Botnet hoạt động dựa trên sự điều khiển bởi một mạng khác từ xa và chiếm quyền điều hành của máy tính, gây nhiều thiệt hại cho đối tượng bị tấn công. Vậy cụ thể Botnet là gì? Cách phòng chống Botnet ra sao? Hãy cùng Vietnix theo dõi trong bài viết bên dưới.
Botnet là gì? DDoS Botnet là gì?
Botnet là mạng lưới các thiết bị máy tính đã bị chiếm quyền điều khiển được sử dụng bởi hacker để thực hiện các cuộc tấn công mạng. Thuật ngữ “botnet” được hình thành từ từ “robot” và “network”. Xây dựng mạng botnet thường là giai đoạn thâm nhập của một sơ đồ nhiều lớp. Các bot đóng vai trò như một công cụ để tự động hóa các cuộc tấn công hàng loạt. Chẳng hạn như là đánh cắp dữ liệu, gây ra sự cố cho server và phát tán phần mềm độc hại.
Các cuộc tấn công bằng hình thức DDoS botnet đang ngày càng phổ biến với tần suất và quy mô lớn. Trong các cuộc tấn công này, tin tặc sử dụng một lượng lớn máy bot để tạo ra một lượng lớn yêu cầu truy cập đối với mục tiêu, dẫn đến việc quá tải hệ thống, cạn kiệt băng thông và làm cho các dịch vụ mạng không thể hoạt động.
Hơn nữa, các tấn công DDoS botnet cũng làm gián đoạn các dịch vụ trực tuyến của các doanh nghiệp, bao gồm cửa hàng trực tuyến, ngân hàng trực tuyến và các ứng dụng di động khác, gây rắc rối trong việc sử dụng và tạo ra trải nghiệm không tốt cho người dùng, ảnh hưởng nghiêm trọng đến uy tín và doanh thu của doanh nghiệp.
Mục đích tấn công Botnet
Tấn công botnet có thể được dùng cho nhiều mục đích khác nhau. Do đặc thù mạng botnet tập hợp rất nhiều máy tính, nên tin tặc có thể sử dụng botnet để thực hiện các cuộc tấn công DDoS vào một máy chủ web bất kỳ. Theo đó, hàng trăm ngàn máy tính sẽ cùng lúc truy cập vào một website mục tiêu, khiến cho lưu lượng truy cập vào website đó bị quá tải. Kết quả là gây ra tình trạng bị nghẽn mạng, treo máy, không truy cập được.
Ngoài ra, mục đích của tấn công botnet có thể là:
- Gửi mail spam – đây là cách thức kiếm tiền phổ biến của các Spammer. Bên cạnh đó, botnet cũng được sử dụng để tạo các website gian lận chèn bổ sung quảng cáo chạy trên nền web, khi người dùng click vào link quảng cáo sẽ đem lại lợi nhuận cho hacker.
- Botnet còn được sử dụng để đào Bitcoin nhằm mang lại tiền bán bitcoin cho kẻ tấn công.
- Botnet cũng tạo và phát tán các loại virus, malware đến máy tính bạn, sau đó tiếp tục lây lan sang các máy tính khác để tạo một mạng lưới Botnet lớn rộng nhằm thu được nhiều lợi nhuận hơn.
Cách hoạt động của Botnet
Bước 1: Khai thác lỗ hổng
Botnet thường bắt đầu bằng việc phát hiện và tận dụng các lỗ hổng bảo mật trên các thiết bị mục tiêu. Các hành động chủ yếu bao gồm việc triển khai phần mềm độc hại, tận dụng các lỗ hổng vận hành và thậm chí là sử dụng các phương tiện xâm nhập từ xa để tiếp quản kiểm soát thiết bị đó.
Bước 2: Cài đặt malware
Khi một thiết bị bị xâm nhập, Botnet sẽ tiến hành cài đặt phần mềm độc hại lên thiết bị đó. Phần mềm này có thể được giấu trong các tập tin tải xuống hoặc được triển khai một cách tiềm ẩn để truyền thông tin về máy chủ điều khiển của Botnet.
Bước 3: Thiết lập liên lạc với máy chủ điều khiển
Máy chủ điều khiển đóng vai trò trung tâm trong Botnet và thường được điều khiển từ xa bởi kẻ tấn công. Các thiết bị trong Botnet sẽ liên lạc với máy chủ điều khiển để đợi lệnh và truyền thông tin về trạng thái, thông tin hệ thống và dữ liệu khác.
