Botnet là gì? Cấu trúc và cách botnet hoạt động như thế nào?

Con người liên tục sử dụng Internet để vận hành cuộc sống và các thiết bị kỹ thuật số mà mình lệ thuộc vào. Song hành cùng với lợi ích của Internet là những “tác dụng phụ” như virus, thư rác, tin tặc và lừa đảo trực tuyến. Số lượng trang web lừa đảo, email độc hại, virus phá hoại, v.v… đã tăng không những ở Hoa Kỳ mà còn trên toàn cầu. Trong số nhiều mối đe dọa khác nhau mà các cá nhân và doanh nghiệp đang phải đương đầu hhiện nay thông qua Internet, botnet là thứ thông dụng nhất. Botnet là một mạng các máy tính được điều khiển từ xa bởi tin tặc.

Botnet được sử dụng bởi tin tặc để phát tán ransomware sang máy tính xách tay, điện thoại, máy tính bảng, máy tính, v.v… Chúng cũng đều có thể tránh bị phát giác và bạn cho dù không biết thiết bị của mình có phải là phần nào của botnet hay không.

Botnet là gì?

Từ “botnet” là sự kết hợp của hai từ, “robot” và “network” . Ở đây, một tên tội phạm mạng thi hành vai trò của một “botmaster” sử dụng virus Trojan để xâm phạm bảo mật của một số máy tính và kết nối chúng vào mạng vì mục đích xấu. Mỗi máy tính trên mạng hoạt động như 1 “bot”, và được kẻ xấu khống chế để lan truyền malware, spam hoặc nội dung độc hại nhằm khởi động cuộc tấn công. Botnet còn được xem là đội quân zombie vì các máy tính liên quan đang được điều khiển bởi một người khác không phải chủ sở hữu của chúng.

Nguồn gốc của botnet chủ đạo là để phục vụ như một công cụ trong các kênh Internet Relay Chat (IRC). Cuối cùng, những kẻ xấu sẽ khai thác các lỗ hổng có trong mạng IRC và các bot được phát triển. Điều này được cố tình tạo nên để thực hành các hoạt động độc hại như ghi nhật ký về động thái nhấn phím, đánh cắp mật khẩu, v.v…

Cấu trúc của botnet

Cấu trúc của botnet thường sẽ có 1 trong hai dạng: Mô hình client – server (máy khách – máy chủ) hoặc loại hình peer-to-peer (ngang hàng).

Mô hình client – server (máy khách – máy chủ)

Trong cấu trúc client – server, một mạng cơ bản được thiết lập với một máy chủ, hoạt động như botmaster. Botmaster khống chế việc truyền thông tin từ mỗi client để thiết lập lệnh và điều khiển các thiết bị khách. Mô hình client – server hoạt động với sự trợ giúp của phần mềm đặc biệt và cho phép botmaster duy trì quyền kiểm soát. Mô hình này còn có một vài nhược điểm như nó có thể được xác định dễ dàng và chỉ có 1 điều kiểm soát. Trong mô hình này, nếu máy chủ bị phá hủy, botnet sẽ “chết”.

Mô hình peer-to-peer (ngang hàng)

Để khắc phục nhược điểm của việc dựa vào một máy server tập trung, các botnet đã phát triển. Các botnet mới được kết nối với nhau dưới dạng cấu trúc ngang hàng. Trong mô hình botnet P2P, mỗi thiết bị được kết nối hoạt động độc lập như 1 client và server, phối hợp với nhau để cập nhật và truyền tin tức qua lại. Cấu trúc botnet P2P mạnh hơn do không có ở một địa điểm điều khiển tập trung duy nhất.

Các loại tấn công Botnet

Distributed Denial of Operations Service (DDoS)

Một botnet có thể được dùng cho một cuộc tấn công Distributed Denial of Operations Service (DDoS – từ chối dịch vụ phân tán) để phá hủy kết nối và trung tâm mạng. Điều này được thực hiện bằng việc làm quá tải tài nguyên tính toán (computational resource) hoặc tiêu hao băng thông của nạn nhân.

