I.Botnet là gì?
Botnet là mạng lưới các thiết bị máy tính đã bị chiếm quyền điều khiển được sử dụng để thực hiện các cuộc tấn công mạng. Thuật ngữ “botnet” được hình thành từ từ “robot” và “network”. Xây dựng mạng botnet thường là giai đoạn thâm nhập của một sơ đồ nhiều lớp. Các bot đóng vai trò như một công cụ để tự động hóa các cuộc tấn công hàng loạt. Chẳng hạn như là đánh cắp dữ liệu, gây ra sự cố cho server và phát tán phần mềm độc hại.
Botnet sẽ sử dụng thiết bị của bạn để lừa đảo hoặc gây gián đoạn cho người khác mà không cần ý kiến của bạn.
Vậy Botnet là gì và nó hoạt động như thế nào? Để mở rộng định nghĩa về botnet, chúng tôi sẽ hướng dẫn bạn hiểu cách các botnet được tạo ra và cách chúng được sử dụng trong phần tiếp theo.
II. Mục đích tấn công Botnet là gì?
Tấn công botnet có thể được dùng cho nhiều mục đích khác nhau. Do đặc thù mạng botnet tập hợp rất nhiều máy tính, cho nên tin tặc có thể sử dụng bonet để thực hiện các cuộc tấn công DDoS vào một máy chủ web nào đó. Theo đó, hàng trăm ngàn máy tính sẽ cùng lúc truy cập vào một website mục tiêu, khiến cho lưu lượng truy cập vào website đó bị quá tải. Kết quả là gây ra tình trạng bị nghẽn mạng, treo máy, không truy cập được.
Ngoài ra, mục đích của tấn công bonet có thể là:
- Gửi mail spam. Đây là cách thức kiếm tiền phổ biến của các Spammer. Bên cạnh đó, botnet cũng được sử dụng để tạo các website gian lận chèn bổ sung quảng cáo chạy trên nền web, khi người dùng click vào link quảng cáo sẽ đem lại lợi nhuận cho hacker.
- Botnet còn được sử dụng để đào Bitcoin nhằm mang lại tiền bán bitcoin cho kẻ tấn công.
- Botnet cũng tạo và phát tán các loại virut, malware, phần mềm độc hại đến máy tính bạn, sau đó tiếp tục lây lan sang các máy tính khác để tạo một mạng lưới Botnet lớn rộng nhằm thu được nhiều lợi nhuận hơn.
III. Cách hoạt động của Botnet là gì?
Botnet được xây dựng để phát triển, tự động hóa và tăng tốc khả năng thực hiện những cuộc tấn công lớn của các hacker.
Một người hoặc thậm chí một nhóm hacker có thể thực hiện nhiều hành động trên thiết bị cục bộ của họ. Tuy nhiên, với chi phí thấp và đầu tư một chút thời gian, họ có thể có được hàng tấn máy móc bổ sung để tận dụng hoạt động hiệu quả hơn.
Bot herder dẫn đầu một tập hợp các thiết bị tấn công bằng các lệnh từ xa. Sau khi đã biên dịch các bot, herder sẽ sử dụng lệnh để thúc đẩy các hành động tiếp theo của họ. Bên nhận lệnh có thể đã thiết lập mạng botnet hoặc đang vận hành mạng này dưới dạng cho thuê.
Máy tính zoombie hoặc bot, đề cập đến từng thiết bị từng bị nhiễm phần mềm độc hại hoặc đã sử dụng botnet. Các thiết bị này hoạt động theo lệnh do bot herder thiết kế.
Các giai đoạn cơ bản của việc xây dựng một mạng botnet có thể được đơn giản hóa thành một vài bước:
- Prep và Expose – Các hacker khai thác lỗ hổng để khiến người dùng tiếp xúc với phần mềm độc hại.
- Infect – Thiết bị của người dùng bị nhiễm phần mềm độc hại. Các phần mềm này có thể chiếm quyền kiểm soát thiết bị của họ.
- Activate – Hacker kích hoạt các thiết bị bị nhiễm để thực hiện các cuộc tấn công.
