Hoạt động bóc gỡ botnet được Trung tâm VNCERT bắt đầu thực hiện từ năm 2012 và cũng là nội dung được chú trọng trong “Hội thảo Xây dựng cơ chế phối hợp trong nước/ngoài nước trong hoạt động ứng cứu khẩn cấp năm 2013”. Trong hội thảo này đại diện của Trung tâm VNCERT đã chia sẻ “Giải pháp hiện tại của VNCERT mới sử dụng cách thức phát hiện và cảnh báo botnet dựa trên các báo cáo thu được trong pha 4, 5 từ các tổ chức và nạn nhân bị tấn công” theo quy trình đơn giản.
50
Hình 19: Hoạt động bóc gỡ botnet của Trung tâm VNCERT
Quy trình xử lý sự cố liên quan đến botnet cụ thể như sau:
Pha 1: Thu thập thông tin: tiếp nhận các thông báo sự cố từ các tổ chức và công
tác giám sát mạng của Trung tâm VNCERT.
Hiện tại ở Việt Nam chưa có hệ thống thu thập thông tin botnet chủ động, các thông tin về hoạt động của các mạng botnet đang được VNCERT thu thập thông qua cơ chế chia sẻ thông tin giữa Việt Nam và các tổ chức làm về an toàn thông tin trong và ngoài nước (chủ yếu là các tổ chức quốc tế). Các tổ chức quốc tế hiện tại đang chia sẻ thường xuyên thông tin về hoạt động của các mạng botnet ở Việt Nam với Trung tâm VNCERT gồm: Microsoft, Shadownserver, Botnet Tracker, JPCERT, Inteco-CERT, CNCERT và nhiều CERT quốc gia khác.
Dữ liệu botnet gửi về Trung tâm VNCERT ở dạng tệp tin thông qua kênh thư điện tử và có các thông tin quan trọng sau:
- Thời gian giám sát: thời gian các địa chỉ kết nối tới các máy chủ điều khiển. - Địa chỉ IP nguồn: địa chỉ IP ở Việt Nam đang tham gia vào các mạng botnet (các máy bị nhiễm bot).
- Địa chỉ IP đích: địa chỉ các máy bị nhiễm bot sẽ kết nối đến (có thể là máy chủ điều khiển hoặc các đích bị tấn công).
51
tổng số kết nối, tên nhà cung cấp dịch vụ hosting, phương thức, UserAgent... Dưới đây là ví dụ về dữ liệu mạng botnet zbot của Microsoft.
Time Count IP Country Company ASN SrcPt Action Request Host UserAgent 2012-07-19 2 113.168.253.133 VN 45899 10046 POST /config/config.php advdomain.com Mozilla/4.0... 2012-07-19 1 123.23.253.167 VN 45899 2364 GET /stz/bla.zw oposumschoone.com Mozilla/4.0... 2012-07-18 2 27.78.155.164 VN 7552 49370 POST /09.php grz97.com Mozilla/4.0.. 2012-07-18 23 113.162.167.97 VN 45899 36006 POST /big.php blueberrymo.com Mozilla/4.0... 2012-07-17 18 183.81.60.210 VN 18403 13229 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-20 53 113.172.222.245 VN 45899 14918 GET /stz/bla.zw oposumschoone.com Mozilla/4.0... 2012-07-17 8 113.165.148.33 VN 45899 1351 GET /stz/bla.zw oposumschoone.com Mozilla/4.0... 2012-07-17 3 171.226.47.111 VN 7552 1130 POST /stick/go.php teamten.net Mozilla/4.0... 2012-07-21 351 42.117.191.203 VN 18403 20146 POST /intravaca.php oqkplss.com Mozilla/4.0... 2012-07-19 2 117.2.158.212 VN 7552 10023 POST /s.asp sonyvaio77.com Mozilla/4.0... 2012-07-19 6 171.235.14.0 VN 7552 1448 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-22 132 42.119.64.245 VN 18403 16643 POST /intravaca.php oqkplss.com Mozilla/4.0... 2012-07-17 3 1.55.117.98 VN 18403 10076 POST /v2.php asus7.com Mozilla/4.0... 2012-07-23 14 118.69.226.190 VN 18403 8782 POST /big.php blueberrymo.com Mozilla/4.0... 2012-07-17 1 123.23.27.190 VN 45899 1143 POST /s.asp sonyvaio77.com Mozilla/4.0...
