Sử dụng botnet trong tấn công DDoS UDP Flood

Tác giả NetworkEngineer, T.Hai 04, 2021, 03:35:49 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Sử dụng botnet trong tấn công DDoS UDP Flood


1. Định nghĩa mạng botnet.

Mạng botnet là một mạng gồm các máy tính bị xâm nhập được giám sát bởi một kênh chỉ huy và kiểm soát (C&C). Người vận hành cơ sở hạ tầng chỉ huy và kiểm soát, bot herder, sử dụng các máy tính hoặc bot bị xâm nhập để khởi động các cuộc tấn công được thiết kế để làm sập mạng của mục tiêu, đưa phần mềm độc hại, thu thập thông tin đăng nhập hoặc thực hiện các tác vụ đòi hỏi nhiều CPU.

Một mạng botnet bao gồm 3 thành phần chính:

  • Các bot.
  • Máy chủ ra lệnh và điều khiển (C&C)
  • Tác nhân đe dọa hoặc kẻ giết bot.

2. Tại sao kẻ thù sử dụng mạng botnet?

Hãy tưởng tượng có một đội quân công nhân giúp bạn đạt được mục tiêu của mình dù tốt hay xấu. Đó là những gì một mạng botnet dành cho đối thủ của bạn. Một mạng botnet có thể được tạo thành từ hàng trăm hoặc thậm chí hơn một triệu thiết bị đều đang thực thi mã độc hại thay mặt cho bot herder.

Đối thủ không cần phải là một thiên tài máy tính để chạy một botnet, botnet được rao bán trên dark web với giá khoảng 30 đô la và có thể được cho thuê với giá 10 đô la một giờ (với chiết khấu cho các đơn đặt hàng số lượng lớn). Đối với loại kẻ tấn công thực hành hơn, có rất nhiều hướng dẫn trên web hợp pháp và YouTube, trong khi web đen là nơi có các bài học chi tiết hơn với giá khoảng 50 đô la.

Việc xác định (và do đó, truy tố) một kẻ phá hoại bot là rất khó vì rất khó để theo dõi một cuộc tấn công trở lại máy chủ điều khiển và chỉ huy vì các máy tính bị xâm nhập trong mạng botnet đang tiến hành cuộc tấn công thực sự.

Một khi kẻ thù kiểm soát được mạng botnet, khả năng độc hại là rất lớn. Một mạng botnet có thể được sử dụng để thực hiện nhiều loại tấn công, bao gồm:

2.1. Lừa đảo.

Botnet có thể được sử dụng để phát tán phần mềm độc hại qua email lừa đảo. Vì botnet được tự động hóa và bao gồm nhiều bot, việc đóng một chiến dịch lừa đảo giống như chơi trò Whack-A-Mole.

2.2. Tấn công từ chối dịch vụ (DDoS) phân tán.

Trong một cuộc tấn công DDoS, mạng botnet sẽ gửi một số lượng lớn các yêu cầu đến một máy chủ hoặc ứng dụng được nhắm mục tiêu, khiến nó gặp sự cố. Các cuộc tấn công DDoS ở lớp mạng sử dụng SYN Flood, UDP Flood, khuếch đại DNS và các kỹ thuật khác được thiết kế để tiêu thụ băng thông của mục tiêu và ngăn các yêu cầu hợp pháp được phục vụ. Tầng ứng dụng cuộc tấn công DDoS sử dụng HTTP Flood, Slowloris hoặc Rudy tấn công, tấn công zero-day và các cuộc tấn công khác mà lỗ hổng mục tiêu trong một hệ điều hành, ứng dụng hoặc giao thức để làm sụp đổ một ứng dụng cụ thể.

2.3. Cryptojacking.

Tiền điện tử được "khai thác" bởi các máy tính kiếm được các bit tiền tệ bằng cách giải các phương trình toán học được mã hóa. Tuy nhiên, việc tính toán sử dụng rất nhiều điện, chỉ riêng việc khai thác Bitcoin đã sử dụng nhiều năng lượng như toàn bộ quốc gia Thụy Sĩ và khi tất cả các chi phí liên quan đến khai thác tiền điện tử được tính, một đối thủ sẽ chi tiêu nhiều hơn ba lần để khai thác tiền điện tử so với khai thác vàng thực tế. Đối với một đầu óc tội phạm, việc bắt người khác phải trả giá cho nỗ lực bằng cách chỉ huy tài nguyên của họ sẽ có ý nghĩa hơn rất nhiều.

2.4. Snooping.

Botnet có thể được sử dụng để giám sát lưu lượng mạng, thụ động để thu thập thông tin tình báo và đánh cắp thông tin đăng nhập hoặc tích cực để đưa mã độc hại vào lưu lượng HTTP. Hệ thống tên miền (DNS) rình mò bản đồ địa chỉ IP với tên miền có trong cơ sở dữ liệu động hoặc danh sách cục bộ để khám phá những truy vấn nào đang được thực hiện, tên miền nào có thể là mục tiêu tốt nhất cho một cuộc tấn công nhiễm độc bộ nhớ cache hoặc những tên miền gõ sai có thể đáng để đăng ký.