Các cuộc tấn công được thực hành phổ biến nhất là những cuộc tấn TCP SYN và UDP flood. Các cuộc tấn công DDoS không những giới hạn ở những máy chủ web, mà có thể nhắm mục đích đến bất kỳ công ty nào được kết nối với Internet. Mức độ nghiêm trọng của cuộc tấn công cũng có thể có thể được tăng đều bằng phương pháp dùng HTTP flood trên trang web của nạn nhân. Hình thức này gọi là spidering được tiến hành để tăng tải hiệu quả.

Một trong số cuộc tiến công botnet DDoS thật to lớn liên quan đến IoT và sử dụng virus botnet Mirai. Virus đã nhắm mục đích và khống chế hàng chục ngàn thiết bị Internet được bảo vệ lỏng lẻo, sau đó biến chúng thành bot để khởi động một cuộc tấn công DDoS. Mirai tiếp tục mở rộng, khiến cuộc tấn công trở nên phức tạp hơn.

Spamming (phát tán thư rác) và giám sát lưu lượng

Một bot cũng có thể được sử dụng để định vị sự hiện hữu của dữ liệu mẫn cảm trong các zombie hoặc máy tính bị nhiễm. Nó cũng đều có thể xác xác định trí các botnet đối thủ, nếu được cài đặt trong và một máy. Một số bot có thể mở proxy SOCKS v4/v5 (giao thức proxy chung cho mạng dựa trên TCP/IP). Khi proxy SOCKS được kích hoạt trên máy bị xâm nhập, nó có thể được sử dụng cho nhiều mục đích không trùng lặp như spamming (phát tán thư rác). Bot sử dụng packet sniffer để theo dấu thông tin hoặc dữ liệu được truyền bởi máy bị xâm nhập. Sniffer cũng có thể truy xuất tin tức mẫn cảm như tên người sử dụng và mật khẩu.

Grum là loại thư rác khó phát hiện, vì nó lây nhiễm những file được dùng bởi các registry Autorun. Mạng botnet này đã thu hút các nghiên cứu vì nó kha khá nhỏ, chỉ có 600.000 thành viên nhưng chiếm tới 40 tỷ email spam mỗi ngày, tương đương khoảng 25% tổng cộng email spam.

Keylogging

Với sự trợ giúp của keylogger, việc botmaster lấy thông tin mẫn cảm và đánh cắp dữ liệu trở nên dễ dàng. Sử dụng chương trình keylogger, kẻ tấn công cũng có thể có thể thu thập các phím được nhập trong PayPal, Yahoo, v.v…

Một loại ứng dụng gián điệp được định vị là OSX/XSLCmd, có thể chuyển từ Windows sang OS X, bao gồm khả năng keylogging và chụp màn hình.

Đánh cắp danh tính hàng loạt

Các loại bot không giống nhau có thể được phối hợp để thực hành hành vi trộm cắp danh tánh quy mô lớn, đây là một trong các hành vi phạm tội phát triển nhanh nhất. Email spam được gửi bởi bot để hướng lưu lượng truy cập đến các trang web giả mạo, đại diện cho bot để thu thập dữ liệu cá nhân. Bot có thể được dùng để xuất hiện như một công ty hợp pháp và yêu cầu người sử dụng gửi tin tức cá nhân, như mật khẩu tài khoản ngân hàng, chi tiết thẻ tín dụng, chi tiết thuế, v.v… Hành vi trộm cắp danh tánh đồng loạt diễn ra bằng cách sử dụng email phishing để lừa nạn nhân nhập tin tức đăng nhập trên trang web như eBay, Amazon, hoặc kể cả ngân hàng.

Lạm dụng việc trả tiền cho từng cơn nhấp

Chương trình AdSense của Google cấp phép các trang web hiển thị quảng cáo Google và từ đó kiếm tiền từ chúng. Google trả tiền cho chủ sở hữu trang web trên cơ sở số lần nhấp mà quảng cáo của họ thu thập được. Máy bị nhiễm được sử dụng để tự động nhấp vào một trang web, làm tăng số lần nhấp được gửi đến đơn vị bằng quảng cáo.

