Anti DDoS

BOTNET Là gì? Làm sao để chống lại botnet?

Botnet được coi là một trong những mối đe dọa lớn nhất đối với Internet. Đây cũng là một trong những chìa khóa dẫn đến việc máy chủ của bạn bị tấn công DDoS.

Vậy Botnet là gì, chúng được tạo ra và kiểm soát như thế nào? Bài viết này sẽ giúp bạn giải đáp những thắc mắc đó!

 

botnet-la-gi

Botnet là gì?

Botnet là một mạng lưới máy tính đã bị nhiễm phần mềm độc hại và chịu sự kiểm soát của một hoặc một nhóm tội phạm mạng. Botnet là cách viết tắt của RobotNetwork và mỗi thiết bị nhiễm phải các phần mềm độc hại sẽ được gọi là Bot. 

Botnet được tạo ra để thực hiện những việc phi pháp hoặc được dùng cho những mục đích độc hại đối với nạn nhân như spam, đánh cắp dữ liệu, gửi mã độc tống tiền, các phần mềm quảng cáo không ngừng hoặc để tạo ra một cuộc tấn công DDoS.

Trong khi một vài phần mềm độc hại, như mã độc tống tiền, sẽ gây thiệt hại trực tiếp đến nạn nhân, thì DDoS Botnet có thể gây ảnh hưởng theo nhiều cấp độ khác nhau, một vài dạng phần mềm độc hại được tạo ra để lấy toàn bộ quyền kiểm soát của thiết bị, một vài dạng phần mềm độc hại sẽ chạy âm thầm như một ứng dụng nền để chờ sự chỉ đạo tấn công từ tội phạm mạng, hay còn được gọi với cái tên khác là “Bot Herder”.

Các Botnet sẽ giúp tội phạm mạng “tuyển chọn” thêm Bot từ các nguồn khác nhau. Con đường lây nhiễm của Botnet có thể bao gồm việc khai thác các lỗ hổng trên Website, sử dụng Trojan hoặc việc bẻ khóa xác thực yếu từ xa bởi hackers. Khi đã có được quyền truy cập vào thiết bị, botnet sẽ thực hiện việc cài đặt phần mềm độc hại trên thiết bị mục tiêu, cho phép người điều hành Botnet điều khiển các thiết bị này từ xa và thực hiện tấn công một Website hay một mạng nào đó.

Thường thì rất khó để có thể xác định được số lượng bot trong một mạng lưới thiết bị nhiễm phần mềm độc hại, nhưng theo ước tính, tổng số bot trong Botnet có thể lên tới vài nghìn hoặc hàng triệu máy.

cách-botnet-tan-cong-may-chu-muc-tie

Tại sao Botnet được tạo ra?

Các lý do để sử dụng Botnet có thể liên quan nhiều đến các cuộc tấn công vì lợi nhuận. Việc thuê các dịch vụ dây dựng Botnet trực tuyến tương đối rẻ so với mức độ thiệt hại mà nó có thể gây ra. 

Rào cản đối với việc tạo ra một mạng Botnet cũng đủ thấp để biến nó trở thành ngành kinh doanh sinh lợi đối với một số nhà phát triển phần mềm, đặc biệt là ở các vị trí địa lý nơi quy  định và thực thi pháp luật còn hạn chế. Do đó, sự gia tăng của các dịch vụ trực tuyến cung cấp dịch vụ tấn công bằng Botnet vẫn đang phát triển. 

 

Các tội phạm mạng kiểm soát Botnet như thế nào?

