Ở bài này chúng ta sẽ xem xét một số cách thức tin tặc  có thể dùng để tấn công  và chiếm quyền điều khiển máy tính  đích, cùng một số biện pháp đối phó hiệu quả nhằm bảo vệ máy tính  trước những mối đe doạ nguy hiểm luôn rình rập xung quanh.

Chúng ta sẽ tìm hiểu về:

• Như thế nào là bot, botnet; cách thức hoạt động  của chúng.
• Những thành phần phổ biến nhất trong bot.
• Một host có thể bị tấn công  và chiếm quyền điều khiển như thế nào.
• Biện pháp ngăn chặn hiệu quả và cách đối phó trước hoạt động  phá hoại của chúng.

Điều gì bạn nên biết?

• Cách thức hoạt động  của phần mềm  độc hại (malware) như trojan, worm, ….
• Cơ chế được dùng trong kiểu tấn công  DDoS.
• Hiểu các khái niệm cơ bản của TCP/IP, DNS  và IRC.

Cuối thế kỷ  19 cũng như đầu thiên niên kỷ mới đánh dấu bước phát triển nhanh, mạnh của một số chiến lược tấn công  khác biệt nhắm vào hệ thống  mạng. DDoS, tức Distributed Denial of Services, hình thức tấn công  từ chối dịch vụ  phân tán khét tiếng ra đời. Tương tự với người anh  em DoS  (tấn công từ chối dịch vụ), DDoS được phát tán rất rộng, chủ yếu nhờ tính đơn giản nhưng rất khó bị dò tìm của chúng. Đã có nhiều kinh nghiệm  đối phó được chia sẻ, với khối lượng kiến thức  không nhỏ về nó, nhưng ngày nay DDoS vẫn đang là một mối đe doạ nghiêm trọng, một công cụ nguy hiểm của hacker. Chúng ta hãy cùng tìm hiểu về DDoS và sản phẩm  kế thừa từ nó: các cuộc tấn công  botnet.

Giới thiệu về Bot và Botnet

Bot là viết tắt của robot, tức các chương trình  tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới  Internet. Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm  trực tuyến, ánh xạ website  và phần mềm  đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot. Các chương trình  tự động phản ứng khi gặp sự kiện ngoài mạng nội bộ cũng được gọi là robot. Trong bài này, chúng ta sẽ quan tâm  tới một kiểu robot cụ thể (hay bot như tên tắt vẫn thường được gọi) là IRC bot. IRC bot sử dụng các mạng IRC như một kênh liên lạc để nhận lệnh từ người dùng  từ xa. Ví dụ cụ thể như, người dùng  là một kẻ tấn công, còn bot là một Trojan  horse. Một lập trình viên giỏi có thể dễ dàng tạo ra một số bot riêng của mình, hoặc xây dựng  lại từ các bot có sẵn. Chúng có thể dễ dàng ẩn nấp trước những hệ thống  bảo mật  cơ bản, sau đó là phát tán đi nhanh chóng trong thời gian  ngắn.

IRC

IRC là tên viết tắt của Internet Relay Chat. Đó là một giao thức được thiết kế  cho hoạt động  liên lạc theo kiểu hình thức tán gẫu thời gian  thực (ví dụ RFC 1459, các bản update  RFC 2810, 2811, 2812, 2813) dựa trên kiến trúc client-server. Hầu hết mọi server  IRC đều cho phép truy cập  miễn phí, không kể đối tượng sử dụng. IRC là một giao thức mạng mở dựa trên nền tảng TCP (Transmission Control  Protocol - Giao thức điều khiển truyền vận), đôi khi được nâng cao với SSL  (Secure Sockets Layer - Tầng socket  bảo mật).

Một server  IRC kết nối với server  IRC khác trong cùng một mạng. Người dùng  IRC có thể liên lạc với cả hai theo hình thức công cộng  (trên các kênh) hoặc riêng tư (một đối một). Có hai mức truy cập  cơ bản vào kênh IRC: mức người dùng  (user) và mức điều hành (operator). Người dùng  nào tạo một kênh liên lạc riêng sẽ trở thành người điều hành. Một điều hành viên có nhiều đặc quyền hơn (tuỳ thuộc vào từng kiểu chế độ do người điều hành ban đầu thiết lập ) so với người dùng  thông thường.