52 sonyvaio77.com Mozilla/4.0... 2012-07-19 12 27.70.0.37 VN 7552 1291 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-17 31 123.30.175.79 VN 7643 34349 GET /robots.txt avgsenmbro.cc.im coccoc/1.0(... 2012-07-23 12 222.254.240.121 VN 45899 12211 POST /get.asp sonyvaio77.com Mozilla/4.0-... 2012-07-17 16 42.118.229.204 VN 18403 2512 POST /big.php blueberrymo.com Mozilla/4.0... 2012-07-21 1 118.68.207.127 VN 18403 60570 POST /get.asp sonyvaio77.com Mozilla/4.0... 2012-07-18 27 123.18.166.168 VN 45899 3893 GET /bot/cfg.bin activedent.net Mozilla/4.0... 2012-07-19 119 27.69.225.183 VN 7552 2130 GET /bot/cfg.bin activedent.net Mozilla/4.0...
Bảng 2: Dữ liệu mạng botnet Zeus
Pha 2: Xử lý dữ liệu
Sau khi có thông tin về địa chỉ IP của Việt Nam đang nằm trong các mạng botnet, Trung tâm VNCERT thực hiện xử lý để tìm ra các địa chỉ IP tĩnh của cơ quan nhà nước bị nhiễm bot theo cách:
- Chuẩn hóa dữ liệu theo một số định dạng nhất định (xls, csv) và nhập vào cơ sở dữ liệu.
- So sánh dữ liệu đã chuẩn hóa với cơ sở dữ liệu IP tĩnh của các đơn vị đã khai báo và đăng ký với Trung tâm VNCERT. Hiện tại Trung tâm VNCERT có thông tin về 7.000 địa chỉ IP tĩnh của cơ quan nhà nước cùng với đầu mối liên hệ và chủ sở hữu địa chỉ IP.
Sau khi có thông tin về các địa chỉ IP của cơ quan nhà nước đang nằm trong mạng botnet. Nếu là mạng botnet đã có mẫu và phương án xử lý Trung tâm VNCERT thực hiện ngay pha 4. Ngược lại Trung tâm VNCERT sẽ thực hiện pha
53
botnet được các tổ chức quốc tế gửi về đều đã có các công cụ diệt hoặc các phần mềm anti-virut đã cập nhật mẫu nên việc xử lý và hỗ trợ các đơn vị xử lý rất thuận lợi.
Pha 3: Nghiên cứu, phân tích
Trung tâm VNCERT thường kết hợp gửi các mẫu mã độc cho các đơn vị, tổ chức làm về an toàn thông tin (đặc biệt là các hãng anti-virut) trong và ngoài nước (CMC, BKAV, Kaspersky) để nghiên cứu mẫu mã độc mới và đưa ra công cụ, phương pháp để loại bỏ.
Sau khi đã có phương pháp để loại bỏ VNCERT thực hiện pha cảnh báo.
Pha 4: Gửi cảnh báo và hướng dẫn bóc gỡ
Hiện tại VNCERT sử dụng kênh cảnh báo chủ yếu bằng thư điện tử. Khi phát hiện địa chỉ IP tĩnh của cơ quan nhà nước đang nằm trong mạng botnet VNCERT sẽ gửi cảnh báo (bằng thư điện tử) từ hòm thư điều phối ứng cứu sự cố ir@vncert.vn tới đầu mối xử lý sự cố của đơn vị đó. Ví dụ địa chỉ IP của sở Giao thông vận tải Nam Định nếu nằm trong mạng botnet, khi phát hiện VNCERT sẽ gửi cảnh báo tới đơn vị đầu mối là sở Thông tin và Truyền thông Nam Định. Khi đó Sở thông tin và truyền thông Nam Định sẽ có trách nhiệm cảnh báo và hỗ trợ sở Giao thông vận tải giải quyết sự cố này theo mô hình của thông tư 27/2011/BTTT. Dưới đây là mẫu cảnh báo botnet qua thư điện tử của Trung tâm VNCERT.
