3. Cấu trúc luận văn
2.1.1. Phát hiện chủ động
Phát hiện bot một cách chủ động liên quan đến việc tham gia vào các hoạt động Botnet. Điều này thường liên quan đến việc mạo danh là một thành phần của Botnet. Có hai phương pháp phát hiện chủ động chính là phát hiện xâm nhập (Infiltration) và phát hiện bằng máy chủ C&C Hijack.
Infiltration: Trong phát hiện xâm nhập mộtmáy tính phòng thủ giả dạng một bot thực tế và thăm dò các máy chủ C&C hoặc các bot khác trong trường hợp của
25
một mạng Botnet có cấu trúc p2p và dựa trên đó để đạt được thông tin chi tiết về các bot khác. Nappa et al. [2] đề xuất một cuộc tấn công replay trên một Botnet dựa trên phần mềm Skype. Kỹ thuật này có thể có hiệu quả cho các mạng Botnet p2p khác nữa. Các máy tính phòng thủ dần dần giành được thông tin về các chương trình khác bằng cách liên tục phát đi tin nhắn giả để tuyên bố chính nó như là một bot mới và sau đó có được một danh sách các bot mới.
C&C server Hijack: Các Bot có thể được phát hiện bởi C&C server Hijack. Như đã biết các bot báo cáo và nhận lệnh từ các máy chủ C&C. Việc chiếm được quyền kiểm soát của máy chủ C&C sẽ tiết lộ tất cả các bot có liên hệ với nó. Điều này có thể đạt được bằng cách khai thác cơ chế Botnet raylling. Một máy tính phòng thủ có thể sử dụng thông tin này để chiếm quyền điều khiển máy chủ. Cách tiếp cận này cũng thúc đẩy sự hiểu biết về topo mạng của Botnet. Các Botnet có cấu trúc tập trung sẽ thuận lợi cho việc sử dụng kỹ thuật C&C server Hijack. Trong Botnet phân cấp, các máy chủ C&C chỉ có thông tin về bot kết nối trực tiếp với nó. Để có được thêm thông tin, một số kỹ thuật khác cần phải được sử dụng, chẳng hạn như crawl hoạt động của botnet p2p. Việc chiếm giữ các máy chủ C&C có thể thực hiện trên hai phương diện là vật lý hoặc ảo. Trong chiếm quyền vật lý, các cơ quan thực thi pháp luật sẽ thu giữ các máy tinh được dùng làm máy chủ C&C trong thực tế. Tuy nhiên, vẫn có thể chiếm quyền các máy chủ C&C mà không cần có sự tham gia của cơ quan pháp luật. Với sự giúp đỡ của các nhà cung cấp dịch vụ, các nhà nghiên cứu đã đạt được quyền truy cập vào một số máy chủ C&C được sử dụng bởi phần mềm Pushdo/ Cutwail Botnet.
Trong chiếm quyền ảo, họ chiếm quyền các máy chủ C&C bằng cách chuyển hướng các giao tiếp với máy chủ C&C sang một máy chủ dưới sự kiểm soát của họ.
26
Kỹ thuật này đã được sử dụng bởi các nhà nghiên cứu để chiếm quyền điều khiển Botnet sử dụng cơ chế tập hợp dựa trên tên miền. Nhờ phương pháp DNS sinkholing, lưu lượng được gửi bởi các bot đến một tên miền đã biết của một Botnet được chuyển tiếp đến máy chủ do các nhà nghiên cứu kiểm soát. Các tên miền của máy chủ C&C thu được bằng cách phân tích các hành vi Botnet trên máy tính.