Bước 4: Lấy lệnh từ máy chủ điều khiển
Kẻ tấn công có thể sử dụng máy chủ điều khiển để điều khiển Botnet thực hiện các cuộc tấn công mạng, phân phối phần mềm độc hại, hoặc thực hiện các cuộc tấn công DDoS để làm giảm hiệu suất của hệ thống mục tiêu.
Bước 5: Thực hiện cuộc tấn công
Khi nhận được chỉ thị từ máy chủ điều khiển, các thiết bị trong Botnet sẽ tiến hành các cuộc tấn công theo hướng dẫn của kẻ tấn công. Điều này gây ra tình trạng khiến chủ sở hữu thiết bị không thể phát hiện được rằng máy tính của họ đã bị xâm nhập.
Các mô hình Botnet phổ biến
Mô hình botnet Client/Server
Mô hình client/server tương tự như quy trình làm việc của máy trạm từ xa. Trong đó mỗi máy riêng lẻ kết nối với máy chủ trung tâm để truy cập thông tin. Trong mô hình này, mỗi bot sẽ kết nối với tài nguyên của command-and-control (C&C). Bằng cách sử dụng kho lưu trữ này để cung cấp lệnh mới cho mạng botnet, hacker chỉ cần sửa đổi tài liệu nguồn mà mỗi mạng botnet sử dụng từ C&C để cập nhật hướng đi cho các máy bị nhiễm. Máy chủ trung tâm kiểm soát mạng botnet có thể là một thiết bị do hacker vận hành.
Một số cấu trúc liên kết mạng botnet phổ biến bao gồm:
Mạng hình sao
Mạng hình sao đa máy chủ
Liên kết dạng phân cấp
Để loại bỏ botnet liên kết với máy chủ trung tâm, chỉ cần làm cho máy chủ bị gián đoạn. Do lỗ hổng này, những người tạo ra phần mềm độc hại botnet đã phát triển và hướng tới mô hình ít bị gián đoạn hơn.
Mô hình mạng botnet peer-to-peer
Để loại bỏ các lỗ hổng của mô hình client/server, các mạng botnet đã được thiết kế bằng cách sử dụng các thành phần của file sharing peer-to-peer. Việc nhúng cấu trúc này vào bên trong mạng botnet giúp loại bỏ lỗ hổng của mô hình client/server. Bot P2P có thể vừa là client vừa là trung tâm phát lệnh. Chúng làm việc song song với các node lân cận để truyền dữ liệu.
Các loại tấn công Botnet là gì?
Một số hình thức tấn công Botnet hiện nay phải kể đến đó là:
Tấn công DDoS
DDoS (viết tắt của cụm từ Distributed Denial of Operations Service) là tấn công từ chối dịch vụ phân tán. Tin tặc có thể sử dụng một botnet để xâm nhập vào máy tính của hàng loạt người dùng khác nhau rồi dùng chúng để phá hủy kết nối và dịch vụ mạng đang sử dụng.
Nguyên lý cơ bản của tấn công này là làm quá tải lượng tài nguyên máy chủ hoặc tiêu tốn hết băng thông của nạn nhân dẫn đến hoạt động bị đình trệ. Các tấn công DDoS được thực hiện phổ biến là TCP SYN và UDP flood. Để tăng mức độ nghiêm trọng, tin tặc còn có thể dùng thêm HTTP flood trên website của nạn nhân. Hình thức này được gọi là spidering.
Một trong các cuộc tấn công DDoS lớn nhất, tin tặc đã từng sử dụng virus botnet Mirai. Đây được biết đến là một loại virus có khả năng nhắm mục tiêu, giành quyền kiểm soát hàng chục ngàn thiết bị Internet, sau đó biến chúng thành những con bot tấn công DDoS vào hệ thống nạn nhân. Không chỉ vậy, virus này còn có khả năng mở rộng khiến cho cuộc tấn công DDoS trở nên phức tạp và gây ra nhiều hậu quả nghiêm trọng.