Expose ở giai đoạn 1 bắt đầu với việc hacker tìm thấy lỗ hổng trong web, ứng dụng hoặc các hoạt động của người dùng. Mục đích là để thiết lập cho người dùng vô tình bị nhiễm phần mềm độc hại. Bạn sẽ thường thấy hacker sẽ khai thác các vấn đề về bảo mật trong phần mềm hoặc trang web. Hoặc chúng có thể gửi phần mềm độc hại thông qua email hoặc thông qua tin nhắn trực tiếp.
Ở giai đoạn 2, người dùng bị nhiễm phần mềm độc hại khi thực hiện một hành động ảnh hưởng đến thiết bị của họ. Nhiều phương pháp trong số này liên quan đến việc người dùng bị thuyết phục để tải xuống một số virus Trojan đặc biệt. Những hacker khác có thể hung hãn hơn bằng cách sử dụng bản tải xuống của từng ổ khi truy cập vào web bị nhiễm. Bất kể phương pháp phân phối nào, tội phạm mạng cuối cùng vẫn vi phạm bảo mật máy tính của người dùng.
Khi hacker đã sẵn sàng, giai đoạn 3 bắt đầu bằng cách chiếm quyền kiếm soát của từng máy tính. Hacker làm cho tất cả các máy bị nhiễm thành một mạng lưới các “bot” mà chúng có thể quản lý từ xa. Thông thường, tội phạm mạng sẽ tìm cách lây nhiễm và kiểm soát hàng nghìn, hàng chục nghìn, thậm chí hàng triệu máy tính. Sau đó, tội phạm mạng có thể hoạt động như một ông chủ của một “zoombie network” – tức là một mạng botnet được tập hợp hoàn chỉnh và đang hoạt động.
Vậy câu hỏi đặt ra ở đây là Botnet làm những gì? Sau khi bị nhiễm, một máy tính zoombie cho phép truy cập vào các hoạt động cấp quản trị viên, chẳng hạn như:
- Đọc và ghi dữ liệu hệ thống.
- Thu thập dữ liệu cá nhân của người dùng.
- Gửi file hoặc các dữ liệu khác.
- Giám sát hoạt động của người dùng.
- Tìm kiếm lỗ hổng trong các thiết bị khác.
- Cài đặt và chạy bất kỳ ứng dụng nào.
IV. Các mô hình Botnet phổ biến
Mô hình botnet Client/Server
Mô hình client/server bắt chước quy trình làm việc của máy trạm từ xa. Trong đó mỗi máy riêng lẻ kết nối với máy chủ trung tâm để truy cập thông tin. Trong mô hình này, mỗi bot sẽ kết nối với tài nguyên của command-and-control (C&C). Bằng cách sử dụng kho lưu trữ này để cung cấp lệnh mới cho mạng botnet, hacker chỉ cần sửa đổi tài liệu nguồn mà mỗi mạng botnet sử dụng từ C&C để cập nhật hướng đi cho các máy bị nhiễm. Máy chủ trung tâm kiểm soát mạng botnet có thể là một thiết bị do hacker vận hành.
Một số cấu trúc liên kết mạng botnet phổ biến bao gồm:
Mạng hình sao
Mạng hình sao đa máy chủ
Liên kết dạng phân cấp
Để loại bỏ botnet liên kết với máy chủ trung tâm, chỉ cần làm cho máy chủ bị gián đoạn. Do lỗ hổng này, những người tạo ra phần mềm độc hại botnet đã phát triển và hướng tới mô hình ít bị gián đoạn hơn.
Mô hình mạng botnet peer-to-peer
Để loại bỏ các lỗ hổng của mô hình client/server, các mạng botnet đã được thiết kế bằng cách sử dụng các thành phần của filesharing peer-to-peer. Việc nhúng cấu trúc này vào bên trong mạng botnet giúp loại bỏ lỗ hổng của mô hình client/server. Bot P2P có thể vừa là client vừa là trung tâm phát lệnh. Chúng làm việc song song với các node lân cận để truyền dữ liệu.
V .Các loại tấn công Botnet là gì?