Đặc điểm cốt lõi của Botnet là khả năng nhận các chỉ đạo từ Bot Herder. Khả năng giao tiếp với từng Bot trong mạng cho phép kẻ tấn công thay thế các vectơ tấn công, thay đổi địa chỉ IP được nhắm mục tiêu, chấm dứt cuộc tấn công cùng các hành động tùy chỉnh khác. Có nhiều cách thiết kế và nhiều thiết bị Botnet khác nhau, nhưng cấu trúc điều khiển Botnet có thể được chia thành hai loại hình chung, như sau:

Mô hình Botnet máy khách – máy chủ

Mô hình máy khách – máy chủ bắt chước quy trình làm việc của máy trạm từ xa truyền thống trong đó mỗi máy riêng lẻ trong mô hình Bot sẽ kết nối với một máy chủ trung tâm (hoặc một số ít các máy chủ trung tâm) để truy cập thông tin. 

Trong mô hình này, mỗi bot sẽ kết nối với các tài nguyên của trung tâm điều khiển và chỉ huy (CnC) như miền Website hoặc kênh IRC để nhận được hướng dẫn. Bằng cách sử dụng các kho lưu trữ tập trung này để cung cấp các lệnh mới cho mạng Botnet, tội phạm mạng chỉ cần sử đổi tài liệu nguồn mà mỗi Botnet sử dụng từ một trung tâm chỉ huy để cập nhật cách các thiết bị bị nhiễm phần mềm độc hại. Các máy chủ trung tâm có thể là thiết bị riêng được vận hành bởi tội phạm mạng, hoặc cũng có thể là thiết bị được hắn hack quyền điều khiển và sử dụng như một công cụ để tạo ra các cuộc tấn công.

Có ba dạng cấu trúc liên kết mạng Botnet tập trung phổ biến dưới đây:

+ Cấu trúc liên kết hình sao

cau-truc-lien-ket-mang-botnet-hinh-sao

 

+ Cấu trúc liên kết đa máy chủ

cau-truc-lien-ket-mang-botnet-da-may-chu

 

+ Cấu trúc liên kết phân cấp 

cau-truc-lien-ket-mang-botnet-phan-cap

 

Trong bất kỳ mô hình máy khách – máy chủ nào, mỗi bot sẽ kết nối tài nguyên với máy chủ trung tâm chỉ huy để nhận chỉ đảo hướng dẫn. Bằng cách sử dụng các kho lưu trữ tập trung để cung cấp lệnh mới cho mạng Botnet, tội phạm mạng sẽ chỉ cần sửa đổi tài liệu nguồn mà mỗi mạng Botnet sử dụng từ một trung tâm chỉ huy để cập nhật hướng dẫn cho các máy bị nhiễm.

Cùng với sự đơn giản của việc cập nhật các hướng dẫn cho mạng Botnet từ một số nguồn tập trung hạn chế là lỗ hổng của các máy. Do đó, để loại bỏ được mang lưới Botnet có máy chủ CnC, chỉ cần làm cho máy chủ này bị gián đoạn. Cũng vì lỗ hổng này mà người tạo ra phần mềm lây nhiễm Botnet đã phát triển một mạng lưới Botnet mới ít bị vô hiệu hóa hơn, đó là mô hình mạng Botnet ngang hàng.

Mô hình Botnet ngang hàng

Để loại bỏ lỗ hổng của Mô hình máy khách – máy chủ, Botnet đã được thiết kế bằng cách sử dụng các thành phần của việc chia sẻ tệp ngang hàng phi tập trung.

cau-truc-lien-ket-mang-botnet-ngang-hang

Việc nhúng cấu trúc điều khiến vào bên trong mạng botnet giúp loại bỏ điểm lỗi duy nhất trong mạng botnet máy chủ tập trung, khiến các nỗ lực vô hiệu hóa botnet trở nên khó khăn hơn. Trong mô hình này, các botnet có thể vừa là bot “nhân viên”, vừa là bot “lãnh đạo”, chúng sẽ hoạt động và làm hai công việc này song song cùng một lúc, vừa chỉ huy, vừa truyền dữ liệu cho các bot lân cận để thực hiện việc tấn công.