Kính gửi: anh/chị Nguyễn Xuân Tùng - Sở TT & TT ...,
Nằm trong chương trình theo dõi mạng máy tính Botnet, Trung tâm VNCERT phát hiện địa chỉ IP do quý đơn vị quản lý đang tham gia mạng lưới Botnet. Vì thế VNCERT yêu cầu quý đơn vị khoanh vùng gỡ bỏ mã độc khỏi mạng Botnet.
Thông tin chi tiết:
- Địa chỉ IP nhiễm: 113.165.166.72 (adsbygoogle = window.adsbygoogle || []).push({});
- Địa chỉ đích kết nối: 216.66.15.109 - Mạng botnet/virut: downadup
54
Đây là nhóm mã độc rất nguy hiểm chuyên lấy cắp thông tin và điều khiển máy tính người dùng. Yêu cầu quý đơn vị thực hiện nghiêm túc ngay khi được thông báo.
Nếu cần thêm thông tin hoặc hỗ trợ có thể liên hệ với người gửi bên dưới.
Cách xử lý:
- Khoanh vùng nhằm tìm kiếm máy tính đang bị nhiễm mã độc.
- Cài đặt phần mềm diệt virus để quét máy bị nhiễm. Khuyến cáo: Kaspersky (có phí),
AVG AntiVirus Free 2014 (miễn phí), Avira Free Antivirus 2014 (miễn phí), Avast!
Free Antivirus 2014 (miễn phí).
- Cập nhật thường xuyên các bản vá cho Windows và phần mềm diệt virus.
- Sử dụng tường lửa (firewall) hoặc các thiết bị có chức năng tương tự để chặn các kết
nối đến các máy chủ có địa chỉ IP và Domain sau: + 108.175.9.189 + 149.93.0.0 - 149.93.255.255 + 38.102.150.28 + kukutrustnet777.info + kukutrustnet888.info + kukutrustnet987.info + phtwu.lukki6nd2kdnc.info + trafficconverter.biz + 194b19.cash-ddt.net + 197d6.makemegood24.com
Tài liệu tại hướng dẫn:
- Video hướng dẫn tìm kiếm, gỡ bỏ, chặn địa chỉ:
http://www.youtube.com/playlist?list=PLxXyEDuUF7rhG5LasvIXsfE46geOHmLfH
- Hướng dẫn gỡ bỏ bằng tay: http://vncert.gov.vn/tainguyen/HD_Remove_Botnet.zip
Trân trọng,
Bảng 3: Mẫu cảnh báo botnet của Trung tâm VNCERT
Thông thường khi nhận được cảnh báo thì các đơn vị đầu mối phải có trách nhiệm xử lý và hỗ trợ các đơn vị trong địa bàn của mình xử lý, tuy nhiên nhiều đơn vị thường xuyên liên lạc với bộ phận kỹ thuật của VNCERT để yêu cầu hỗ trợ.
55
Ưu điểm:
- Chưa cần đầu tư lớn, chi phí vận hành rẻ.
Nhược điểm:
- Bị động trong nguồn dữ liệu cũng như việc giám sát do dữ liệu phụ thuộc vào các tổ chức quốc tế.
- Không kiểm tra được độ chính xác của nguồn dữ liệu. - Không thể giám sát được việc xử lý có triệt để không.
- Không chủ động phát hiện sớm, khi mạng botnet bắt đầu thực hiện tấn công mới thu được thông tin.
- Chỉ phát huy hiệu quả khi có sự phối hợp chặt chẽ và kịp thời của nhiều đơn vị.
3.1.3 Kế hoạch xây dựng giải pháp và triển khai bóc gỡ botnet của VNCERT
Kế hoạch xây dựng giải pháp và triển khai bóc gỡ botnet đã được nêu tại hội thảo về điều phối ứng cứu sự cố CSIRTS năm 2013 gồm:
1) Ngăn chặn việc hình thành mạng botnet (tác động vào pha 1). 2) Hạn chế sự lây lan của mạng botnet (tác động vào pha 2). (adsbygoogle = window.adsbygoogle || []).push({});
3) Lên phương án và giải pháp kỹ thuật để theo dõi và sớm phát hiện ra các mạng botnet mới (tác động vào pha 3).
4) Không để thị trường mua bán mã độc, botnet hoạt động tại Việt Nam (tác động vào pha 4).
