Botnet là gì? Máy của bạn có phải là một phần của một botnet không?

Botnet thường xuyên là nguồn gốc của phần mềm độc hại, ransomware, thư rác và hơn thế nữa. Nhưng botnet là gì? Ai kiểm soát chúng? Và làm thế nào chúng ta có thể ngăn chặn botnet?

• Tấn công Eclipse trong tiền điện tử là gì?
• Ransomware giả là gì? Tại sao Ransomware giả lại tồn tại?
• Fargo Ransomware là gì? Phòng tránh nó như thế nào?
• Phần mềm tội phạm (crimeware) là gì?
• Phần mềm độc hại là gì? Phần mềm độc hại hoạt động như thế nào?

Botnet chiếm một lượng lớn sức mạnh máy tính (computing power) trên toàn thế giới. Và sức mạnh đó thường xuyên là nguồn gốc của phần mềm độc hại (malware), phần mềm tống tiền (ransomware), thư rác (spam), v.v. Nhưng botnet ra đời thế nào ? Ai kiểm soát chúng? Và làm thế nào để ngăn chặn botnet?

1. Botnet là gì?

SearchSecurity định nghĩa “mạng botnet là một tập hợp các thiết bị được kết nối internet, có thể bao gồm PC, máy chủ, thiết bị di động và internet của những thiết bị bị nhiễm và kiểm soát bởi một loại phần mềm độc hại phổ biến. Người dùng thường không biết một botnet đã lây nhiễm vào hệ thống của họ.”

Câu cuối cùng của định nghĩa này rất quan trọng. Các thiết bị trong mạng botnet thường không tham gia “một cách tự nguyện”. Các thiết bị bị nhiễm một số biến thể phần mềm độc hại nhất định được kiểm soát bởi các tác nhân đe dọa từ xa, hay còn gọi là tội phạm mạng. Phần mềm độc hại ẩn các hoạt động botnet độc hại trên thiết bị khiến chủ sở hữu không biết về vai trò của họ trong mạng lưới. Bạn có thể gửi đi hàng nghìn thư rác mà không hề hay biết. 

Do đó, chúng tôi thường gọi các thiết bị botnet bị nhiễm là “zoombie” (xác sống).

2. Botnet làm gì?

Một mạng botnet có một số chức năng phổ biến tùy thuộc vào mong muốn của người điều hành mạng botnet:

1. Spam: Gửi một lượng lớn thư rác trên toàn cầu. Ví dụ, tỷ lệ thư rác trong lưu lượng email toàn cầu từ tháng 1 đến tháng 9 năm 2018 là 56,69%. Khi công ty nghiên cứu bảo mật FireEye tạm thời dừng quá trình chuyển đổi mạng botnet Srizbi khét tiếng, số lượng thư rác trên toàn cầu đã giảm xuống rất nhiều.
2. Phần mềm độc hại: Cung cấp phần mềm độc hại và phần mềm gián điệp cho các máy dễ bị tấn công. Các tài nguyên botnet được mua và bán bởi những kẻ xấu để tiếp tục phát triển các doanh nghiệp tội phạm của chúng.
3. Dữ liệu: bao gồm mật khẩu và thông tin cá nhân khác. 
4. Lừa đảo nhấp chuột (click fraud): Một thiết bị bị nhiễm độc truy cập các trang web để tạo lưu lượng truy cập web và xem quảng cáo giả. 
5. Bitcoin: Bộ điều khiển botnet chỉ đạo các thiết bị bị nhiễm mã độc khai thác Bitcoin và các loại tiền điện tử khác để tạo ra lợi nhuận một cách âm thầm. 
6. DDoS: Các nhà khai thác botnet hướng sức mạnh của các thiết bị bị nhiễm vào các mục tiêu cụ thể, khiến chúng phải offline trong các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Những người điều khiển botnet thường dùng botnet của họ cho một vài trong số các chức năng trên để tạo ra lợi nhuận. Ví dụ, các nhà khai thác mạng botnet gửi thư rác y tế cho công dân Mỹ cũng đồng thời sở hữu các hiệu thuốc để cung cấp các loại thuốc giả được quảng cáo này. 

