Năm 2014 - Tấn công qua Botnet tiếp tục nóng

BOTNET ĐỨNG ĐẦU DANH SÁCH CÁC MỐI NGUY HIỂM

Trong năm 2013, botnet vẫn tiếp tục đứng đầu danh sách các mối nguy hiểm với sự xuất hiện của nhiều hình thức tấn công mới ngày càng tinh vi hơn. Trong đó, phải kể đến  một loại botnet mới tấn công người dùng thông qua việc “trá hình” dưới dạng đường link một video/ảnh thú vị được gửi đến từ các thành viên trên mạng xã hội  lớn nhất hành tinh – Facebook.

Hình thức tấn công này không quá mới mẻ, tuy nhiên, điều khiến cho loại botnet này tạo nên sự khác biệt ở đây là nó có thể đượcphát tán thông qua nhiều dịch vụ tin nhắn tức thờinhưfacebookChat, Skype,GoogleTalk, Pidgin, Window Live Messenger, Yahoo Messenger hay ICQ.

Mặt khác, trong những năm gần đây, mã nguồn botnet thường bị rò rỉ nên tin tặc có thể dễ dàng tạo ra các botnet mới của riêng mình và phát triển chúng theo nhiều hướng khác nhau so với mã gốc ban đầu, khiến cho việc đối phó trở nên khó khăn hơn. Ví dụ, việc rò rỉ mã nguồn Zeus năm 2011 đã dẫn tới sự ra đời của mạng botnet Gameover Zeus, trong đó thay thế liên kết kiểm soát và điều khiển (command and control (C&C)) tập trung truyền thống của Zeus bằng một mạng peer-to-peer các thiết bị bị lây nhiễm. Botnet này đã bổ sung thêm các cơ chế truyền thông dự phòng, sử dụng mật mã tốt hơn, giúp người đứng đầu Botnet linh hoạt hơn trong việc thiết lập các quy tắc cho kiểm soát botnet cũng như khả năng tham gia vào các tấn công DDoS diện rộng.

Số điểm đầu cuối bị botnet ZeroAccess kiểm soát tại các quốc gia trên thế giới.

(Nguồn Sophos Labs)

Tính đến thời điểm hiện nay, ZeroAccess vẫn là một trong những mạng botnet lớn nhất được phát hiện, với số lượng máy tính bịlây nhiễm(bot) lên tới 1,9 triệu và mang lại nguồn thu hàng chục triệu USD mỗi năm chotội phạm mạng. Những kẻ sở hữu mạng botnet ZeroAccess chủ yếu sử dụng thủ thuật lừanhấp chuột (click-fraud) và khai thác tiền ảo Bitcoin để thu lợi.

Bên cạnh các botnet truyền thống, giờ đây các botnet di động cũng trở nên phổ biến, mang đến một lợi thế đáng kể so với những botnet truyền thống bởi smartphone hiếm khi tắt nguồn và thường được kết nối Internet liên tục, sẵn sàng đợi chỉ dẫn từ tội phạm mạng. Botnet MTK, xuất hiện vào đầu năm 2013 và Opfake là bằng chứng cho thấy các botnet di động đang trở thành một mối lo lớn hiện nay.

Tại Việt Nam, hiện có khoảng 500.000 cho đến 1 triệu máy tính ma (zombie) tại Việt Nam nằm trong hệ thống botnet trên thế giới. Các botnet này sử dụng máy tính tại Việt Nam làm bàn đạp tấn công các hệ thống mạng ở quốc gia khác, phát tán thư rác trên toàn cầu... Bản thân Việt Nam cũng bị các botnet này tấn công dựa trên số lượng máy tính zombie trong nước.

Mạng lưới Botnet ngày càng tinh vi hơn

Các mạng botnet hiện nay thường được tích hợp nhiều hình thức sao lưu các lệnh kiểm soát và điều khiển. Ví dụ, nếu một máy khách bị nhiễm botnet và không thể kết nối đến các máy bị nhiễm khác trên mạng, nó có thể chạy thuật toán được tích hợp sẵn để phát hiện ra một trong những máy chủ C&C mới được thiết lập và tiếp tục lây nhiễm sang cho máy chủ này. Nhờ đó, chủ sở hữu của botnet này có thể nhanh chóng tăng thêm số lượng mã độc được cài đặt trên máy khách.

Botnet phân phối nhiều phần mềm tống tiền nguy hiểm hơn

Việc phân phối phần mềm tống tiền (ransomware) trên botnet ngày càng phổ biến. Thông thường, ransomware tự động bổ sung thêm nó vào danh sách các chương trình Windows chạy lúc khởi động để kiểm soát máy chủ bị nhiễm, tải lên một tập tin ID nhỏ từ máy tính của bạn, lấy một khóa công khai từ máy chủ và sau đó mã hóa tất cả các tệp tin dữ liệu và hình ảnh mà nó tìm thấy trên máy tính của bạn. Một khi dữ liệu của bạn đã được mã hóa bởi những kẻ xấu, cách duy nhất để khôi phục lại nó là sử dụng khóa riêng do tội phạm mạng cung cấp. Kết quả là nhiều người dùng đang phải đối mặt với việc phảo trả số tiền lớn để khôi phục lại quyền truy cập vào dữ liệu của mình.