Trong mô hình botnet ngang hàng có duy trì một danh sách các máy tính đáng tin cậy mà chúng có thể cung cấp và nhận thông tin liên lạc cũng như cập nhật phần mềm độc hại của chúng. Bằng cách giới hạn số lượng máy khác mà bot kết nối, mỗi bot sẽ chỉ được tiếp xúc với các thiết bị liền kề, khiến việc theo dõi và vô hiệu hóa bot trở nên khó hơn.

 

Các thiết bị IoT trở thành Botnet như thế nào?

Bạn sẽ không thực hiện việc chuyển tiền ngân hàng qua các ứng dụng Smart Banking bằng chiếc Camera có kết nối mạng không dây để theo dõi kẻ trộm sau nhà, nhưng điều đó không có nghĩa cái camera này có thể an toàn trước việc bị tấn công và bị biến thành một bot trong Botnet.

Hơn thế nữa, các thiết bị IoT (Internet of Things) với khả năng bảo mật yếu hoặc với cấu hình kém thường dễ dàng bị tấn công hơn cả những chiếc smartphone hay laptop mà bạn sử dụng hàng ngày. Ngày nay, khi mọi người có xu hướng kết nối Internet với mọi thứ, việc các thiết bị này bị biến thành một phần trong mạng lưới Botnet để khởi tạo một cuộc tấn công DDoS là điều khó để tránh khỏi.

Nếu lỗ hổng của các thiết bị IoT có thể được mã hóa tốt hơn, việc biến các thiết bị này trở thành botnet sẽ khó khăn hơn, tuy nhiên, nhiều người vẫn chưa hiểu được tầm quan trọng khi sử dụng bảo mật cho các thiết bị IoT, khiến cho các phần mềm độc hại Botnet vẫn là một vấn đề đáng ngại chưa được giải quyết khi sử dụng các thiết bị này.

 

Làm thế nào để vô hiệu hóa Botnet?

Như đã nói, Botnet là nguyên nhân trực tiếp dẫn đến các cuộc tấn công DDoS. Chính vì vậy, đây cũng là thách thức rất lớn đối với các nhà cung cấp dịch vụ Anti-DDoS. May mắn thay, hiện tại các nhà cung cấp dịch vụ chống tấn công DDoS đã và đang nâng cấp trình độ rất nhanh chóng và mang tới sự yên tâm. Cùng tìm hiểu xem họ đã vô hiệu hóa Botnet như thế nào phía dưới.

Vô hiệu hóa các trung tâm điều khiển (CnC) của Botnet

Các botnet được thiết kế theo mô hình máy chủ-máy khách có thể bị vô hiệu hóa dễ dàng hơn khi các trung tâm điều khiến có thể được xác định. Việc cắt bỏ phần đầu ở những điểm không thành công có thể khiến toàn bộ mạng Botnet ngoại tuyến. 

Do đó, các quản trị viên hệ thống và những người thực thi pháp luật mạng thường tập trung vào việc kiểm soát các trung tâm điều khiển của mạng Botnet. Quá trình này sẽ trở nên khó khăn hơn nếu trung tâm điều khiển mạng Botnet đặt ở một quốc gia mà người thực thi pháp luật mạng có khả năng kém, không sẵn sàng can thiệp vào công việc đó hoặc dung túng cho mạng lưới Botnet này hoạt động.

Loại bỏ sự lây nhiễm trên các thiết bị riêng lẻ

Đối với các thiết bị cá nhân (smartphone, laptop, …), cách loại bỏ sự lây nhiễm trên các thiết bị có thể bao gồm việc cài các phần mềm chống Virus, cài đặt các phần mềm sao lưu dữ liệu tự động. 

Đối với các thiết bị IoT, cách loại bỏ sự lây nhiễm có thể là cahyj khôi phục cài đặt gốc hoặc định dạng thiết bị theo nhiều cách khác nhau. Nếu cách làm này không khả thi, bạn có thể yêu cầu sự hỗ trợ từ nhà sản xuất thiết bị hoặc các quản trị viên hệ thống.

 

Làm thế nào để bảo vệ thiết bị của bạn khỏi việc trở thành một phần trong mạng lưới Botnet?