Các mạng botnet chính đã thay đổi định hướng trong vài năm trở lại đây. Các loại thư rác y tế từng mang lại rất nhiều lợi nhuận trong một thời gian dài, nhưng các cuộc trấn áp của chính phủ ở một số quốc gia đã làm xói mòn lợi nhuận. Do đó, tỉ lệ email có tệp đính kèm độc hại đã tăng lên 1/359 email, theo Báo cáo tình báo tháng 7 năm 2017 của Symantec .

3. Botnet trông như thế nào?

Chúng ta đã biết rằng botnet là một mạng gồm các máy tính bị nhiễm độc. Giờ hãy cùng xem xét các thành phần cốt lõi và kiến ​​trúc của botnet

3.1 Kiến ​​trúc của botnet

Có hai kiến ​​trúc botnet chính:

• Mô hình máy khách-máy chủ (Client-server model): Mạng máy khách-máy chủ thường sử dụng máy khách của một ứng dụng tin nhắn (trước đây là IRC, nhưng các mạng botnet hiện đại đã sử dụng Telegram và các dịch vụ nhắn tin được mã hóa khác), miền hoặc trang web để giao tiếp với mạng botnet. Người vận hành sẽ gửi một thông điệp đến máy chủ, chuyển tiếp nó đến các máy khách để thực thi lệnh. Cơ sở hạ tầng của các mạng botnet khác nhau có thể từ cơ bản đến rất phức tạp.
• Mô hình ngang hàng (Peer-to-Peer): Một mạng botnet ngang hàng (P2P) cố gắng ngăn các chương trình bảo mật và các nhà nghiên cứu xác định các máy chủ C2 cụ thể bằng cách tạo một mạng phi tập trung. Mạng P2P thường tiên tiến hơn so với mô hình máy khách-máy chủ. Hơn nữa, kiến ​​trúc của chúng khác với cách mọi người hình dung. Thay vì một mạng lưới các thiết bị bị nhiễm độc được kết nối với nhau và giao tiếp qua địa chỉ IP, các nhà khai thác thích sử dụng các thiết bị zombie được kết nối với các nút (node), các nút này lại được kết nối với nhau và với máy chủ. Ý tưởng ở đây là đơn giản là nhiều nút được kết nối với nhau nhưng lại đủ riêng biệt để khó mà gỡ xuống đồng thời.

3.2 Lệnh và Kiểm soát 

Các giao thức Lệnh và Kiểm soát *Command và Control,đôi khi được viết tắt là C&C hoặc C2) có nhiều vỏ bọc khác nhau:

• Telnet: Các botnet telnet tương đối đơn giản, sử dụng tập lệnh (scipt) để quét các dải IP nhằm tìm kiếm các thông tin đăng nhập máy chủ telnet và SSH mặc định để thêm các thiết bị dễ bị tấn công.
• IRC: Các mạng IRC cung cấp một phương thức truyền thông băng thông cực thấp cho giao thức C2. Khả năng chuyển kênh nhanh chóng cung cấp một số bảo mật bổ sung cho các nhà khai thác mạng botnet, nhưng cũng có nghĩa là các máy khách bị nhiễm dễ dàng bị loại khỏi mạng botnet nếu họ không nhận được thông tin kênh cập nhật. Lưu lượng IRC tương đối dễ kiểm tra và cô lập, nên nhiều nhà khai thác đã không còn dùng phương pháp này.
• Tên miền: Một số mạng botnet lớn sử dụng tên miền thay vì ứng dụng nhắn tin để kiểm soát. Các thiết bị bị nhiễm độc truy cập vào một miền cụ thể phục vụ danh sách các lệnh điều khiển (control command), dễ dàng cho phép thay đổi và cập nhật nhanh chóng. Nhược điểm của phương pháp này là yêu cầu băng thông lớn đối với các mạng botnet lớn, cũng như các miền bị kiểm soát nếu bị nghi ngờ có thể bị đóng lại một cách dễ dàng. Một số nhà khai thác sử dụng cái gọi là lưu trữ chống đạn (bulletproof hosting) để hoạt động bên ngoài quyền tài phán của các quốc gia có luật internet hình sự nghiêm ngặt.
• P2P: Một giao thức P2P thường thực hiện ký kỹ thuật số bằng cách sử dụng mã hóa không đối xứng (asymmetric encryption)  – một khóa công khai và một khóa cá nhân. Có nghĩa là trong khi người điều hành nắm giữ khóa riêng tư, thì rất khó (về cơ bản là không thể) để bất kỳ ai khác đưa ra các lệnh khác nhau cho mạng botnet. Tương tự, việc thiếu một máy chủ C2 được xác định duy nhất khiến việc tấn công và tiêu diệt một mạng botnet P2P khó khăn hơn so với các phương pháp khác. 
• Các phương pháp khác: Trong những năm qua, các nhà khai thác mạng botnet sử dụng một số kênh Lệnh và Điều khiển khá thú vị. Ví dụ như các kênh truyền thông xã hội, chẳng hạn như botnet Android Twitoor, được điều khiển thông qua Twitter. Instagram cũng không an toàn. Vào năm 2017, Turla, một nhóm gián điệp mạng có liên kết chặt chẽ với tình báo Nga, đã sử dụng bình luận dưới các bức ảnh trên Instagram của Britney Spears để lưu trữ vị trí của một máy chủ phân phối phần mềm độc hại C2.

3.3 Zombie 

Thành phần cuối cùng của botnet là các thiết bị bị nhiễm virus (tức là các zombie).

Các nhà khai thác botnet quét và lây nhiễm các thiết bị dễ bị tấn công để mở rộng sức mạnh hoạt động của chúng. Chúng tôi đã liệt kê các cách sử dụng botnet chính ở trên. Tất cả các chức năng này đều yêu cầu sức mạnh máy tính (computing power). 

Hầu hết chủ sở hữu thiết bị zombie không nhận thức được vai trò của họ trong mạng botnet. Tuy nhiên, đôi khi, phần mềm độc hại botnet hoạt động như một đường dẫn cho các biến thể phần mềm độc hại khác.

3.4 Các loại thiết bị

Mạng botnet không chỉ săn lùng các thiết bị máy tính. Như bạn sẽ đọc thêm trong phần sau, các thiết bị Vạn vật kết nối (Internet of Things) cũng dễ bị ảnh hưởng bởi các biến thể của phần mềm độc hại botnet. 

Điện thoại thông minh và máy tính bảng cũng không an toàn. Android đã chứng kiến ​​một số mạng botnet trong vài năm qua. Android là một mục tiêu dễ dàng do có mã nguồn mở, có nhiều phiên bản hệ điều hành và nhiều lỗ hổng bảo mật. Người dùng iOS cũng không thể yên tâm. Đã có một vài biến thể phần mềm độc hại nhắm mục tiêu vào các thiết bị di động của Apple, mặc dù thường chỉ giới hạn ở iPhone đã bẻ khóa có lỗ hổng bảo mật.

Một mục tiêu khác thường bị botnet nhắm tới là một bộ định tuyến dễ bị tấn công. Các bộ định tuyến chạy chương trình cơ sở cũ và không an toàn là mục tiêu dễ dàng cho các mạng botnet và nhiều chủ sở hữu sẽ không nhận ra rằng cổng internet của họ đang bị nhiễm virus. Tương tự, một số lượng đáng kinh ngạc người dùng Internet không hề thay đổi cài đặt mặc định trên bộ định tuyến của họ sau khi cài đặt. Giống như các thiết bị IoT, điều này cho phép phần mềm độc hại lan truyền trên hàng nghìn thiết bị với tốc độ đáng kinh ngạc.

Giờ thì bạn đã hiểu về định nghĩa, chức năng, và các thành phần của botnet, làm thế nào để ngăn chặn chúng? Hãy cùng tìm hiểu tại đây. 

Vân Nguyễn (theo Makeuseof)