5) Nhanh chóng phản ứng với các cuộc tấn công, thu thập thông tin về mạng botnet (tác động vào pha 5).
Trên đây là những hạn chế của giải pháp hiện tại và kế hoạch xây dựng một giải pháp chủ động phát hiện và bóc gỡ mạng botnet và hoàn thiện hơn cho không gian mạng Việt Nam của Trung tâm VNCERT. Việc xây dựng một giải pháp để
56
có sự đầu tư về mặt kinh phí, sự phối hợp của các cơ quan, doanh nghiệp liên quan, và quan trọng hơn hết là nhận thức của người dùng Internet.
3.2. Đề xuất mô hình
Từ những hạn chế của hoạt động bóc gỡ botnet đang triển khai của Trung tâm VNCERT cùng với việc tham khảo một số mô hình phát hiện và bóc gỡ botnet tôi xin đề xuất mô hình phát hiện và bóc gỡ botnet như sau:
Hình 20: Đề xuất mô hình phát hiện và bóc gỡ botnet trong môi trường mạng lớn
Trong mô hình kiến trúc này các thành phần của hệ thống hoạt động như sau: a) Trung tâm điều khiển bao gồm:
- Máy chủ DNS Sinkhole: một máy chủ DNS cài đặt kỹ thuật Sinkhole để tạo và cập nhật danh sách các tên miền độc hại theo cơ chế thủ công hoặc tự động.
- Honeypot: máy đóng vai trò như một hệ thống bẫy để thu thập các mẫu tấn công, phần mềm độc hại và phương thức tấn công.
57
bị nhiễm và nâng cao nhận thức cho người dùng Internet. b) Máy chủ DNS của các doanh nghiệp ISP, các đơn vị.
Các máy chủ DNS có thể hoạt hoạt động theo hai phương thức:
1. Chuyển tiếp yêu cầu phân giải miền độc hại tới máy chủ DNS Sinkhole. 2. Cập nhật danh sách các bản ghi tên miền độc hại về cơ sở dữ liệu của
mình sau đó tự phân giải và trả lời yêu cầu.
Để người dùng không sử dụng máy chủ DNS khác (người dùng Internet Việt Nam thường sử dụng máy chủ DNS của Google), trên hệ thống của các doanh nghiệp ISP, các đơn vị phải áp dụng chính sách để ngăn chặn, giới hạn việc sử dụng các máy chủ DNS (ví dụ có thể chặn mọi truy vấn DNS (cổng TCP, UDP 53) tới địa chỉ IP không được phép trên các thiết bị đóng vai trò Gateway).
c) Máy tính của người dùng Internet (máy bị nhiễm bot)
Trong mô hình này, máy tính của người dùng Internet nếu nằm trong mạng botnet, khi kết nối tới tên miền độc hại hay các máy chủ C&C thông qua tên miền sẽ thực hiện các bước cơ bản sau:
(1) Máy tính bị nhiễm bot gửi yêu cầu phân giải tên miền tới máy chủ DNS của các ISP.
(2) Máy chủ DNS của ISP sau khi xử lý sẽ trả về địa chỉ IP của máy được thiết lập Sinkhole (chính là máy đóng vai trò Honeypot).
(3): Máy bị nhiễm bot kết nối tới máy chủ Sinkhole thay vì kết nối tới máy chủ C&C. Tại đây các Honeypot có hai vai trò: thu thập cách thức, hành vi của máy bị nhiễm bot và chuyển hướng kết nối tới trang web chứa các công cụ để loại bỏ mã độc, vì vậy người dùng ngồi trên máy bị nhiễm bot có thể tải các các công cụ này để loại bỏ mã độc trên máy tính của mình.
58
3.3.1. Mô hình
Các thành phần triển khai gồm: máy chủ DNS Sinkhole, máy chủ web, máy người dùng.
Trong mô hình này máy chủ web đóng vai trò là máy Sinkhole và tiếp nhận mọi kết nối tới máy chủ C&C từ máy client.