4-cach-bao-ve-thiet-bị-cua-ban-khoi-viec-tro-thanh-mot-phan-trong-mang-luoi-botnet

Tạo mật khẩu an toàn 

Đối với nhiều thiết bị, việc tạo một mật khẩu mạnh để làm giảm khả năng các phần mềm độc hại tiếp xúc với lỗ hổng bảo mật là điều vô cùng cần thiết. Tạo ra một mật khẩu mạnh khiến cho tội phạm mạng gặp khó khăn hơn trong việc bẻ khóa Brute Force. Nếu các mật khẩu mặc định đã được thay đổi bằng các mật khẩu khác an toàn hơn, bot có thể sẽ từ bỏ việc “tuyển dụng” thiết bị của bạn vào mạng lưới Botnet và chuyển qua các thiết bị của người dung khác dễ tấn công hơn.

Chỉ cho phép bên thứ ba thiết lập mã hóa khi thật sự tin cậy 

Nếu bạn áp dụng mô hình thực thi phần mềm trên điện thoại di động, chỉ những ứng dụng được phép mới có thể chạy, cấp nhiều quyền kiểm soát hơn để ngăn chặn các phần mềm độc hại (bao gồm cả botnet). 

Riêng việc khai thác phần mềm giám sát mới cũng có thể dẫn đến việc khai thác các thiết bị. Điều này phụ thuộc vào việc có một phần mềm giám sát an toàn ngay từ đâu, mà hầu hết các thiết bị IoT không có, các thiết bị này cần có một bên thứ ba thật sự tin cậy thiết lập các mã hóa để tránh bị tấn công.

Xóa/ Khôi phục hệ thống định kỳ 

Khôi phục hệ thống về trạng thái ban đầu theo thời gian định kỳ là một cách để loại bỏ các file rác mà hệ thống đã thu thập trong quá trình vận hành, bảo gồm cả các phần mềm độc hại khiến thiết bị trở thành một phần trong mạng lưới Botnet.

Việc xóa và khôi phục hệ thống định kỳ sẽ được sử dụng như một biện pháp để phòng ngừa, đảm bảo phần mềm độc hại đang chạy ngầm cũng có thể bị phát hiện và bị loại bỏ.

Thực hiện các phương pháp lọc dữ liệu đầu vào và đầu ra tốt hơn

Một cách nữa để bảo vệ thiết bị, tránh cho thiết bị trở thành một phần trong mạng lưới Botnet là thực hiện các phương pháp lọc dữ liệu đầu vào và đầu ra bằng các thiết bị bộ định tuyến hoặc tường lửa.

Một nguyên tắc của việc thiết kế mạng an toàn là việc phân lớp dữ liệu, bạn có ít hạn chế nhất đối với các tài nguyên có thể truy cập công khai, đồng thời liên tục tăng cường bảo mật cho những thứ bạn cho là dữ liệu nhạy cảm. 

Ngoài ra, bất kỳ thứ gì vượt qua các ranh giới này đều phải được xem xét kỹ lưỡng về: lưu lượng mạng, ổ cứng, USB, … Các phương pháp lọc tốt sẽ làm tăng khả năng bị phát hiện trước khi thực hiện tấn công của các phần mềm độc hại.

 

Lời kết 

Nếu bạn đang gặp tấn công mạng bởi Botnet hoặc bởi bất cứ nguyên nhân nào khác thì bài viết này là để dành cho bạn, giúp bạn hiểu rõ hơn về cách mà các tội phạm mạng có thể dùng để tấn công thiết bị của bạn. Còn nếu bạn không hiểu rõ về các phương pháp trên, đừng lo lắng, bởi những GIẢI PHÁP BẢO MẬT của GDATA sẽ giúp bạn làm được điều đó.

Liên hệ với chúng tôi ngay để được nhận tư vấn từ chuyên gia.

[maxbutton id=”1″ url=”https://gdata.com.vn/lien-he/” text=”LIÊN HỆ NGAY” ]