Theo dõi và bóc gỡ Botnet sử dụng kỹ thuật DNS Sinkhole Nội dung 1. Giới thiệu về Botnet 2. Hoạt động bóc gỡ Botnet của trung tâm VNCERT 3. Kỹ thuật DNS Sinkhole 2 3 1. Giới thiệu về Botnet • Bot: chương trình hay phần mềm độc hại cho phép tin tặc điều khiển máy bị nhiễm • Botnet: tập hợp các máy tính bị nhiễm mã độc (bot) cho phép tin tặc điều nhiển thông qua một hoặc nhiều máy chủ C&C nhằm phục vụ những mục đích xấu như: phát tán thư rác, tấn công DDoS, ăn trộm thông tin 1. Giới thiệu về Botnet 2. Hoạt động bóc gỡ Botnet của VNCERT Thu thập thông tin: - Từ các tổ chức quốc tế - Công tác giám sát Thu thập thông tin: - Từ các tổ chức quốc tế - Công tác giám sát Xử lý Kiểm tra và so sánh CSDL IP tĩnh của cơ quan nhà nước Cảnh báo Gửi cảnh báo và hướng dẫn bóc gỡ Nghiên cứu, phân tích - Tìm hiểu hoạt động - Thu thập mẫu Mạng botnet bRobot, đã tấn công các trang web trên toàn thế giới và cài đặt mã độc để biến các trang web này thành bot của mạng botnet bRobot. Việt Nam đã có 2309 website bị tấn công với mã độc được cài trên 6978 trang. Hiện nay qua theo dõi còn tồn tại 793 trang vẫn bị lây nhiễm (IP thuộc VNPT: 401; FPT: 150; CMC:26; Viettel:14; ODS:12…) Mạng lưới Zeus Botnet: Ghi nhận 14.075 địa chỉ IP thuộc không gian mạng Việt Nam. Mạng lưới Botnet Sality, Downadup, Trafficconverter: 113.273 địa chỉ IP Việt Nam. 2. Hoạt động bóc gỡ Botnet của VNCERT 7 Vai trò của DNS trong hoạt động của Botnet: - Các bot có thể liên lạc với máy chủ điều khiển C&C bằng địa chỉ IP hoặc tên miền. - Nếu sử dụng địa chỉ IP thì rất dễ bị phát hiện lại không hiệu quả.Thông thường tin tặc sử dụng các tên miền ngắn hạn - Giao thức DNS: phân giải tên miền thành địa chỉ IP, một tên miền có thể ánh xạ thành nhiều địa chỉ IP - Nếu tên miền bị phát hiện → chuyển sang một tên miền khác 2. Kỹ thuật DNS Sinkhole 2. Kỹ thuật DNS Sinkhole 8 2. Kỹ thuật DNS Sinkhole 9 DNS server lọc các request, 2. Kỹ thuật DNS Sinkhole 1 0 DNS server lọc các request, [...]... 1 2 Kỹ thuật DN S Sinkhole 2 Kỹ thuật DNS Sinkhole - Máy chủ DNS của các đơn vị cập nhật các bản ghi từ hệ thống của VNCERT - Các tên miền được ánh xạ về địa chỉ IP của các máy Shinkhole (thường là các honeypot) - Các bot sẽ kết nối tới máy Sinkhole thay vì kết nối tới máy chủ điều khiển C&C - Thực hiện theo dõi trên máy chủ DNS và máy Sinkhole, từ đó có thể tìm được máy bị nhiễm bot 1 3 2 Kỹ thuật. .. thược lập trình chỉ sử dụng một số DNS server có sẵn - Các máy bị nhiễm bot phải sử dụng dịch vụ DNS (tên miền) và máy chủ DNS của các ISP 1 9 2 Kỹ thuật DN S Sinkhole Đánh giá: Nếu áp dụng giải pháp này thì có một số vấn đề cần lưu ý: - Việc xây dựng và duy trì máy chủ Sinkhole không có gì khó khăn Tuy nhiên cần thời gian