Lây lan botnet

Botnet cũng được sử dụng để lây truyền các botnet khác bằng cách thuyết phục người dùng tải xuống chương trình cụ thể và chương trình được thực thi thông qua email, HTTP hoặc FTP. Thường thì virus sử dụng botnet này sẽ được phát tán qua email. Hai nhà nghiên cứu bảo mật trong tháng một năm 2017, đã phát giác ra botnet Twitter “Star Wars”, bao gồm 350.000 tài khoản bot đã tweet các trích dẫn tình cờ từ một sê-ri phim. Các bot như vậy nếu tiếp tục hiện diện cũng có thể tạo nên những chủ đề thịnh hành giả mạo gây xôn xao dư luận, gửi thư rác không mong muốn, phát động các cuộc tiến công mạng và hơn thế nữa.

Phần mềm quảng cáo

Phần mềm quảng cáo được dùng làm thu hút người dùng bằng cách quảng cáo trên các trang web hoặc ứng dụng. Chúng xuất hiện mà không có sự cấp phép của người dùng, với quảng cáo gốc bị thay thế bởi ứng dụng quảng cáo lừa đảo, lây nhiễm vào hệ thống của bất kỳ người dùng nào nhấp vào nó.

Phần mềm quảng cáo trông giống như quảng cáo vô hại nhưng sử dụng ứng dụng gián điệp để thu thập dữ liệu trình duyệt. Để thoát khỏi phần mềm quảng cáo, càng phải có phần mềm chặn quảng cáo. Mặc dù có sẵn nhiều phiên bản phần mềm chặn quảng cáo miễn phí và trả phí, nhưng tốt nhất bạn nên sử dụng một tùy chọn có giấy phép. Nhiều gói quét virus cũng đi kèm với chương trình chống ứng dụng độc hại.

Botnet có thể bị trục xuất hoặc ngừng đột nhập vào máy tính bằng phương pháp dùng chương trình chống ứng dụng độc hại, cũng có thể có thể phát giác việc lây nhiễm trên ổ cứng hoặc lưu lượng mạng và giải quyết chúng ngay lập tức. Mặt khác, cách tiếp cận hữu hiệu nhất sẽ là tìm hiểu để ý thức được toàn diện về cách ngăn chặn botnet.

Phòng ngừa botnet

Như chúng ta đều biết, phòng khi nào cũng tốt hơn chữa, người dùng có thể ngăn hệ thống của mình bị truyền nhiễm bằng việc làm theo một số bước sau. Các giải pháp phòng ngừa cũng có thể được thi hành ở cấp độ người sử dụng cá nhân và ở cấp độ mạng.

Cấp độ cá nhân

• Cài đặt phần mềm diệt virus hoặc chống thư rác và giữ cho chúng được cập nhật thường xuyên.
• Bật cài đặt tường lửa và có hạn truy cập không mong muốn.
• Hãy chắc chắn rằng hệ điều hành được cập nhật theo thời gian.
• Không tải xuống nội dung phạm pháp như nhạc, game, file lậu, v.v… từ Internet.
• Không nhấp vào file đính kèm hoặc liên kết từ các email không xác định.

Cấp độ mạng

• Có tường lửa, hệ thống IDS/IPS và tính năng lọc nội dung.
• Giám sát lưu lượng truy cập tăng bất thường.
• Có tính năng bảo quản DDoS tại chỗ.
• Nếu hệ thống người dùng cá nhân nghi ngờ bị nhiễm botnet, hãy thử xóa ứng dụng độc hại ngay lập tức. Nếu điều đó không được thực hiện kịp thời, các hệ thống khác trong mạng cũng cũng đều có thể bị lây nhiễm.
• Đảm nói rằng tất cả những cá nhân trong đơn vị đã có phần mềm được cập nhật trên hệ thống của họ.
• Giám sát nhật ký tường lửa để định vị các trung tâm điều khiển và lệnh botnet.
• Nếu bất kỳ việc lây nhiễm nào được xác định, hãy thông báo cho những nhà cung cấp phần mềm diệt virus ngay lập tức.

botnet,mạng botnet,botnet là gì,botnet dùng để làm gì,ứng dụng của botnet,độ nguy hiểm của botnet

Nội dung Botnet là gì? Cấu trúc và cách botnet hoạt động như thế nào? được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.