Các bot IRC được coi như một người dùng  (hoặc điều hành viên) thông thường. Chúng là các quy trình  daemon, có thể chạy tự động một số thao tác. Quá trình điều khiển các bot này thông thường dựa trên việc gửi lệnh để thiết lập kênh liên lạc do hacker  thực hiện, với mục đích chính là phá hoại. Tất nhiên, việc quản trị  bot cũng đòi hỏi cơ chế thẩm định và cấp phép. Vì thế, chỉ có chủ sở hữu chúng mới có thể sử dụng.

Một thành phần quan trọng  của các bot này là những sự kiện mà chúng có thể dùng để phát tán nhanh chóng tới máy tính  khác. Xây dựng  kế hoạch  cần thận cho chương trình  tấn công  sẽ giúp thu được kết quả tốt hơn với thời gian  ngắn hơn (như xâm phạm được nhiều máy tính  hơn chẳng hạn). Một số n bot kết nối vào một kênh đơn để chờ lệnh từ kẻ tấn công  thì được gọi là một botnet.

Cách đây chưa lâu, các mạng zombie (một tên khác của máy tính  bị tấn công  theo kiểu bot) thường được điều khiển qua công cụ độc quyền, do chính những kẻ chuyên bẻ khoá cố tình phát triển. Trải qua thời gian, chúng hướng tới phương thức điều khiển từ xa. IRC được xem là công cụ phát động các cuộc tấn công  tốt nhất nhờ tính linh hoạt, dễ sử dụng và đặc biệt là các server  chung có thể được dùng như một phương tiện liên lạc. IRC cung cấp cách thức điều khiển đơn giản hàng trăm, thậm chí hàng nghìn bot cùng lúc một cách linh hoạt. Nó cũng cho phép kẻ tấn công  che đậy nhân dạng thật của mình với một số thủ thuật đơn giản như sử dụng proxy nặc danh hay giả mạo địa chỉ IP. Song  cũng chính bởi vậy mà chúng để lại dấu vết cho người quản trị  server  lần theo.

Trong hầu hết các trường hợp tấn công  bởi bot, nạn nhân  chủ yếu là người dùng  máy tính  đơn lẻ, server  ở các trường đại học  hoặc mạng doanh nghiệp  nhỏ. Lý do  là bởi máy tính  ở những nơi này không được giám sát chặt chẽ và thường để hở hoàn toàn lớp bảo vệ mạng. Những đối tượng người dùng  này thường không xây dựng  cho mình chính sách bảo mật, hoặc nếu có thì không hoàn chỉnh, chỉ cục bộ ở một số phần. Hầu hết người dùng  máy tính  cá nhân  kết nối đường truyền  ADSL  đều không nhận thức được các mối nguy hiểm xung quanh và không sử dụng phần mềm  bảo vệ như các công cụ diệt virus  hay tường lửa cá nhân.

Bot và các ứng dụng  của chúng

Khả năng sử dụng bot và các ứng dụng  của chúng cho máy tính  bị chiếm quyền điều khiển hoàn toàn phụ thuộc vào sức sáng tạo và kỹ năng của kẻ tấn công. Chúng ta hãy xem một số ứng dụng  phổ biến nhất.

DDoS

Các botnet được sử dụng thường xuyên trong các cuộc tấn công  Distributed Denial of Service (DDoS). Một kẻ tấn công  có thể điều khiển số lượng  lớn máy tính  bị chiểm quyền điều khiển tại một trạm từ xa, khai thác băng thông của chúng và gửi yêu cầu kết nối tới máy đích. Nhiều mạng trở nên hết sức tồi tệ sau khi hứng chịu các cuộc tấn công  kiểu này. Và trong một số trường hợp, thủ phạm được tìm thấy ngay khi đang tiến hành cuộc phá hoại (như ở các cuộc chiến  dotcom).