2.5. Bricking.

Một cuộc tấn công bricking xóa phần mềm khỏi một thiết bị IoT có bảo mật yếu, khiến nó trở nên vô dụng hoặc bị gạch hóa. Những kẻ tấn công có thể sử dụng các cuộc tấn công bricking như một phần của cuộc tấn công nhiều giai đoạn, trong đó chúng đặt một số thiết bị để che giấu bất kỳ manh mối nào chúng có thể để lại khi khởi động cuộc tấn công chính. Bricking khiến các nhà phân tích pháp y khó hoặc không thể phát hiện ra tàn tích của phần mềm độc hại cung cấp thông tin về ai, cách thức hoặc lý do thực hiện cuộc tấn công chính.

2.6. Spambots.

Spambots thu thập email từ các trang web, diễn đàn, sổ lưu bút, phòng trò chuyện và bất kỳ nơi nào khác mà người dùng nhập địa chỉ email của họ. Sau khi có được, các email được sử dụng để tạo tài khoản và gửi tin nhắn rác. Hơn 80 phần trăm thư rác được cho là đến từ các mạng botnet.

3. Các loại Botnet.

Botnet có thể được phân loại thành hai loại:

  • Mô hình tập trung, máy khách-máy chủ
  • Mô hình phi tập trung, ngang hàng (P2P)

3.1. Mô hình tập trung.

Thế hệ botnet đầu tiên hoạt động trên kiến ​​trúc máy khách-máy chủ, nơi máy chủ điều khiển và kiểm soát (C&C) vận hành toàn bộ mạng botnet.


Do tính đơn giản của nó, các mạng botnet tập trung vẫn được sử dụng cho đến ngày nay. Tuy nhiên, nhược điểm của việc sử dụng mô hình tập trung so với mô hình P2P là nó dễ mắc phải một điểm lỗi duy nhất.

Hai kênh giao tiếp C&C phổ biến nhất là IRC và HTTP:

Mạng botnet IRC (Internet Relay Chat): Các botnet IRC là một trong những loại botnet sớm nhất và được điều khiển từ xa với một máy chủ và kênh IRC được cấu hình sẵn. Các bot kết nối với máy chủ IRC và chờ lệnh của người điều khiển bot.

Mạng botnet HTTP: Một botnet HTTP là một mạng botnet dựa trên web mà thông qua đó, bot herder sử dụng giao thức HTTP để gửi lệnh. Bots sẽ truy cập định kỳ vào máy chủ để nhận các bản cập nhật và lệnh mới. Sử dụng giao thức HTTP cho phép herder che các hoạt động của họ như lưu lượng web bình thường.

3.2. Mô hình phi tập trung.

Thế hệ botnet mới là mạng ngang hàng, nơi các bot chia sẻ lệnh và thông tin với nhau và không tiếp xúc trực tiếp với máy chủ C&C.


Các botnet P2P khó triển khai hơn botnet IRC hoặc HTTP, nhưng cũng linh hoạt hơn vì chúng không dựa trên một máy chủ tập trung. Thay vào đó, mỗi bot hoạt động độc lập như một máy khách và máy chủ, cập nhật và chia sẻ thông tin một cách đồng bộ giữa các thiết bị trong mạng botnet.

4. Cách thức hoạt động của một Botnet.

Dưới đây là một phiên bản đơn giản về cách một botnet được tạo ra:

  • Một hacker bắt đầu lây nhiễm phần mềm độc hại ban đầu để tạo ra các thiết bị zombie bằng các kỹ thuật như tải xuống qua web, bộ dụng cụ khai thác, quảng cáo tự động bật lên và tệp đính kèm email.
  • Nếu đó là một mạng botnet tập trung, kẻ quản lý sẽ hướng thiết bị zombie đến máy chủ C&C. Nếu đó là một botnet P2P, quá trình lan truyền ngang hàng sẽ bắt đầu và các thiết bị zombie tìm cách kết nối với các thiết bị bị nhiễm khác.
  • Sau đó, thiết bị zombie sẽ tải xuống bản cập nhật mới nhất từ ​​kênh C&C để nhận đơn đặt hàng của nó.
  • Sau đó, bot tiếp tục các đơn đặt hàng của nó và tham gia vào các hoạt động độc hại.

5. Mẹo để tránh trở thành nạn nhân trong mạng botnet.

Để ngăn các thiết bị IoT của bạn trở thành nạn nhân trong mạng botnet, mình khuyên tổ chức của bạn nên xem xét các đề xuất sau:

  • Một chương trình đào tạo nâng cao nhận thức về bảo mật thường xuyên hướng dẫn người dùng/nhân viên để xác định các liên kết độc hại.
  • Một chương trình vá lỗi chạy tốt để bảo vệ khỏi các lỗ hổng bảo mật mới nhất.
  • Một giải pháp chống vi-rút chất lượng được cập nhật và quét mạng thường xuyên.
  • Triển khai hệ thống phát hiện xâm nhập (IDS) trên mạng của bạn.
  • Một giải pháp bảo vệ người dùng cuối, bao gồm khả năng phát hiện rootkit và có thể phát hiện và chặn lưu lượng mạng độc hại.