Tấn công phát tán thư rác (Spamming)
Đây là hình thức tấn công sử dụng botnet để xác định sự hiện diện của dữ liệu nhạy cảm trong máy tính bị nhiễm. Những bot này còn có thể mở được proxy SOCKS v4/v5 (giao thức proxy chung cho mạng dựa trên TCP/IP). Sau khi kích hoạt Proxy SOCKS có thể sử dụng để phát tán thư rác (spamming). Để theo dõi thông tin hoặc dữ liệu được truyền ở máy tính bị xâm nhập thì botnet sẽ sử dụng packet sniffer và sniffer truy xuất thông tin nhạy cảm như tên người dùng, mật khẩu…
Trong các loại thư rác thì Grum là loại khó bị phát hiện và khiến cho nhiều người lo lắng nhất. Bởi vì loại thư rác này lây nhiễm trong những file được dùng bởi registry Autorun. Đây là mạng botnet có số lượng thành viên tương đối nhỏ, khoảng 600.000 thành viên nhưng mỗi ngày có tới 40 tỷ email spam, tương đương với 25% tổng số email spam của tất cả các loại cộng lại.
Keylogging
Tấn công Keylogging chính là việc botmaster với sự trợ giúp của chương trình Keylogging sẽ lấy thông tin nhạy cảm và đánh cắp dữ liệu. Chương trình này còn có khả năng thu thập các phím được nhập trong PayPal, Yahoo… của người dùng. Ngoài ra còn có 1 loại phần mềm gián điệp mang tên là OSX/XDSLCmd. Phần mềm này có thể chuyển từ hệ điều hành Windows sang hệ điều hành OS X cùng với khả năng keylogging và chụp màn hình.
Đánh cắp danh tính hàng loạt
Kết hợp nhiều loại bot khác nhau có thể dễ dàng thực hiện hành vi trộm cắp danh tính ở quy mô lớn. Các bot này sẽ thực hiện gửi email spam để hướng người dùng truy cập đến những website giả mạo, sau đó sẽ thu thập thông tin cá nhân của người dùng.
Thậm chí, các bot này có thể giả danh tính của những công ty pháp lý và yêu cầu người dùng cung cấp những thông tin cá nhân như thẻ tín dụng, tài khoản ngân hàng, mã số thuế… Một số kiểu tấn công điển hình như: sử dụng email phishing để lừa nạn nhân nhập thông tin đăng nhập trên các trang thương mại điện tử (eBay, Amazon), ngân hàng.
Lợi dụng việc trả tiền mỗi lần nhấp (CPC)
AdSense của Google là chương trình cho phép hiển thị quảng cáo Google trên website và Google sẽ trả tiền cho chủ sở hữu website dựa trên số lần nhấp chuột vào quảng cáo. Khi máy tính của người dùng bị nhiễm botnet sẽ tự động nhấp vào những quảng cáo trên website đó và làm tăng số lần nhấp. Điều này làm cho lưu lượng truy cập đến website được quảng cáo là ảo, gây hiểu lầm cho google và công ty được quảng cáo.
Lây lan botnet
Tin tặc có thể lan truyền các botnet bằng cách thuyết phục người dùng tải xuống những chương trình có nhiễm virus. Những chương trình này có thể được thực thi thông qua Email, HTTP hoặc FTP.
Vào tháng 1/2017, hai nhà nghiên cứu bảo mật đã phát hiện botnet “Star Wars” hoạt động trên Twitter, trong đó có đến gần 350.000 tài khoản bot đã tweet các trích dẫn ngẫu nhiên từ một series phim. Việc này có thể dẫn đến các trending (chủ đề thịnh hành) giả gây xôn xao cộng đồng mạng, phát tán việc gửi email giả, phát động tấn công mạng và có thể dẫn đến nhiều hệ lụy nghiêm trọng hơn nữa…
Phần mềm quảng cáo
Máy tính người dùng có thể xuất hiện những quảng cáo không mong muốn hoặc quảng cáo gốc bị thay thế bởi những phần mềm quảng cáo lừa đảo. Đây là những phần mềm không được người dùng cho phép và lây nhiễm vào hệ thống khi họ nhấp vào những mẫu quảng cáo đó.