Tấn công từ chối dịch vụ  phân tán (DDoS)

Tấn công DDoS là một biến thể của Foolding DoS  (Tấn công từ chối dịch vụ  tràn). Mục đích của hình thức này là gây tràn mạng đích, sử dụng tất cả băng thông có thể. Kẻ tấn công  sau đó sẽ có toàn bộ lượng băng thông khổng lồ  trên mạng để làm tràn website  đích. Đó là cách phát động tấn công  tốt nhất để đặt được nhiều máy tính  dưới quyền kiểm soát. Mỗi máy tính  sẽ đưa ra băng thông riêng (ví dụ với người dùng  PC cá nhân  nối ADSL). Tất cả sẽ được dùng một lần, và nhờ đó, phân tán được cuộc tấn công  vào website  đích. Một trong các kiểu tấn công  phổ biến nhất được thực hiện thông qua sử dụng giao thức TCP (một giao thức hướng kết nối), gọi là TCP syn flooding (tràn đồng bộ TCP). Cách thức hoạt động  của chúng là gửi đồng thời cùng lúc một số lượng  khổng lồ  yêu cầu kết nối TCP tới một Web  Server  (hoặc bất kỳ dịch vụ  nào khác), gây tràn tài nguyên  server, dẫn đến tràn băng thông và ngăn không cho người dùng  khác mở kết nối riêng của họ. Quả là đơn giản nhưng thực sự nguy hiểm! Kết quả thu được cũng tương tự khi dùng giao thức UDP (một giao thức không kết nối).

Giới tin tặc  cũng bỏ ra khá nhiều thời gian  và công sức đầu tư  nhằm nâng cao cách thức tấn công  của chúng. Hiện nay, người dùng  mạng máy tính  như chúng ta đang phải đối mặt với nhiều kỹ thuật  tinh vi hơn xa so kiểu tấn công  DDoS truyền thống. Những kỹ thuật  này cho phép kẻ tấn công  điều khiển một số lượng  cực kỳ lớn máy tính  bị chiếm quyền điều khiển (zombie) tại một trạm từ xa mà đơn giản chỉ cần dùng giao thức IRC.

Spamming (phát tán thư rác)

Botnet là một công cụ lý tưởng cho các spammer (kẻ phát tán thư rác). Chúng đã, đang và sẽ được dùng vừa để trao đổi địa chỉ e-mail thu thập được, vừa để điều khiển cơ chế phát tán thư rác theo cùng một cách với kiểu tấn công  DDoS. Thư rác được gửi tới botnet, sau đó phân phối qua các bot và từ đó phát tán tới máy tính  đang bị chiếm quyền điều khiển. Tất cả spammer đều lấy tên nặc danh và mọi hậu quả thì máy tính  bị phá hoại gánh chịu.

Sniffing và Keylogging

Các bot cũng có thể được sử dụng một cách hiệu quả để nâng cao nghệ thuật cổ điển của hoạt động  sniffing. Nếu theo dõi lưu lượng dữ liệu  truyền đi, bạn có thể xác định được con số khó tin lượng thông tin  được truyền tải. Đó có thể là thói quen của người dùng, trọng tải gói TCP và một số thông tin  thú vị khác (như mật khẩu, tên người dùng). Cũng tương tự như vậy với keylogging, một hình thức thu thập tất cả thông tin  trên bàn phím  khi người dùng  gõ vào máy tính  (như e-mail, password, dữ liệu  ngân hàng, tài khoản  PayPal,…).

Ăn cắp nhân dạng

Các phương thức được đề cập ở trên cho phép kẻ tấn công  điều khiển botnet để thu thập một lượng thông tin  cá nhân  khổng lồ. Những dữ liệu  có thể được dùng để xây dựng  nhân dạng giả mạo, sau đó lợi dụng để có thể truy cập  tài khoản  cá nhân  hoặc thực hiện nhiều hoạt động  khác (có thể là chuẩn bị cho nhiều cuộc tấn công  khác) mà người gánh chịu hậu quả không ai khác chính là chủ nhân của các thông tin  đó.

Sở hữu phần mềm  bất hợp pháp

Đây là hình thức cuối cùng, nhưng chưa phải là kết thúc. Các máy tính  bị tấn công  theo kiểu bot có thể được dùng như một kho lưu trữ  động tài liệu  bất hợp pháp (phần mềm ăn cắp bản quyền, tranh ảnh khiêu dâm,…). Dữ liệu  được lưu trữ  trên ổ cứng  trong khi người dùng  ADSL  không hề hay biết.

