Những điều cần biết về tấn công dạng Botnet

Có thể, bạn là người vừa tham gia vào tấn công gây sập hệ thống của một dịch vụ lớn. Điều này không có nghĩa rằng bạn là người viết ra mã độc, "hack" vào máy chủ hay thực hiện các hành vi xấu một cách cố ý. Mà rất có thể, máy vi tính của bạn đang bị hacker lợi dụng thông qua 'botnet". Vậy, botnet là gì? Vì sao chúng lại có thể biến những người dùng hết sức bình thường trở thành người tiếp tay cho kẻ xấu tấn công đánh sập mạng của một ngân hàng hay một dịch vụ mạng nào đó? Hãy tìm hiểu về botnet qua nội dung bài viết dưới đây:

Botnet là gì?

botnet 

Sơ đồ cách hoạt động của Botnet: nhiễm ra nhiều máy; sử dụng một máy độc trung tâm để ra lệnh cho tất cả các máy bị lây nhiễm thực hiện hành vi xấu

"Bot" là viết tắt của "robot". Robot là một dạng thiết bị tự động/bán tự động, thường có thể được dùng cho mục đích tốt hoặc xấu, và "bot" cũng có thể được dùng để chỉ các phần mềm được sử dụng cho mục đích chính đáng. Tuy vậy, trong phần lớn các trường hợp, "bot" được dùng để chỉ một loại mã độc có thể lây nhiễm vào PC của bạn.

Loại mã độc này cho phép hacker có thể điều khiển máy vi tính của bạn từ xa, biến máy của bạn thành một "xác sống" nhằm lây nhiễm mã độc lên các máy khác và sử dụng vào các mục đích xấu. Một "botnet" là một mạng máy vi tính bao gồm nhiều máy đã bị nhiễm mã độc bot. Tất cả các máy này giống như những thây ma chờ hồi sinh, chúng sẽ cùng đợi lệnh từ hacker làm chủ mã độc.

Mã độc trên các máy trong botnet có thể liên hệ với nhau, hoặc liên hệ với máy chủ từ xa để tải về thêm các loại mã độc mới, ví dụ như keylog (ghi lại tất cả các phím được gõ và gửi thông tin nhạy cảm của bạn về hacker). Hacker đang làm chủ một botnet có thể điều khiển tất cả các máy bị lây nhiễm trong botnet này và ra lệnh cho các máy bị lây nhiễm thực hiện các nhiệm vụ như tải mã độc mới hoặc phối hợp tấn công DDoS vào bất cứ lúc nào.

Bạn có thể bị nhiễm bot thông qua tất cả các kênh lây lan mã độc thông thường: Chạy phần mềm chưa được vá lỗ hổng bảo mật, chạy phiên bản trình duyệt và plugin trình duyệt cũ hoặc tải và chạy các file vi phạm bản quyền có chữa mã độc.

Botnet dùng để làm gì

botnet2 

Cloudflare, một dịch vụ dữ liệu, vừa phải gánh chịu đợt DDoS lớn nhất trong lịch sử

Những kẻ viết mã độc lây lan để tạo ra botnet có thể sẽ không trực tiếp sử dụng botnet. Thay vào đó, các hacker này sẽ cố gắng lây nhiễm mã độc lên càng nhiều máy càng tốt để tạo ra các botnet khổng lồ và mang bán các botnet này kiếm tiền. Đây là một điều dễ hiểu bởi phần lớn các mã độc hiện nay đều được viết ra với mục đích kinh tế.

Botnet có thể phục vụ nhiều mục đích. Do chủ botnet có thể ra lệnh cho hàng trăm nghìn máy trong botnet cùng thực thi một hành động vào cùng một lúc, botnet là vũ khí hữu hiệu để thực hiện tấn công DDoS (tấn công từ chối dịch vụ). Khi hàng trăm nghìn máy vi tính cùng truy cập/gửi yêu cầu về một trang web, trang web này sẽ bị quá tải và hoạt động chậm hơn hẳn hoặc thậm chí là ngừng hoạt động hoàn toàn.