Một số hình thức tấn công Botnet hiện nay phải kể đến đó là:
Tấn công DDoS
DDoS (viết tắt của cụm từ Distributed Denial of Operations Service) là tấn công từ chối dịch vụ phân tán. Tin tặc có thể sử dụng một botnet để xâm nhập vào máy tính của hàng loạt người dùng khác nhau rồi dùng chúng để phá hủy kết nối và dịch vụ mạng đang sử dụng. Nguyên lý cơ bản của tấn công này là làm quá tải lượng tài nguyên máy chủ hoặc tiêu tốn hết băng thông của nạn nhân dẫn đến hoạt động bị đình trệ.
Các tấn công DDoS được thực hiện phổ biến là TCP SYN và UDP flood. Để tăng mức độ nghiêm trọng, tin tặc còn có thể dùng thêm HTTP flood trên website của nạn nhân. Hình thức này được gọi là spidering.
Một trong các cuộc tấn công DDoS lớn nhất, tin tặc đã từng sử dụng virus botnet Mirai. Đây được biết đến là một loại virus có khả năng nhắm mục tiêu, giành quyền kiểm soát hàng chục ngàn thiết bị Internet, sau đó biến chúng thành những con bot tấn công DDoS vào hệ thống nạn nhân. Không chỉ vậy, virus này còn có khả năng mở rộng khiến cho cuộc tấn công DDoS trở nên phức tạp và gây ra nhiều hậu quả nghiêm trọng.
Tấn công phát tán thư rác (Spamming)
Đây là hình thức tấn công sử dụng botnet để xác định sự hiện diện của dữ liệu nhạy cảm trong máy tính bị nhiễm. Những con bot này còn có thể mở được proxy SOCKS v4/v5 (giao thức proxy chung cho mạng dựa trên TCP/IP).
Sau khi kích hoạt Proxy SOCKS có thể sử dụng để phát tán thư rác (spamming). Để theo dõi thông tin hoặc dữ liệu được truyền ở máy tính bị xâm nhập thì botnet sẽ sử dụng packet sniffer và sniffer truy xuất thông tin nhạy cảm như tên người dùng, mật khẩu…
Trong các loại thư rác thì Grum là loại khó bị phát hiện và khiến cho nhiều người lo lắng nhất. Bởi vì nó lây nhiễm trong những file được dùng bởi registry Autorun. Đây là mạng botnet có số lượng thành viên tương đối nhỏ, khoảng 600.000 thành viên nhưng mỗi ngày có tới 40 tỷ email spam, tương đương với 25% tổng số email spam của tất cả các loại cộng lại.
Keylogging
Tấn công Keylogging chính là việc botmaster với sự trợ giúp của chương trình Keylogging sẽ lấy thông tin nhạy cảm và đánh cắp dữ liệu. Chương trình này còn có khả năng thu thập các phím được nhập trong PayPal, Yahoo… của người dùng.
Ngoài ra còn có 1 loại phần mềm gián điệp mang tên là OSX/XSLCmd. Nó có thể chuyển từ hệ điều hành Windows sang hệ điều hành OS X cùng với khả năng keylogging và chụp màn hình.
Đánh cắp danh tính hàng loạt
Kết hợp nhiều loại bot khác nhau có thể dễ dàng thực hiện hành vi trộm cắp danh tính ở quy mô lớn. Các bot này sẽ thực hiện gửi email spam để hướng người dùng truy cập đến những website giả mạo, sau đó sẽ thu thập thông tin cá nhân của người dùng.
Thậm chí, các bot này có thể giả danh tính của những công ty pháp lý và yêu cầu người dùng cung cấp những thông tin cá nhân như thẻ tín dụng, tài khoản ngân hàng, mã số thuế… Một số kiểu tấn công điển hình như: sử dụng email phishing để lừa nạn nhân nhập thông tin đăng nhập trên các trang thương mại điện tử (eBay, Amazon), ngân hàng.
Lợi dụng việc trả tiền mỗi lần nhấp (CPC)
AdSense của Google là chương trình cho phép hiển thị quảng cáo Google trên website và Google sẽ trả tiền cho chủ sở hữu website dựa trên số lần nhấp chuột vào quảng cáo.