Còn rất nhiều, rất nhiều kiểu ứng dụng  khác nữa được phát triển dựa trên botnet (như trả tiền cho mỗi lần kích chuột để sử dụng một chương trình, phishing, hijacking kết nối HTTP/HTTPS…), nhưng liệt kê ra được hết có lẽ sẽ phải mất hàng giờ. Bản thân  bot chỉ là một công cụ với khả năng lắp ghép và thích ứng dễ dàng cho mọi hoạt động  đòi hỏi đặt quyền kiểm soát đơn lên một số lượng  lớn máy tính.

Các kiểu bot khác nhau

Nhiều kiểu bot đã được xây dựng  và cho phép download  được cung cấp nhan nhản khắp Internet. Mỗi kiểu có những thành phần đặc biệt riêng. Chúng ta sẽ xem xét một số bot phổ biến nhất và thảo những thành phần chính và các yếu tố phân biệt của chúng.

GT-Bot

Tất cả các bot GT (Global Threat) đều dựa trên kiểu client IRC phổ biến dành cho Windows  gọi là mIRC. Cốt lõi của các bot này là xây dựng  tập hợp script (kịch bản) mIRC, được dùng để điểu khiển hoạt động  của hệ thống  từ xa. Kiểu bot này khởi chạy một phiên client nâng cao với các script điều khiển và dùng một ứng dụng  thứ hai, thông thường là HideWindows để ẩn mIRC trước người dùng  máy tính  đích. Một file DLL bổ sung sẽ thêm một số thành phần mới vào mIRC để các script có thể chi phối nhiều khía cạnh khác nhau trên máy tính  bị chiếm quyền điều khiển.

Agobot

Agobot là một trong những kiểu bot phổ biến nhất thường được các tay bẻ khoá (craker) chuyên nghiệp  sử dụng. Chúng được viết trên nền ngôn ngữ  C++ và phát hành dưới dạng bản quyền  GPL. Điểm thú vị ở Agobot là mã nguồn. Được modul hoá ở mức cao, Agobot cho phép thêm chức năng mới vào dễ dàng. Nó cũng cung cấp nhiều cơ chế ẩn mình trên máy tính  người dùng. Thành phần chính của Agobot gồm: NTFS Alternate Data Stream (Xếp luân phiên dòng dữ liệu  NTFS), Antivirus Killer (bộ diệt chương trình  chống virus) và Polymorphic Encryptor Engine (cơ chế mã hoá hình dạng). Agobot cung cấp tính năng sắp xếp và sniff lưu lượng. Các giao thức khác ngoài IRC cũng có thể được dùng để điều khiển kiểu bot này.

DSNX

Dataspy Network X (DSNX) cũng được viết trên nền ngồn ngữ C++ và mã nguồn dựa trên bản quyền  GPL. Ở kiểu bot này có thêm một tính năng mới là kiến trúc plug-in đơn giản.

SDBot

SDBot được viết trên nền ngôn ngữ  C và cũng sử dụng bản quyền  GPL. Không giống như Agobot, mã nguồn của kiểu bot này rất rõ ràng và bản thân  phần mềm  có một lượng giới hạn chức năng. Nhưng SDBot rất phổ biến và đã được phát triển ra nhiều dạng biến thể khác nhau.

Các yếu tố của một cuộc tấn công

Hình 1 thể hiện cấu trúc của một botnet điển hình:

Hình 1: Cấu trúc của một botnet điển hình

• Đầu tiên kẻ tấn công  sẽ phát tán trojan  horse vào nhiều máy tính  khác nhau. Các máy tính  này trở thành zombie (máy tính bị chiếm quyền điều khiển) và kết nối tới IRC server  để nghe thêm nhiều lệnh sắp tới.

• Server  IRC có thể là một máy công cộng  ở một trong các mạng IRC, nhưng cũng có thể là máy chuyên dụng do kẻ tấn công  cài đặt lên một trong các máy bị chiếm quyền điều khiển.

• Các bot chạy trên máy tính  bị chiếm quyền điều khiển, hình thành một botnet.