Một trong những ransomware nguy hiểm nhất và phổ biến nhất hiện nay là CryptoLocker. Nó “bắt cóc” các tập tin của bạn làm con tin và giữ chúng để đòi tiền chuộc, buộc bạn phải trả hàng trăm USD để lấy lại quyền truy cập.

Ransomware đang ngày càng trở nên tinh vi hơn, ví dụ CryptoLocker có thể bắt đầu mã hóa các tập tin cá nhân của bạn ngay sau khi nó giành được quyền truy cập vào hệ thống. Sau đó, CryptoLocker sẽ hiển thị tin nhắn thông báo các tập tin của bạn đã bị khóa và bạn chỉ có một vài ngày để “trả tiền chuộc”. Trong khi, thông thường các ransomware chỉ đơn giản là đáp ứng lại một lệnh nâng cấp cho phép những kẻ lừa đảo cập nhật, thay thế hoặc thêm vào các phần mềm độc hại mà họ đã cài đặt trên máy tính PC của bạn.

Gia tăng botnet lây nhiễm mã độc ngân hàng

Mã nguồn Carberp, một botnet đánh cắp thông tin tín dụng của ngân hàng, được sử dụng để ăn cắp hơn 250 triệu USD từ các tổ chức tài chính và khách hàng của họ, đã bị rò rỉ vào giữa năm 2013.

Trong khi đó, tại Anh và các quốc gia châu Âu, nhiều người dùng gần đây đã bị nhiễm mã độc Shylock/Caphaw. Đó là mối đe dọa cho những khách hàng của 24 ngân hàng lớn bao gồm: Bank of Scotland, First Citizens Bank, Barclays Bank, Bank of America, Co-operative Bank, Chase, Comerica, Harris Bank, Regions, Intesa Sanpaolo, SunTrust, US Bancorp….

Botnet đang ngày càng dựa vào các mạng ẩn danh "darknet"

Botnet ngày càng sử dụng các mạng ẩn danh như Tor để tránh lại sự giám sát của các hệ thống phòng thủ. Botnet có thể lưu trữ các máy chủ C&C như các dịch vụ ẩn trên mạng Tor, khiến cho việc giám sát chúng gặp nhiều khó khăn. Để tránh nguy cơ từ việc này, nhiều doanh nghiệp thường yêu cầu nhân viên không sử dụng Tor, đồng thời sử dụng các công nghệ kiểm soát ứng dụng để ngăn chặn việc sử dụng phần mềm trình duyệt Tor trên máy khách.

ĐỐI PHÓ VỚI TẤN CÔNG QUA BOTNET

Botnet là một mối đe dọa đang ngày một lan rộng. Thực tế, để hình thành mạng botnet, tin tặc đã tìm cách phát tán mã độc bằng cách chèn chúng vào các trang web download, đánh cắp email hoặc giả mạo email và gửi tài liệu, link có chứa mã độc. Các mã độc này sẽ được kết nối đến máy chủ điều khiển để nhận lệnh. Ngoài ra, các máy tính bị nhiễm sẽ tiếp tục dò quét mạng nội bộ để tiếp tục lây nhiễm. Sau đó, tin tặc sẽ sử dụng mạng botnet này để làm công cụ tấn công, phát tán thư rác…

Bởi vậy, để đối phó và giảm thiểu thiệt hại từ tấn công qua botnet, doanh nghiệp và người dùng cần sử dụng một loạt các biện pháp tổng thể, nhiều tầng lớp bảo vệ để ngăn chặn.

Trong đó, đầu tiên phải kể đến dịch vụ lọc Web. Các dịch vụ này quét website khi thấy xuất hiện hành vi không bình thường hoặc có các hành động mã nguy hiểm và khóa site đó từ người dùng. Bên cạnh đó không nên sử dụng một trình duyệt duy nhất bởi các trình duyệt phổ biến nhất thường là mục tiêu mà nhiều tin tặc tập trung tấn công tới. Tương tự như vậy đối với các hệ điều hành. Theo thống kê thì Macs là hệ điều hành an toàn với botnet bởi vì hầu hết chúng đều nhằm vào Windows.

Việc triển khai các hệ thống phát hiện xâm phạm và ngăn chặn xâm phạm cũng rất cần thiết để tìm kiếm và phát hiện các hoạt động tương tự như botnet. Ví dụ, sự thu hút bất ngờ trong lưu lượng SSL trên một máy tính, đặc biệt trong các cổng không bình thường. Điều đó có thể là kênh mà botnet chiếm quyền điều khiển đã bị kích hoạt.

Các hoạt động trên website của doanh nghiệp cũng phải được bảo vệ để tránh trở thành nơi lây nhiễm và phát tán mã độc. Ngoài ra, chúng ta còn có thể sử dụng các công cụ phần mềm, bao gồm các phần mềm chống virus có chức năng chạy tất cả các tập tin trong môi trường an toàn hay phần mềm phát hiện các phần mềm gián điệp thông qua hành vi và phát hiện các tập tin khai thác lỗ hổng…