thay đổi giao diện, tấn công lừa đảo) VNCERT sẽ thực hiện cảnh báo, điều phối tới các đầu mối ứng cứu sự cố của các thành viên trong mạng lưới và theo cơ chế điều phối cảnh báo được xây dựng trong thông tư 27 thì:
- Các cơ quan chuyên trách về công nghệ thông tin và các Sở thông tin và Truyền thông các tỉnh thành phố phải có trách nhiệm thực hiện cảnh báo đến các tổ chức do mình quản lý. Ví dụ Trung tâm thông tin
48
cảnh báo và hỗ trợ các đơn vị bên dưới do bộ đó quản lý (như các Cục, Vụ, Trung tâm và các đơn vị thuộc Bộ), các Sở Thông tin và Truyền thông các tỉnh thành phố có trách nhiệm chuyển tiếp cảnh báo và hỗ trợ các đơn vị trong địa bàn của tỉnh mình (quận, huyện, tổ chức, doanh nghiệp). Trong trường hợp các đơn vị này không hỗ trợ được thì có thể gửi yêu cầu trực tiếp đến VNCERT.
- Nhà cung cấp dịch vụ Internet (ISP) có trách nhiệm hỗ trợ khách hàng của mình chống lại các sự cố mạng.
- Các doanh nghiệp làm về an toàn thông tin khi đăng ký tham gia mạng lưới phải có trách nhiệm chia sẻ thông tin và phân tích các sự cố giúp các thành viên khác trong mạng lưới.
Dưới đây là mô hình điều phối ứng cứu sự cố máy tính giữa Trung tâm VNCERT và các thành viên trong mạng lưới ứng cứu sự cố máy tính Việt Nam.
49
Hình 18: Sơ đồ hoạt động điều phối ứng cứu sự cố máy tính
Như vậy bất kỳ cá nhân hoặc tổ chức nào đều có thể thông báo sự cố an toàn thông tin cho thành viên mạng lưới có trách nhiệm hoặc các ISP. Trong trường hợp sự cố có tính chất nghiêm trọng hoặc sự cố có thể ảnh hưởng tới diện rộng thì phải thông báo trực tiếp cho Trung tâm VNCERT.
3.1.2 Quy trình phát hiện và bóc gỡ botnet hiện tại của Trung tâm VNCERT
Hoạt động bóc gỡ botnet được Trung tâm VNCERT bắt đầu thực hiện từ năm 2012 và cũng là nội dung được chú trọng trong “Hội thảo Xây dựng cơ chế phối hợp trong nước/ngoài nước trong hoạt động ứng cứu khẩn cấp năm 2013”. Trong hội thảo này đại diện của Trung tâm VNCERT đã chia sẻ “Giải pháp hiện tại của VNCERT mới sử dụng cách thức phát hiện và cảnh báo botnet dựa trên các báo cáo thu được trong pha 4, 5 từ các tổ chức và nạn nhân bị tấn công” theo quy trình đơn giản.
50
Hình 19: Hoạt động bóc gỡ botnet của Trung tâm VNCERT
Quy trình xử lý sự cố liên quan đến botnet cụ thể như sau:
Pha 1: Thu thập thông tin: tiếp nhận các thông báo sự cố từ các tổ chức và công
tác giám sát mạng của Trung tâm VNCERT.
Hiện tại ở Việt Nam chưa có hệ thống thu thập thông tin botnet chủ động, các thông tin về hoạt động của các mạng botnet đang được VNCERT thu thập thông qua cơ chế chia sẻ thông tin giữa Việt Nam và các tổ chức làm về an toàn thông tin trong và ngoài nước (chủ yếu là các tổ chức quốc tế). Các tổ chức quốc tế hiện tại đang chia sẻ thường xuyên thông tin về hoạt động của các mạng botnet ở Việt Nam với Trung tâm VNCERT gồm: Microsoft, Shadownserver, Botnet Tracker, JPCERT, Inteco-CERT, CNCERT và nhiều CERT quốc gia khác.
Dữ liệu botnet gửi về Trung tâm VNCERT ở dạng tệp tin thông qua kênh thư điện tử và có các thông tin quan trọng sau:
- Thời gian giám sát: thời gian các địa chỉ kết nối tới các máy chủ điều khiển. - Địa chỉ IP nguồn: địa chỉ IP ở Việt Nam đang tham gia vào các mạng botnet (các máy bị nhiễm bot).
- Địa chỉ IP đích: địa chỉ các máy bị nhiễm bot sẽ kết nối đến (có thể là máy chủ điều khiển hoặc các đích bị tấn công).
51
tổng số kết nối, tên nhà cung cấp dịch vụ hosting, phương thức, UserAgent... Dưới đây là ví dụ về dữ liệu mạng botnet zbot của Microsoft.