Một ví dụ cụ thể

Hoạt động của kẻ tấn công  có thể chia thành bốn giai đoạn khác nhau:

• Tạo
• Cấu hình
• Tấn công
• Điều khiển

Giai đoạn Tạo phụ thuộc lớn vào kỹ năng và đòi hỏi của kẻ tấn công. Nếu là người bẻ khoá chuyên nghiệp, họ có thể cân nhắc giữa việc viết mã bot riêng hoặc đơn giản chỉ là mở rộng, tuỳ biến cái đã có. Lượng bot có sẵn là rất lớn và khả năng cấu hình cao. Một số còn cho phép thao tác dễ dàng hơn qua một giao diện  đồ hoạ. Giai đoạn này không có gì khó khăn, thường dành cho những kẻ mới vào nghề.

Giai đoạn Cấu hình là cung cấp server  IRC và kênh thông tin. Sau khi cài đặt lên một máy tính  đã được kiểm soát, bot sẽ kết nối tới host được chọn. Đầu tiên kẻ tấn công  nhập dữ liệu  cần thiết vào để giới hạn quyền truy cập  bot, bảo vệ an toàn cho kênh và cuối cùng cung cấp một danh sách người dùng  được cấp phép (những người có thể điều khiển bot). Ở giai đoạn này, bot có thể được điều chỉnh sâu hơn, như định nghĩa phương thức tấn công  và đích đến.

Giai đoạn Tấn công là sử dụng nhiều kỹ thuật  khác nhau để phát tán bot, cả trực tiếp  và gián tiếp. Hình thức trực tiếp  có thể là khai thác lỗ hổng  của hệ điều hành  hoặc dịch vụ. Còn gián tiếp thường là triển khai một số phần mềm  khác phục vụ cho công việc  đen tối, như sử dụng file HTML  dị dạng để khai thác lỗ hổng  Internet  Explorer, sử dụng một số phần mềm  độc hại khác phân phối qua các mạng ngang hàng hoặc qua trao đổi file DCC (Direct Client–to–Client) trên IRC. Tấn công  trực tiếp  thường được thực hiện tự động thông qua các sâu (worm). Tất cả công việc  những sâu này phải làm là tìm kiếm  mạng con trong hệ thống  có lỗ hổng  và chèn mã bot vào. Mỗi hệ thống  bị xâm phạm sau đó sẽ tiếp tục thực hiện chương trình  tấn công, cho phép kẻ tấn công  ghi lại tài nguyên  đã dùng trước đó và có được nhiều thời gian  để tìm kiếm  nạn nhân  khác.

Cơ chế được dùng để phân phối bot là một trong những lý do  chính gây nên cái gọi là tạp nhiễu nền Internet. Một số cổng chính được dùng cho Windows, cụ thể là Windows  2000, XP SP1 (xem Bảng 1). Chúng dường như là đích ngắm yêu thích của hacker, vì rất dễ tìm ra một máy tính  Windows  chưa được cập nhật bản  vá đầy đủ hoặc không cài đặt phần mềm  tường lửa. Trường hợp này cũng rất phổ biến với người dùng  máy tính  gia đình  và các doanh nghiệp  nhỏ, những đồi tượng thường bỏ qua vấn đề bảo mật  và luôn kết nối Internet  băng thông rộng.

CổngDịch vụ42WINS (Host Name Server)80HTTP (lỗ hổng IIS hay Apache)135RPC (Remote Procedure Call)137NetBIOS Name Service139NetBIOS Session Service445Microsoft–DS–Service1025Windows Messenger1433Microsoft–SQL–Server2745Bagle worm backdoor3127MyDoom worm backdoor3306MySQL UDF  (User Definable Functions)5000 UPnP (Universal Plug and Play)

Bảng 1: Danh sách các cổng gắn với lỗ hổng  dịch vụ

Giai đoạn Điều khiển gồm một số hoạt động  thực hiện sau khi bot đã được cài đặt lên máy đích trong một thư mục chọn. Để khởi động với Windows, bot update  các khoá đăng ký, thông thường là HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\. Việc đầu tiên bot thực hiện sau khi được cài đặt thành công  là kết nối tới một server  IRC và liên kết với kênh điều khiển thông qua sử dụng một mật khẩu. Nickname  trên IRC được tạo ngẫu nhiên. Sau đó, bot ở trạng thái sẵn sàng chờ lệnh từ ứng dụng  chủ. Kẻ tấn công  cũng phải sử dụng một mật khẩu  để kết nối tới botnet. Điều này là cần thiết để không ai khác có thể sử dụng mạng botnet đã được cung cấp.