Phần mềm quảng cáo này thoạt nhìn giống như quảng cáo vô hại nhưng chúng đã được cài đặt sẵn những phần mềm gián điệp để thu thập dữ liệu trình duyệt. Để chống lại các cuộc tấn công này, người dùng có thể sử dụng những phần mềm chặn quảng cáo. Những phần mềm này có thể chặn không cho botnet xâm nhập vào máy tính hay lây nhiễm trên ổ cứng hoặc lưu lượng mạng, đồng thời trục xuất chúng ra khỏi hệ thống máy tính đó.
Một số ảnh hưởng to lớn của DDoS Botnet
Gián đoạn dịch vụ
Khi bị tấn công bởi botnet, hệ thống sẽ phải đối mặt với áp lực từ một loạt các yêu cầu, dẫn đến quá tải và không thể xử lý được, gây ra sự treo và ngừng hoạt động. Kết quả là, người dùng sẽ không thể truy cập vào các ứng dụng, trang web, dịch vụ hoặc tài nguyên mạng như bình thường, ảnh hưởng trực tiếp đến trải nghiệm sử dụng của họ.
Thời gian gián đoạn dịch vụ có thể kéo dài từ vài phút đến nhiều giờ hoặc thậm chí là nhiều ngày, phụ thuộc vào mức độ tấn công của botnet và khả năng phản ứng của hệ thống bảo mật. Trong thời gian downtime, các hoạt động kinh doanh và dịch vụ của doanh nghiệp sẽ bị gián đoạn, dẫn đến mất mát doanh thu và ảnh hưởng đáng kể đến uy tín của doanh nghiệp.
Mất quyền kiểm soát hệ thống
Khi botnet xâm nhập vào hệ thống doanh nghiệp, các máy tính và thiết bị trong mạng sẽ trở thành phần của botnet và bị hacker điều khiển từ xa. Trong botnet, các máy tính và thiết bị được sử dụng để thực hiện các hành vi độc hại mà không bị phát hiện hoặc can thiệp từ người dùng, bao gồm phát tán malware, gửi thư rác, tấn công DDoS, và truy cập trái phép vào dữ liệu của doanh nghiệp. Xâm nhập của botnet đe dọa tính riêng tư, an ninh và toàn vẹn thông tin của doanh nghiệp, gây ra thiệt hại nghiêm trọng đến dữ liệu, uy tín và hoạt động kinh doanh.
Tổn thất tài chính
Tác động nghiêm trọng của botnet đối với doanh nghiệp là thiệt hại tài chính. Khi bị tấn công bởi botnet, doanh nghiệp phải đối mặt với các chi phí lớn để khắc phục và phục hồi hoạt động bình thường của hệ thống. Ngoài ra, nếu hệ thống bị tấn công và tạm ngừng hoạt động, doanh nghiệp sẽ mất cơ hội kinh doanh và ảnh hưởng đến hiệu suất làm việc.
Điều này không chỉ gây tổn thất tài chính mà còn làm suy giảm uy tín và lòng tin của khách hàng. Để ngăn chặn việc tấn công tái diễn, doanh nghiệp cần đầu tư vào việc nâng cấp bảo mật và triển khai các biện pháp phòng ngừa, với chi phí đáng kể. Đồng thời, việc thực hiện kiểm tra bảo mật định kỳ và cập nhật hệ thống là cần thiết để đảm bảo an toàn.
Tạo lỗ hổng bảo mật và an toàn thông tin
Khi botnet xâm nhập vào hệ thống, các thông tin quan trọng và có độ bảo mật cao như dữ liệu cá nhân của khách hàng, hồ sơ tài chính, thông tin dự án, chiến lược kinh doanh và các tài liệu quản lý nội bộ đều đối diện với nguy cơ bị tiết lộ hoặc đánh cắp.
Ngoài ra, việc mất dữ liệu và thông tin quan trọng cũng có thể gây ra những vấn đề pháp lý và liên quan đến quy định bảo vệ dữ liệu cá nhân. Doanh nghiệp có thể phải đối mặt với các biện pháp xử phạt theo quy định về bảo mật dữ liệu và bồi thường cho những tổn thất phát sinh.
Cách kiểm tra máy có bị Botnet không
Nếu cảm thấy tốc độ Internet đột ngột chậm đi, máy tính của bạn có thể đã bị nhiễm malware, spyware hoặc adware. Hãy thực hiện một trong các cách sau để kiểm tra máy tính có bị dính phần mềm gián điệp hay không:
- Kiểm soát kết nối bằng câu lệnh netstat:
Trên Windows, bạn có thể sử dụng lệnh netstat để kiểm tra các kết nối mạng.