và công sức theo đuổi trong việc: - Xây dựng các hệ thống và các kênh để thu thập... máy Sinkhole (5): Máy bị nhiễm bot kết nối tới máy Sinkhole thay vì kết nối tới máy chủ điều khiển C&C 2 Kỹ thuật DN S Sinkhole http://www.malwaredomains.com http://pgl.yoyo.org http://mtc.sri.com www.malwarepatrol.net 2 Kỹ thuật DN S Sinkhole 1 7 2 Kỹ thuật DN S Sinkhole Các bước triển khai 1 Thu thập thông tin về các tên miền độc hại 2 Thiết lập các bản ghi tài nguyên và đồng bộ với các máy chủ DNS. .. cần phải có cơ chế kiểm tra 2 1 2 Kỹ thuật DN S Sinkhole Mô hình thử nghiệm VNCERT: - Xây dựng 1 máy chủ DNS - Xây dựng 1 máy chủ Sinkhole - Khi phát hiện các địa chỉ IP của các đơn vị nằm trong mạng botnet Đề nghị họ sử dụng máy chủ DNS của VNCERT - Lưu trữ và theo dõi các tên miền do các tổ chức báo về - Thiết lập bản ghi tài nguyên để các tên miền này trỏ về máy Sinkhole ... được máy bị nhiễm bot 1 3 2 Kỹ thuật DN S Sinkhole 1 4 2 Kỹ thuật DN S Sinkhole (1): Tên miền pickleliver.us đang được sử dụng cho mục đích độc hại (2): Tạo các bản ghi tài nguyên cho tên miền pickleliver.us (3): DNS server của các đơn vị cập nhật bản ghi cho tên miền pickleliver.us trỏ về địa chỉ IP của máy Sinkhole (4): Các máy client (bị nhiễm bot) sử dụng DNS của các các ISPđơn vị yêu cầu phân giải... để các máy chủ DNS của các đơn vị cập nhật các bản ghi tài nguyên một cách nhanh nhất - Việc cập nhật bản ghi phải nhanh chóng 2 0 2 Kỹ thuật DN S Sinkhole Đánh giá: - Chỉ theo dõi được khi các bot có yêu cầu kết nối tới tên miền độc hại - Cơ chế thiết lập các bản ghi tài nguyên, đồng bộ dữ liệu giữa các máy chủ DNS cần phải rõ ràng - Đảm bảo các tên miền đúng là đang được sử dụng bởi botnet → cần phải... sát Sinkhole • Logfile • Traffic 1 8 2 Kỹ thuật DN S Sinkhole Đánh giá - Để thực hiện được giải pháp hiệu quả cần sự hợp tác giữa các tổ chức: cơ quan điều phối, các ISP, thành viên mạng lưới Csirts - Ngoài ra khi Bot Header phát hiện ra bot đang truy vấn máy Sinkhole, nó sẽ thực hiện phát tán bot mới và có thể thực hiện các tấn công DDoS vào chính máy chủ Sinkhole - Nếu các bot thược lập trình chỉ sử . khác 2. Kỹ thuật DNS Sinkhole 2. Kỹ thuật DNS Sinkhole 8 2. Kỹ thuật DNS Sinkhole 9 DNS server lọc các request, 2. Kỹ thuật DNS Sinkhole 1 0 DNS server lọc các request, 2. Kỹ thuật DNS Sinkhole 1 1 . Theo dõi và bóc gỡ Botnet sử dụng kỹ thuật DNS Sinkhole Nội dung 1. Giới thiệu về Botnet 2. Hoạt động bóc gỡ Botnet của trung tâm VNCERT 3. Kỹ thuật DNS Sinkhole 2 3 1. Giới thiệu về Botnet • Bot:. sẵn. - Các máy bị nhiễm bot phải sử dụng dịch vụ DNS (tên miền) và máy chủ DNS của các ISP 1 8 2. Kỹ thuật DNS Sinkhole 2. Kỹ thuật DNS Sinkhole Đánh giá: Nếu áp dụng giải pháp này thì có một