Hình 2: Kỹ thuật  botnet hardening

IRC không chỉ cung cấp phương tiện điều khiển hàng trăm bot mà còn cho phép kẻ tấn công  sử dụng nhiều kỹ thuật  khác nhau để ẩn nhân dạng thực của chúng. Điều đó khiến việc đối phó trước các cuộc tấn công  trở nên khó khăn. Nhưng may mắn là, do đặc điểm tự nhiên  của chúng, các botnet luôn tạo ra lưu lượng đáng ngờ, tạo điều kiện dễ dàng để có thể dò tìm nhờ một số kiểu mẫu hay mô hình đã biết. Điều đó giúp các quản trị  viên IRC phát hiện và can thiệp kịp thời, cho phép họ gỡ bỏ các mạng botnet và những sự lạm dụng không đáng có trên hệ thống  của họ.

Trước tình hình này, những kẻ tấn công  buộc phải nghĩ ra cách thức khác, cải tiến kỹ thuật  C&C (Control and Command - Điều khiển qua lệnh) thành botnet hardening. Ở kỹ thuật  mới này, các bot thường được cấu hình để kết nối với nhiều server  khác nhau, sử dụng một hostname ánh xạ động. Nhờ đó, kẻ tấn công  có thể chuyển bot sang server  mới dễ dàng, vẫn hoàn toàn nắm quyền kiểm soát ngay cả khi bot đã bị phát hiện. Các dịch vụ  DNS  động như dyndns.com hay no-IP.com thường được dùng trong kiểu tấn công  này.

DNS động

Một DNS  động (như RFC 2136) là một hệ thống  liên kết tên miền  với địa chỉ IP  động. Người dùng  kết nối Internet  qua modem, ADSL  hoặc cáp thường không có địa chỉ IP  cố định. Khi một đối tượng người dùng  kết nối tới Internet, nhà cung cấp dịch vụ  mạng (ISP) sẽ gán một địa chỉ IP  chưa được sử dụng lấy ra từ vùng được chọn. Địa chỉ này thường được giữ nguyên cho tới khi người dùng  ngừng sử dụng kết nối đó.

Cơ chế này giúp các hãng cung cấp dịch vụ  mạng (ISP) tận dụng được tối đa khả năng khai thác địa chỉ IP, nhưng cản trở đối tượng người dùng  cần thực hiện một số dịch vụ  nào đó qua mạng Internet  trong thời gian  dài, song  không phải sử dụng địa chỉ IP  tĩnh. Để giải quyết vấn đề này, DNS  động được cho ra đời. Hãng cung cấp sẽ tạo cho dịch vụ  một chương trình  chuyên dụng, gửi tín hiệu tới cơ sở dữ liệu  DNS  mỗi khi địa chỉ IP  của người dùng  thay đổi.

Để ẩn hoạt động, kênh IRC được cấu hình giới hạn quyền truy cập  và ẩn thao tác. Các mô hình IRC điển hình cho kênh botnet là: +k (đòi hỏi phải nhập mật khẩu  khi dùng kênh); +s (không được hiển thị trên danh sách các kênh công cộng); +u (chỉ có người điều hành (operator) là được hiển thị trên danh sách người dùng); +m (chỉ có người dùng  ở trạng thái sử dụng âm thanh +v mới có thể gửi tin đến kênh). Hầu hết mọi chuyên gia  tấn công  đều dùng server  IRC cá nhân, mã hoá tất cả liên lạc trên kênh dẫn. Chúng cũng có khuynh hướng sử dụng nhiều biến thể cá nhân  hoá của phần mềm  IRC server, được cấu hình để nghe trên các cổng ngoài tiêu chuẩn và sử dụng phiên bản  đã được chỉnh sửa của giao thức, để một IRC client thông thường không thể kết nối vào mạng.

Bạn có ý kiến gì về bài viết Botnet hoạt động như thế nào này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Botnet hoạt động như thế nào bạn tại đây.