- Windows 7/Vista: Nhấn chọn menu Start > Nhập “cmd.exe” > Nhấn chuột phải vào “cmd.exe” > Chọn Run as administrator.
- Windows 8/8.1/10: Nhấn chuột phải vào Start > Chọn Command Prompt (Admin).
Sau đó, nhập lệnh netstat abf để xem chi tiết các kết nối. Đối với các tùy chọn như -a (liệt kê tất cả cổng kết nối) hoặc -f (hiển thị tên miền đầy đủ), bạn có thể thay thế “abf” bằng tùy chọn tương ứng và nhấn Enter. Nếu phát hiện bất thường, bạn có thể tìm kiếm trên Google để biết cách gỡ bỏ tiến trình đó. Nếu không thoải mái với việc sử dụng dòng lệnh, bạn có thể cài đặt ứng dụng giám sát từ bên thứ ba.
- GlassWire
GlassWire là một ứng dụng giám sát hệ thống với giao diện trực quan, cung cấp thông tin chi tiết về các ứng dụng và tiến trình chạy ngầm. Ứng dụng này tích hợp tường lửa và bảo mật hệ thống, cung cấp số liệu về lưu lượng download/upload của từng ứng dụng. Bạn có thể ngăn chặn kết nối Internet của các tiến trình bất thường và gỡ bỏ chúng ngay sau đó.
Thẻ Usage cho phép xem thông tin chi tiết về máy chủ mà ứng dụng đang kết nối đến. GlassWire cũng cung cấp cảnh báo khi có thiết bị mới kết nối vào mạng Wi-Fi của bạn. So với các ứng dụng khác, GlassWire có giao diện và tính năng vượt trội. Đồng thời, bạn cũng nên cài đặt các ứng dụng gỡ bỏ malware như Malwarebytes anti-malware để bảo vệ hệ thống.
Cách phòng chống Botnet nói chung
- Cải thiện mật khẩu của người dùng. Sử dụng mật khẩu phức tạp và dài sẽ giúp thiết bị an toàn hơn.
- Tránh mua thiết bị có tính bảo mật yếu. Những thiết bị giá rẻ có xu hướng ưu tiên sự tiện lợi hơn là bảo mật. Nghiên cứu về tính năng an toàn của sản phẩm trước khi mua.
- Cập nhật admin setting và mật khẩu trên các thiết bị của bạn. Nếu không có bản cập nhật cho thông tin đăng nhập, hacker có thể sẽ xâm phạm và lây nhiễm các thiết bị của bạn.
- Cảnh giác với bất kỳ tệp đính kèm email nào. Cách tốt nhất là tránh hoàn toàn việc tải xuống tệp đính kèm. Khi cần tải xuống, hãy điều tra cần thận và xác minh địa chỉ email người gửi. Ngoài ra, hãy sử dụng phần mềm chống virus chủ động quét các tệp đính kèm để tìm phần mềm độc hại trước khi tải xuống.
- Không bao giờ nhấp vào liên kết trong bất kỳ tin nhắn nào bạn nhận được. Nhập liên kết vào thanh địa chỉ theo cách thủ công sẽ giúp bạn tránh bị nhiễm độc bộ nhớ cache DNS. Ngoài ra, hãy thực hiện thêm một bước để tìm kiếm phiên bản chính của liên kết.
- Cài đặt phần mềm diệt virus hiệu quả. Một bộ bảo mật internet mạnh mẽ sẽ giúp bảo vệ máy tính của bạn khỏi Trojan và các mối đe dọa khác.
Cách chống DDoS Botnet hiệu quả
- Sử dụng tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS): Tường lửa là một bức tường ảo giữa mạng nội bộ và mạng công cộng, kiểm soát và giám sát lưu lượng mạng. IDS và IPS là hai công nghệ chống xâm nhập phổ biến. IDS giám sát lưu lượng mạng để phát hiện hành vi không bình thường hoặc biểu hiện của các cuộc tấn công từ botnet, không can thiệp vào lưu lượng mạng nhưng cung cấp cảnh báo cho người quản trị hệ thống. IPS cung cấp khả năng can thiệp và đáp trả tự động khi phát hiện cuộc tấn công, giúp tăng tính tự động hóa trong việc ngăn chặn các cuộc tấn công từ botnet.