Khi máy tính của người dùng bị nhiễm botnet sẽ tự động nhấp vào những quảng cáo trên website đó và làm tăng số lần nhấp. Điều này làm cho lưu lượng truy cập đến website được quảng cáo là ảo, gây hiểu lầm cho google và công ty được quảng cáo.
Lây lan botnet
Tin tặc có thể lan truyền các botnet bằng cách thuyết phục người dùng tải xuống những chương trình có nhiễm virus. Những chương trình này có thể được thực thi thông qua Email, HTTP hoặc FTP.
Vào tháng 1/2017, hai nhà nghiên cứu bảo mật đã phát hiện botnet “Star Wars” hoạt động trên Twitter, trong đó có đến gần 350.000 tài khoản bot đã tweet các trích dẫn ngẫu nhiên từ một series phim. Việc này có thể dẫn đến các trending (chủ đề thịnh hành) giả gây xôn xao cộng đồng mạng, phát tán việc gửi mail giả, phát động tấn công mạng và có thể dẫn đến nhiều hệ lụy nghiêm trọng hơn nữa…
Phần mềm quảng cáo
Máy tính người dùng có thể xuất hiện những quảng cáo không mong muốn hoặc quảng cáo gốc bị thay thế bởi những phần mềm quảng cáo lừa đảo. Đây là những phần mềm không được người dùng cho phép và lây nhiễm vào hệ thống của người dùng khi họ nhấp vào những mẫu quảng cáo đó.
Phần mềm quảng cáo này thoạt nhìn giống như quảng cáo vô hại nhưng chúng đã được cài đặt sẵn những phần mềm gián điệp để thu thập dữ liệu trình duyệt của người dùng. Để chống lại các cuộc tấn công này, người dùng có thể sử dụng những phần mềm chặn quảng cáo. Phần mềm chặn quảng cáo có thể chặn không cho botnet xâm nhập vào máy tính hay lây nhiễm trên ổ cứng hoặc lưu lượng mạng, đồng thời trục xuất chúng ra khỏi hệ thống máy tính đó.
VI. Giải pháp phòng chống botnet là gì?
- Cải thiện mật khẩu của người dùng. Sử dụng mật khẩu phức tạp và dài sẽ giúp thiết bị an toàn hơn.
- Tránh mua thiết bị có tính bảo mật yếu. Những thiết bị giá rẻ có xu hướng ưu tiên sự tiện lợi hơn là bảo mật. Nghiên cứu về tính năng an toàn của sản phẩm trước khi mua.
- Cập nhật admin setting và mật khẩu trên các thiết bị của bạn. Nếu không có bản cập nhật cho thông tin đăng nhập, hacker có thể sẽ xâm phạm và lây nhiễm các thiết bị của bạn.
- Cảnh giác với bất kỳ tệp đính kèm email nào. Cách tốt nhất là tránh hoàn toàn việc tải xuống tệp đính kèm. Khi cần tải xuống, hãy điều tra cần thận và xác minh địa chỉ email người gửi. Ngoài ra, hãy sử dụng phần mềm chống virus chủ động quét các tệp đính kèm để tìm phần mềm độc hại trước khi tải xuống.
- Không bao giờ nhấp vào liên kết trong bất kỳ tin nhắn nào bạn nhận được. Nhập liên kết vào thanh địa chỉ theo cách thủ công sẽ giúp bạn tránh bị nhiễm độc bộ nhớ cache DNS. Ngoài ra, hãy thực hiện thêm một bước để tìm kiếm phiên bản chính của liên kết.
- Cài đặt phần mềm diệt virus hiệu quả. Một bộ bảo mật internet mạnh mẽ sẽ giúp bảo vệ máy tính của bạn khỏi Trojan và các mối đe dọa khác.
Hy vọng bài viết trên sẽ giúp bạn hiểu được botnet là gì? Cách thức hoạt động của botnet như thế nào và làm sao để chống được botnet. Nếu bạn có thắc mắt hay đóng góp ý kiến, mời bạn để lại bình luận phía dưới bài viết này. Gocinfo xin chân thành cảm ơn bạn.