Time Count IP Country Company ASN SrcPt Action Request Host UserAgent 2012-07-19 2 113.168.253.133 VN 45899 10046 POST /config/config.php advdomain.com Mozilla/4.0... 2012-07-19 1 123.23.253.167 VN 45899 2364 GET /stz/bla.zw oposumschoone.com Mozilla/4.0... 2012-07-18 2 27.78.155.164 VN 7552 49370 POST /09.php grz97.com Mozilla/4.0.. 2012-07-18 23 113.162.167.97 VN 45899 36006 POST /big.php blueberrymo.com Mozilla/4.0... 2012-07-17 18 183.81.60.210 VN 18403 13229 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-20 53 113.172.222.245 VN 45899 14918 GET /stz/bla.zw oposumschoone.com Mozilla/4.0... 2012-07-17 8 113.165.148.33 VN 45899 1351 GET /stz/bla.zw oposumschoone.com Mozilla/4.0... 2012-07-17 3 171.226.47.111 VN 7552 1130 POST /stick/go.php teamten.net Mozilla/4.0... 2012-07-21 351 42.117.191.203 VN 18403 20146 POST /intravaca.php oqkplss.com Mozilla/4.0... 2012-07-19 2 117.2.158.212 VN 7552 10023 POST /s.asp sonyvaio77.com Mozilla/4.0... 2012-07-19 6 171.235.14.0 VN 7552 1448 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-22 132 42.119.64.245 VN 18403 16643 POST /intravaca.php oqkplss.com Mozilla/4.0... 2012-07-17 3 1.55.117.98 VN 18403 10076 POST /v2.php asus7.com Mozilla/4.0... 2012-07-23 14 118.69.226.190 VN 18403 8782 POST /big.php blueberrymo.com Mozilla/4.0... 2012-07-17 1 123.23.27.190 VN 45899 1143 POST /s.asp sonyvaio77.com Mozilla/4.0...
52 sonyvaio77.com Mozilla/4.0... 2012-07-19 12 27.70.0.37 VN 7552 1291 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-17 31 123.30.175.79 VN 7643 34349 GET /robots.txt avgsenmbro.cc.im coccoc/1.0(... 2012-07-23 12 222.254.240.121 VN 45899 12211 POST /get.asp sonyvaio77.com Mozilla/4.0-... 2012-07-17 16 42.118.229.204 VN 18403 2512 POST /big.php blueberrymo.com Mozilla/4.0... 2012-07-21 1 118.68.207.127 VN 18403 60570 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-18 27 123.18.166.168 VN 45899 3893 GET /bot/cfg.bin activedent.net Mozilla/4.0... 2012-07-19 119 27.69.225.183 VN 7552 2130 GET /bot/cfg.bin activedent.net Mozilla/4.0...
Bảng 2: Dữ liệu mạng botnet Zeus
Pha 2: Xử lý dữ liệu
Sau khi có thông tin về địa chỉ IP của Việt Nam đang nằm trong các mạng botnet, Trung tâm VNCERT thực hiện xử lý để tìm ra các địa chỉ IP tĩnh của cơ quan nhà nước bị nhiễm bot theo cách:
- Chuẩn hóa dữ liệu theo một số định dạng nhất định (xls, csv) và nhập vào cơ sở dữ liệu.
- So sánh dữ liệu đã chuẩn hóa với cơ sở dữ liệu IP tĩnh của các đơn vị đã khai báo và đăng ký với Trung tâm VNCERT. Hiện tại Trung tâm VNCERT có thông tin về 7.000 địa chỉ IP tĩnh của cơ quan nhà nước cùng với đầu mối liên hệ và chủ sở hữu địa chỉ IP.
Sau khi có thông tin về các địa chỉ IP của cơ quan nhà nước đang nằm trong mạng botnet. Nếu là mạng botnet đã có mẫu và phương án xử lý Trung tâm VNCERT thực hiện ngay pha 4. Ngược lại Trung tâm VNCERT sẽ thực hiện pha
53
botnet được các tổ chức quốc tế gửi về đều đã có các công cụ diệt hoặc các phần mềm anti-virut đã cập nhật mẫu nên việc xử lý và hỗ trợ các đơn vị xử lý rất thuận lợi.
Pha 3: Nghiên cứu, phân tích
Trung tâm VNCERT thường kết hợp gửi các mẫu mã độc cho các đơn vị, tổ chức làm về an toàn thông tin (đặc biệt là các hãng anti-virut) trong và ngoài nước (CMC, BKAV, Kaspersky) để nghiên cứu mẫu mã độc mới và đưa ra công cụ, phương pháp để loại bỏ.
Sau khi đã có phương pháp để loại bỏ VNCERT thực hiện pha cảnh báo.