- Sử dụng giải pháp bảo vệ ứng dụng web và API (WAAP): WAAP là bộ công cụ tiên tiến giúp bảo vệ các ứng dụng web và API khỏi tấn công SQL injection, XSS và tấn công API. Công cụ này cũng hỗ trợ chống lại các cuộc tấn công DDoS botnet bằng cách kiểm soát lưu lượng truy cập và phát hiện hành vi không bình thường. WAAP giúp giảm tác động của các cuộc tấn công và duy trì tính sẵn sàng hoạt động của ứng dụng, cũng như phát hiện các hình thức tấn công mới từ người dùng và botnet.
- Sử dụng máy chủ CDN: CDN (Content Delivery Network) là một giải pháp đáng tin cậy để chống lại botnet. Bằng cách phân tán tải trọng từ máy chủ gốc sang nhiều máy chủ phụ trên toàn cầu, CDN giảm thiểu tải cho máy chủ gốc và tăng khả năng chịu tải của hệ thống, giúp hạn chế tấn công DDoS từ botnet bằng cách phân tán luồng truy cập sang các POPs có hiệu suất cao. Máy chủ CDN cũng cung cấp công cụ phân tích và giám sát lưu lượng mạng để phát hiện và ngăn chặn kịp thời các hoạt động đáng ngờ từ botnet, như lưu lượng truy cập lớn từ cùng một IP hoặc các yêu cầu không hợp lệ từ các thiết bị không xác định.
- Giám sát lưu lượng mạng: Giám sát lưu lượng mạng là phương pháp hiệu quả để phát hiện sớm các hoạt động đáng ngờ trong hệ thống. Công cụ và hệ thống được triển khai để theo dõi, thu thập và phân tích lưu lượng mạng trong thời gian thực, quản lý các hoạt động mạng để nhanh chóng phát hiện bất thường. Các dấu hiệu cảnh báo có thể bao gồm sự tăng đột ngột trong lưu lượng mạng, lưu lượng từ địa chỉ IP không xác định hoặc quá nhiều yêu cầu từ một nguồn duy nhất. Điều này giúp ngăn chặn nhanh chóng các cuộc tấn công từ botnet trước khi gây hậu quả lớn cho hệ thống.
Câu hỏi thường gặp
Rải Botnet là gì?
Rải Botnet là hành động tạo lập và điều khiển một mạng lưới các thiết bị máy tính bị nhiễm phần mềm độc hại được gọi là Botnet.
Botnet có trên điện thoại không?
Có, Botnet có thể tấn công cả điện thoại. Điện thoại thông minh ngày càng trở thành mục tiêu hấp dẫn cho các cuộc tấn công Botnet do: Sử dụng rộng rãi, dữ liệu nhạy cảm, lỗ hổng bảo mật.
Ransomware là gì?
Ransomware là một loại phần mềm độc hại mã hóa dữ liệu của bạn và yêu cầu tiền chuộc để giải mã. Kẻ tấn công có thể nhắm mục tiêu cá nhân, doanh nghiệp hoặc tổ chức. Khi ransomware lây nhiễm vào thiết bị của bạn sẽ tiến hành mã hóa các tệp quan trọng, chẳng hạn như ảnh, tài liệu và cơ sở dữ liệu, khiến bạn không thể truy cập được.
Thuê botnet hoặc mua botnet là gì?
Thuê botnet, mua bot net là hành động mua hoặc thuê một mạng lưới các thiết bị máy tính bị nhiễm phần mềm độc hại được gọi là Botnet để thực hiện các hành động bất hợp pháp hoặc độc hại trên mạng internet.
Lời kết
Hy vọng bài viết trên sẽ giúp bạn hiểu được botnet là gì? Cách thức hoạt động như thế nào và làm sao để chống được botnet. Khi máy tính bị botnet tấn công việc tìm cách gỡ botnet trên máy tính khá phức tạp, đòi hỏi sự hiểu biết về công nghệ. Chính vì thế, cá nhân và doanh nghiệp nên chủ động thực hiện các biện pháp ngăn chặn trước khi bị tấn công, để hạn chế tối đa tổn thất không đáng có.