Botnet cũng có thể được sử dụng để gửi thư rác (spam). Việc gửi một loạt thư rác thông thường đòi hỏi một máy chủ có sức mạnh tương đối mạnh, song bằng cách dùng botnet, kẻ xấu sẽ không còn phải trả tiền thuê cách dịch vụ hợp pháp nữa.

 botnet3

Botnet được sử dụng để tạo hàng chục triệu USD tiền lừa đảo số lượt click, chi phí điện do chúng gây ra cho các nạn nhân là 560.000 USD/ngày

Một mục đích sử dụng khác dành cho botnet là "lừa đảo số lượt click": tải về các trang web quảng cáo dưới nền và tự click vào các đường dẫn quảng cáo. Do nhiều dịch vụ quảng cáo tính phí cho các trang web bằng số lượt click, hình thức nãy sẽ giúp hacker thu lời một cách dễ dàng.

Hacker cũng có thể dùng botnet để đào Bitcoin. Trong khi phần lớn các máy vi tính bình thường đều không phù hợp với việc đào Bitcoin (theo kênh chính thống) vì chi phí tiền điện sẽ cao hơn số Bitcoin đào được, hiển nhiên các hacker làm chủ botnet sẽ không phải lo tiền điện của máy bot và do đó có thể đào Bitcoin một cách miễn phí khi sử dụng botnet.

Botnet cũng là một hình thức phân tán mã độc. Mã độc bot có chức năng giống như Trojan: Chúng sẽ tải về các mã độc mới sau khi đã lây nhiễm vào PC của bạn. Các loại mã độc có thể được hacker cài thêm sau khi lây nhiễm bot thành công bao gồm: Keylog, phần mềm quảng cáo và cả mã độc tống tiền (như CryptoLocker). Tất cả các loại mã độc này đều sẽ sinh lời bất chính cho hacker: xét cho cùng, chúng là một loại tội phạm đang dùng Internet để làm công cụ kiếm lời.

Một trong các ví dụ điển hình về botnet là ZeroAccess, một botnet có tới 1,9 triệu máy vi tính tham gia vào đào Bitcoin và "lừa đảo click" cho chủ sở hữu.

Hacker điều khiển botnet theo cách nào

Hacker có thể điều khiển botnet theo nhiều cách, từ những cách rất dễ phòng tránh cho đến những cách tinh vi hơn.

 botnet4

Cách đơn giản nhất để điều khiển botnet là cho từng máy bot cùng kết nối tới một máy chủ tập trung, ví dụ như http://maychubotnet.com. Máy chủ này sẽ là trung tâm điều khiển botnet. Hoặc, các bot trên máy của người dùng sẽ kết nối tới 1 kênh IRC và đợi lệnh. Các loại botnet dạng này có thể được loại bỏ một cách rất dễ dàng: Hãy theo dõi kết nối mạng của bạn và chặn các địa chỉ mà bot đang kết nối và nhận lệnh.

Một số botnet khác sẽ cho các máy bot kết nối ngang hàng (P2P) theo cách phân tán. Mỗi bot sẽ cùng liên lạc với các bot ở gần. Botnet dạng này không có một máy chủ tập trung ra lệnh cho các máy bot. Cách hoạt động này khá giống với các mạng ngang hàng như DHT (sử dụng trên BitTorrent) và các loại giao thức mạng P2P khác. Để chống lại botnet dạng này bạn có thể tạo ra các lệnh giả tới các máy bot hoặc cách ly các bot ra khỏi nhau.

Gần đây, một số botnet sử dụng mạng ẩn danh Tor để liên lạc với nhau. Mạng Tor được mã hóa cho phép người dùng ẩn danh hết mức có thể, do đó rất khó để phát hiện mã độc bot đang kết nối với thiết bị nào khác qua Tor. Về mặt lý thuyết, việc tìm xem các dịch vụ này đang nằm ở đâu là gần như không thể, và chỉ có các cơ quan tình báo như NSA mới có thể giải quyết được vấn đề này. Cách giải quyết của họ cũng là bất khả thi với người dùng thông thường: Ví dụ, thay vì lần theo dấu vết số của Silk Road, FBI sử dụng các biện pháp điều tra nghiệp vụ thông thường để bắt được trùm ma túy đứng đầu Silk Road.

Do đó, việc phòng tránh bị nhiễm mã độc sẽ quan trọng hơn là bị lây nhiễm rồi tìm cách chữa trị. Liều thuốc hiệu quả nhất để chống bị nhiễm mã độc và trở thành một phần của botnet là thực hiện các biện pháp bảo mật cần thiết, cài đặt phần mềm chống virus, nói không với phần mềm vi phạm bản quyền và sử dụng những trình duyệt uy tín như Firefox hoặc Chrome, thường xuyên update trình duyệt.

TAVICO trích từ tài liệu nước ngoài

quangnam.edu.vn