B O T N E T Dẫn nhập  Khi bị nhiễm mã độc, máy tính có nguy cơ trở thành zombie của một mạng Botnet  Tác hại của botnet không thể lường trước được, số lượng máy tính bị nhiễm và trở thành một phần của mạng botnet ngày càng đông Tóm tắt nội dung  Botnet và cách thức hoạt động của chúng  Những thành phần cơ bản trong bot  Tấn công và chiếm quyền điều khiển máy tính  Ngăn chặn hiệu quả và cách đối phó với nạn botnet Khái niệm  Botnet là một thuật ngữ được lấy từ ý tưởng của cụm từ “bots network” dùng để chỉ một mạng lưới các bot  Một bot đơn giản là một chương trình máy tính được điều khiển bởi ai đó hoặc từ một nguồn nào bên ngoài Phân loại Botnet Có 2 loại cơ bản:  DNS Bot  IRC Bot DNS Bot  DNS Bot là phương pháp điều khiển bot trên nền web • Đầu tiên tại host điều khiển botmaster sẽ taọ một tệp lệnh (vd: direc.txt) và bot sẽ download tệp này. • Sau khi download thành công sẽ tiến hành phân tích chỉ thị và thực thi chỉ thị tại máy bị nhiễm (zombie). DNS bot (tt)  Ưu điểm :Thực hiện dễ dàng, điều khiển đơn giản chỉ cần một host bất kỳ là có thể điều khiển được, bot thực hiện được công việc ngay cả khi chủ bot offline  Hạn chế : sự trao đổi thông tin qua lại giữa master và bot bị hạn chế IRC Bot  Là phương pháp điều khiển qua các mạng chat IRC  Bot sử dụng winsock gửi các tệp lệnh IRC để nhận lệnh từ từ master qua một port đã định sẵn khi cấu hình bot (*)  Sau khi đã vào (join) kênh (chanel) được ấn định, bot sẽ nhận lệnh từ master thông qua kết nối IRC IRC Bot (tt)  Ưu điểm : Dễ dàng trong việc trao đổi thông tin qua lại giữa master và bot  Nhược điểm : Phụ thuộc vào các IRC Server và người quản trị của IRC Server bởi các lưu lượng do bot tạo ra rất nhanh và rất đáng ngờ, dễ bị phát hiện (*) Mục đích sử dụng botnet  Mạng Botnet thường được sử dụng để kiểm soát các hoạt động từ việc phân phối spam, virus đến tấn công từ chối dịch vụ DDoS.  Khả năng sử dụng bot hoàn toàn phụ thuộc vào sức sáng tạo và kỹ năng của kẻ tấn công. Chúng ta hãy xem một số mục đích sử dụng phổ biến nhất. [...]... điều khiển cơ chế phát tán thư rác theo cùng một cách với kiểu tấn công DDoS  Thư rác được các Spammer phân phối qua các bot server và từ đó phát tán tới zombies (*) Sniffing và Keylogging  Các bot cũng có thể được sử dụng để nâng cao nghệ thuật cổ điển của hoạt động sniffing (*)  Ở dạng này các bot được điều khiển để theo dõi các gói dữ liệu truyền đi của nạn nhân và có thể lấy một số thông tin thú... này được thiết kế sao cho có thể chuyển các zombie sang một botnet server dự phòng khác Giải pháp phòng vệ ? Giải pháp phòng vệ ? Do bot hoạt động phía người dùng (phân tán) nên việc phòng vệ chỉ hiệu quả khi áp dụng bởi người dùng, đây là một thách thức lớn trong ý thức sử dụng máy tính (và các thiết bị truyền thông) an toàn  Phương pháp bảo vệ  Sử dụng và duy trì phần mềm chống virus  Cài đặt tường...  Các máy tính bot trong mạng botnet có thể được dùng như một kho lưu trữ động tài liệu bất hợp pháp Dữ liệu được lưu trữ trên ổ cứng trong khi người dùng không hề hay biết DEMO Thư giãn || Suy ngẫm Một khi hệ thống bị nhiễm mã độc, hệ thống có còn là của người dùng hay không ?¿ Các yếu tố một cuộc tấn công Hình 1: Cấu trúc của một botnet điển hình Các yếu tố một cuộc tấn công  Đầu tiên kẻ tấn công... một hình thức thu thập tất cả thông tin trên bàn phím khi người dùng gõ vào máy tính (như e-mail, password, dữ liệu ngân hàng…) Lấy cắp nhân dạng  Phương pháp này cho phép kẻ tấn công điều khiển botnet để thu thập một lượng thông tin cá nhân khổng lồ  Những dữ liệu có thể được dùng để xây dựng nhân dạng giả mạo, sau đó lợi dụng để có thể truy cập tài khoản cá nhân hoặc thực hiện nhiều hoạt động khác... Hình 1: Cấu trúc của một botnet điển hình Các yếu tố một cuộc tấn công  Đầu tiên kẻ tấn công sẽ phát tán mã độc (vd: trojan horse) vào nhiều máy tính (*)  Các máy tính bị tấn công gọi là zombie sẽ tự động kết nối tới botnet server nhận lệnh điều khiển Các yếu tố một cuộc tấn công  Bot Server có thể là một máy công cộng, một webserver hoặc IRC, nhưng cũng có thể là máy chuyên dụng do kẻ tấn công cài...Mục đích sử dụng botnet (tt) Nếu là master của một bots network, bạn sẽ làm gì ?  Mục đích sử dụng botnet (tt) 1 2 3 4 5 DDoS (tấn công từ chối dịch vụ phân tán) Spamming (phát tán thư rác) Sniffing và Keylogging Lấy thông tin nhận dạng Sở hữu... duy trì phần mềm chống virus  Cài đặt tường lửa  Cài đặt các bản vá phần mềm  Làm theo các hướng dẫn về bảo mật Xu hướng phát triển Botnet (*)  Khả năng tồn tại  Khả năng lây nhiễm  Khả năng tự động hoá các tác vụ Tổng kết và thảo luận ? Cảm ơn các bạn đã quan tâm theo dõi ! jutoms@enhack.net L C S O D E . zombie của một mạng Botnet  Tác hại của botnet không thể lường trước được, số lượng máy tính bị nhiễm và trở thành một phần của mạng botnet ngày càng đông Tóm tắt nội dung  Botnet và cách thức. nội dung  Botnet và cách thức hoạt động của chúng  Những thành phần cơ bản trong bot  Tấn công và chiếm quyền điều khiển máy tính  Ngăn chặn hiệu quả và cách đối phó với nạn botnet Khái. được sử dụng để nâng cao nghệ thuật cổ điển của hoạt động sniffing (*)  Ở dạng này các bot được điều khiển để theo dõi các gói dữ liệu truyền đi của nạn nhân và có thể lấy một số thông tin