Botnet là gì? Cách phòng chống Botnet tấn công

Tội phạm mạng ngày càng phụ thuộc vào sức mạnh của botnet để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) và lan truyền ransomware. Vậy botnet là gì? hãy cùng chúng tôi theo dõi bài viết sau đây nhé.

Botnet là gì?

botnet là gì
botnet là gì

Botnet (hay bot network) là một tập hợp các thiết bị được kết nối internet (như PC, máy chủ, thiết bị di động và thiết bị IoT), bị nhiễm phần mềm độc hại nằm dưới sự kiểm soát bởi một bên tấn công duy nhất, được gọi là “bot-master”.

Mỗi thiết bị riêng lẻ dưới sự kiểm soát của bot-herder được gọi là bot. Mỗi bot đóng vai trò như một công cụ để tự động hóa các cuộc tấn công hàng loạt. Một tác nhân đe dọa khác là bot-herder, hỗ trợ bot-master thực hiện mục đích cuối cùng. Bot-herder sẽ chiếm đoạt một mạng lưới hệ thống máy tính để tạo ra botnet và sau đó sử dụng nó để thực hiện nhiều loại tấn công mạng khác nhau. Sau đó, bot-master chỉ đạo một nhóm máy tính bị tấn công bằng cách sử dụng lệnh từ xa.

Botnet cũng có thể tồn tại mà không cần máy chủ C&C (command and control) bằng cách sử dụng kiến trúc ngang hàng (P2P) và các kênh quản lý khác để chuyển lệnh từ bot này sang bot khác.

Botnet thường được sử dụng để gửi email spam, tham gia vào click fraud và tạo ra traffic bất thường cho các cuộc tấn công DDoS hay xâm nhập hệ thống đánh cắp dữ liệu, phát tán phần mềm độc hại…

Các loại tấn công Botnet

DDoS

Với một botnet có thể được sử dụng cho một cuộc tấn công DDoS – từ chối dịch vụ phân tán để phá hủy kết nối và dịch vụ mạng. Chúng sẽ làm quá tải tài nguyên tính toán và sau đó là tiêu tốn băng thống, đây chính là phương thức tấn công.

Các cuộc tấn công phổ biến nhất có thể kể đến là: tấn công TCP SYN, UDP flood. Tấn công không chỉ ở những máy chủ web mà còn có thể mở rộng để nhắm tới bất kì loại dịch vụ nào miễn là có kết nối với Internet. Các cuộc tấn công càng mạnh khi sử dụng HTTP flood trên web của bạn, người ta gọi phương pháp này là spidering để làm tăng hiệu quả của cuộc tấn công.

Cuộc tấn công botnet DdoS lớn nhất hiện nay có liên quan đến việc sử dụng virus botnet Mirai và IoT. Virus đã nhắm các mục tiêu, tiến hành kiểm soát hàng chục ngàn thiết bị Internet có hệ thống bảo mật lỏng lẻo. Sau đó biến chúng thành các bot để tổng tấn công DdoS. Virus botnet Mirai khi đó sẽ tiếp tục mở rộng làm cho cuộc tấn công ngày càng trở nên phức tạp hơn.

botnet là gì
Tấn công DDOS

Spamming (phát tán thư rác) và giám sát lưu lượng

Một botnet có thể dùng để xác định sự có mặt của những dữ liệu nhạy cảm có trong các máy tính bị nhiễm. Bên cạnh đó nó có thể xác định được cả các vị trí của botnet đối thủ nếu chúng đã được cài chung 1 máy.

Có những botnet có khả năng mở proxy SOCKS v4/v5 – là một giao thức proxy chung cho mạng dựa trên TCP/IP. Khi proxy SOCKS được kích hoạt, nó có thể dùng cho nhiều mục đích như spam trên máy bị xâm nhập. Bot sử dụng packet sniffer theo dõi thông, dữ liệu được truyền bởi máy xâm nhập. Từ đó truy ra được những thông tin quan trọng như tên người dùng, mật khẩu người dùng…

Grum là một loại thư rác rất khó để phát hiện bởi chúng bị nhiễm những file được sử dụng bởi các Registry Autorun. Chúng thu hút những nghiên cứu bởi tương đối nhỏ, với chỉ khoảng 600.000 member nhưng có thể chiếm tới 40 tỷ email spam mỗi ngày, bằng khoảng 25% tổng số email spam.

Keylogging

Với công cụ trợ giúp vô cùng đắt lực là keylogger, việc botmaster lấy được các thông tin quan trọng trở nên dễ dàng hơn rất nhiều. Kẻ xấu thoải mái theo dõi các phím mà chính bạn sử dụng khi điền, truy cập vào các trang thông tin quan trọng như PayPal, Yahoo…

Một loại phần mềm gián điệp được xác định là OSX/XSLCmd, có thể chuyển từ Windows sang OS X, bao gồm khả năng keylogging và chụp màn hình.

Ăn cắp thông tin danh tính

Các loại bot khác nhau sẽ có khả năng kết hợp với nhau để tiến hành đánh cắp thông tin danh tính trên quy mô lớn. Email spam được gửi bởi bot sẽ chuyển hướng truy cập từ trang web gốc sang website đích là trang giả mạo được chỉ định.

Bot có khả năng giả dạng như một cty hợp pháp, lừa người dùng cung cấp thông tin cá nhân, tài khoản ngân hàng, thẻ tín dụng…. Hành vi trộm cắp danh tính hàng loạt diễn ra bằng cách sử dụng email phishing để lừa nạn nhân nhập thông tin đăng nhập trên trang web như eBay, Amazon, hoặc thậm chí là ngân hàng.