Hình 21: Mô hình cài đặt và thử nghiệm
3.3.2. Kịch bản thử nghiệm
3.3.2.1. Mô tả kịch bản (adsbygoogle = window.adsbygoogle || []).push({});
Trong kịch bản thử nghiệm, để đánh giá được hoạt động của mô hình tôi sử dụng hai mẫu mã độc thực tế (thuộc mạng botnet Conficker và Zeuz) và cho thực thi mã độc trong một máy ảo Window XP (đóng vai trò như máy người dùng bị nhiễm bot, còn gọi là máy client).
Theo phân tích của các hãng bảo mật và Trung tâm VNCERT, mã độc Zeuz sau khi lây nhiễm vào máy tính người dùng sẽ tự động xoá tập tin ban đầu và sao chép chính nó thành nhiều tập tin khác (ntos.exe, oembios.exe, sdra64.exe…) và
59
văn chỉ thực hiện theo dõi các kết nối mạng từ máy bị nhiễm bot. Sau khi lây nhiễm vào máy tính, máy bị nhiễm sẽ thực hiện kết nối tới các máy chủ C&C để cập nhật cấu hình (danh sách các máy chủ C&C thuộc mạng botnet Zeus trong phần phụ lục).
60
mã độc Zeus trên máy client trước và sau khi áp dụng mô hình, sau đó so sánh kết quả trong hai trường hợp:
- Trước khi áp dụng mô hình: máy client sử dụng máy chủ DNS 8.8.8.8 của Google.
- Sau khi áp dụng mô hình: máy client sử dụng máy chủ DNS Sinkhole 192.168.1.110.
3.3.2.2. Cài đặt và cấu hình
1. Trường hợp 1: máy client sử dụng máy chủ DNS 8.8.8.8
- Cấu hình mạng cho máy client như sau: IP: 192.168.1.99
Gateway: 192.168.1.1 DNS Server: 8.8.8.8
2. Trường hợp 2: máy client sử dụng máy chủ DNS Sinkhole
a. Cấu hình mạng cho các máy - Cấu hình mạng của máy chủ DNS
Địa chỉ IP: 192.168.1.110 Subnet: 255.255.255.0 Gateway: N/A
- Cấu hình mạng cho máy chủ web Địa chỉ IP: 192.168.1.20 Subnet: 255.255.255.0 Gateway: N/A
61 Server về địa chỉ 192.168.1.110.
b. Cấu hình Sinkhole cho máy chủ DNS
- Bước 1: Khai báo các tập tin chứa tên miền độc hại trong tập tin cấu hình của dịch vụ DNS (named.conf).
include "/var/named/site_specific_sinkhole.conf"; include "/var/named/entire_domain_sinkhole.conf"; include "/var/named/custom_wildcard_sinkhole.conf"; include "/var/named/custom_single_sinkhole.conf";
Bảng 4: Khai báo tập tin cấu hình tên miền độc hại
Trong đó tập tin custom_single_sinkhole.conf, site_specific_sinkhole.conf chứa danh sách các tên miền đơn và thông tin địa chỉ IP của các tên miền mà máy chủ DNS sẽ phân giải (thông tin địa chỉ IP nằm trong tập tin /var/named/sinkhole/client.nowhere). Thông thường những tên miền được thêm theo cách thủ công sẽ lưu trữ trong tập tin custom_single_sinkhole.conf. Tập tin entire_domain_sinkhole.conf và custom_wildcard_sinkhole.conf chứa danh sách các tên miền cha (ví dụ muốn chặn mọi tên miền con của tên miền sẽ biểu diễn bởi *.botnet.vn).
- Bước 2: Khai báo tên miền độc hại cho mạng botnet Zeus trong tập tin custom_single_sinkhole.conf như sau.
zone "www.botnet.vn" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; };
zone "mm266.bplaced.com" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; };
zone "yqdqyntx.com" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; };
zone "4btc.cc" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; zone "uvcaylkgdpg.biz" IN { type master; notify no; file
"/var/named/sinkhole/client.nowhere"; };
zone "vzcocljtfi.biz" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; };
zone "wojpnhwk.cc" IN { type master; notify no; file "/var/named/sinkhole/client.nowhere"; }; (adsbygoogle = window.adsbygoogle || []).push({});
62
Thông thường đây là địa chỉ IP của Honeypot hoặc các IDS, khi đó các máy bị nhiễm bot sẽ được chuyển hướng tới các hệ thống này để thu thập mẫu cách thức