Lây lan botnet

botnet là gì
Lây lan Botnet

Tin tặc có thể lan truyền các botnet bằng cách thuyết phục người dùng tải xuống những chương trình có nhiễm virus. Những chương trình này có thể được thực thi thông qua Email, HTTP hoặc FTP.

Phần mềm quảng cáo

Máy tính người dùng có thể xuất hiện những quảng cáo không mong muốn hoặc quảng cáo gốc bị thay thế bởi những phần mềm quảng cáo lừa đảo. Đây là những phần mềm không được người dùng cho phép và lây nhiễm vào hệ thống của người dùng khi họ nhấp vào những mẫu quảng cáo đó.

Phần mềm quảng cáo này thoạt nhìn giống như quảng cáo vô hại nhưng chúng đã được cài đặt sẵn những phần mềm gián điệp để thu thập dữ liệu trình duyệt của người dùng. Để chống lại các cuộc tấn công này, người dùng có thể sử dụng những phần mềm chặn quảng cáo. Phần mềm chặn quảng cáo có thể chặn không cho botnet xâm nhập vào máy tính hay lây nhiễm trên ổ cứng hoặc lưu lượng mạng, đồng thời trục xuất chúng ra khỏi hệ thống máy tính đó. 

Lợi dụng việc trả tiền mỗi lần nhấp (CPC)

AdSense của Google là chương trình cho phép hiển thị quảng cáo Google trên website và Google sẽ trả tiền cho chủ sở hữu website dựa trên số lần nhấp chuột vào quảng cáo. 

Khi máy tính của người dùng bị nhiễm botnet sẽ tự động nhấp vào những quảng cáo trên website đó và làm tăng số lần nhấp. Điều này làm cho lưu lượng truy cập đến website được quảng cáo là ảo, gây hiểu lầm cho google và công ty được quảng cáo.

Những dấu hiệu nào cho thấy máy tính của bạn đã trở thành một phần của Botnet?

Trong thực tế, các Botnet không sử dụng quá nhiều sức mạnh phần cứng để hoạt động. Do đó, hiếm trường hợp bạn sẽ thấy thiết bị của mình xuống cấp hoặc hoạt động mạnh đột ngột. Nhưng bạn vẫn có thể quan sát một số dấu hiệu như sau:

  • Có những tác vụ lạ trong Task Manager
  • Hệ thống có những phần bị thay đổi
  • Hệ thống có những hoạt động lạ hoặc những thay đổi không thể giải thích được.

Trong đó, chúng ta có 2 dấu hiệu rất cụ thể khi máy tính của bạn đã trở thành một phần của Botnet là:

  • Tốc độ mạng đột ngột chậm lại hoặc băng thông sử dụng đột biến tăng lên.
  • Phần mềm diệt virus, Windows phát hiện Botnet độc hại

Cách phòng chống Botnet

botnet là gì
Phòng chống Botnet

Botnet là một mối đe dọa đang ngày một lan rộng, tuy nhiên chúng ta có nhiều cách đối phó để giảm được các tác hại gây ra từ nó, bạn có thể tham khảo một số cách phòng chống Botnet nhanh chóng và hiệu quả sau đây nhé:

Cập nhật bảo mật

Mặc dù một số ngành kinh doanh có thể yêu cầu trình độ chuyên môn cho phần mềm bổ sung, nhưng để đảm bảo an toàn hệ thống cao nhất thì lựa chọn tốt nhất vẫn là cập nhật tự động, dùng phần mềm có bản quyền để khỏi phải dùng các bản patch, crack không đáng tin cậy và không bị đồng hóa vào Botnet.

Giới hạn truy cập cho máy chủ, website

Tự thiết lập số lượng cho máy chủ, website trong cùng một lúc. Cách này nhằm ổn định kết nối cho những người đang sử dụng hệ thống khi xảy ra tấn công. Sau khi đạt được một lượng giới hạn truy cập cho phép thì mọi truy cập sau đó đều bị chặn lại và phải chờ.

Định tuyến hố đen (Black hole)

Đây là cách làm khá phổ biến đối với các quản trị viên trong việc bảo mật website. Khi phát hiện lượng lớn các truy cập bất thường, các truy cập sẽ được chuyển vào đây bất kể là truy cập bình thường hay ác ý, nhằm giảm thiểu thiệt hại cho máy chủ. Hiện nay các nhà cung cấp dịch vụ internet (ISP) đang cung cấp dịch vụ này. Tuy nhiên để thiết lập cần tốn nhiều thời gian và thiết bị.

Sử dụng phần mềm diệt virus

Cẩn thận quét virus trước khi cho phép máy tính của bạn kết nối với USB, biết đâu được 1 con Botnet từ những chiếc máy nhiễm bệnh đã âm thầm xâm nhập và nằm chờ sẵn trong đó. Bạn cũng có thể liên hệ nhà cung cấp dịch vụ hosting, server về dịch vụ bảo mật, an toàn thông tin.

Trên đây Hostify đã giới thiệu botnet là gì? dấu hiệu và cách phòng chống botnet. Hy vọng thông tin này hữu ích đối với bạn nhé.

Bài liên quan:

Jira là gì? Ưu và nhược điểm của Jira

Nên mua Hosting giá rẻ ở đâu uy tín chất lượng 2022