BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - ĐỖ MẠNH VIỆT PHÁT HIỆN VÀ XỬ LÝ BOTNET Chuyên ngành: Truyền thông mạng máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH GIẢNG VIÊN HƢỚNG DẪN PGS.TS NGUYỄN LINH GIANG Hà Nội – Năm 2016 LỜI CAM ĐOAN Tôi Đỗ Mạnh Việt cam kết luận văn thạc sỹ công trình nghiên cứu thân hướng dẫn PGS.TS Nguyễn Linh Giang Các kết nêu luận văn trung thực, chép công trình khác Hà Nội, ngày 09 tháng 11 năm 2016 Tác giả luận văn Đỗ Mạnh Việt LỜI CẢM ƠN Lời xin gửi lời cám ơn lòng biết ơn sâu sắc đến PGS.TS Nguyễn Linh Giang người giúp chọn đề tài, định hình hướng nghiên cứu, tận tình hướng dẫn bảo suốt trình thực luận văn tốt nghiệp Tôi xin gửi lời cám ơn chân thành đến thầy, cô giáo trường Viện Công nghệ thông tin Truyền thông – Đại học Bách Khoa Hà Nội Các thầy, cô giáo dạy bảo truyền đạt cho nhiều kiến thức, giúp có tảng kiến thức vững định hướng nghiên cứu chuyên sâu sau hai năm học tập Thạc sĩ trường Đại học Bách Khoa Hà Nội Cuối cùng, muốn gửi lời cám ơn sâu sắc đến gia đình bạn bè, đặc biệt vợ gái – người thân yêu kịp thời động viên giúp đỡ vượt qua khó khăn học tập sống Hà Nội, ngày 09 tháng 11 năm 2016 Tác giả luận văn Đỗ Mạnh Việt MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG MỞ ĐẦU Đặt vấn đề Nhiệm vụ luận văn Cấu trúc luận văn CHƢƠNG 1: TỔNG QUAN VỀ BOTNET 1.1 Tổng quan Botnet 1.2 Đặc trƣng Botnet 10 1.2.1 Lây nhiễm (Infection) 11 1.2.2 Hành vi công (Attacking Behaviour) 12 1.2.3 Kiểm soát điều khiển (Command and Control) 15 1.2.4 Cơ chế tập hợp (Rallying Mechanisms) 19 1.2.5 Giao thức giao tiếp (Communication Protocols) 20 1.2.6 Kỹ thuật tránh bị phát (Evasion Techniques) 20 CHƢƠNG 2: KỸ THUẬT PHÁT HIỆN VÀ CƠ CHẾ PHÒNG VỆ BOTNET 23 2.1 Phát Bot 24 2.1.1 Phát chủ động 24 2.1.2 Phát bị động 26 2.2 Phát C&C server 28 2.2.1 Phát chủ động 28 2.2.2 2.3 Phát bị động 29 Phát botmaster 31 2.3.1 Phát chủ động 32 2.3.2 Phát bị động 32 Phòng ngừa 34 2.4 2.4.1 Biện pháp dựa kỹ thuật 34 2.4.2 Biện pháp không dựa kỹ thuật 36 Khắc phục hậu 37 2.5 2.5.1 Phục hồi 37 2.5.2 Phục hồi dựa phản công 39 CHƢƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM SNORT IDS ĐỂ PHÁT HIỆN BOTNET 41 3.1 Snort IDS 41 3.2 Xây dựng tập luật để phát Botnet 43 3.3 Thử nghiệm đánh giá 49 3.3.1 Bonesi 49 3.3.2 Cài đặt Snort 50 3.3.3 Mô phỏng, kết nhận xét 52 KẾT LUẬN 58 TÀI LIỆU THAM KHẢO 60 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DDOS Distributed Denial of Service C&C Server Command & Control Server HTTP HyperText Transfer Protocol IRC Internet Relay Chat IDS Intrusion Detection System HIDS Host Based IDS NIDS Network Base IDS P2P Peer-to-Peer MTFC Malware Capture Facility Project DANH MỤC CÁC BẢNG Bảng 1: Một số ví dụ luật phát Botnet 48 Bảng 2: Cấu hình hệ thống 50 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1: Cấu trúc tiêu biểu Botnet 10 Hình 2: Cấu trúc Botnet hình 16 Hình 3: Cấu trúc Botnet multi server 17 Hình 4: Example Hieratical C&C botnet structure 18 Hình 5: P2P C&C botnet structure 19 Hình 6: Cấu trúc luật Snort IDS 43 Hình 7: Cấu trúc phần tiêu đề luật 44 Hình 8: Ví dụ luật snort IDS 45 Hình 9: Tùy chỉnh thông số Bonesi 50 Hình 10: Tiến hành công UDP Botnesi 53 Hình 11: Các gói tin công gửi đến server 54 Hình 12: Các gói tin công ghi lại phần mêm Wireshark 55 Hình 13: Snort đưa cảnh báo phát gói tin công UDP floot 56 MỞ ĐẦU Đặt vấn đề Với việc Internet ngày phát triển nhanh chóng, công nghệ thông tin ứng dụng vào mặt đời sống, kinh tế, trị, xã hội Song song với trình phát triển mối đe dọa xuất ngày nhiều, bật mối đe dọa Botnet Các mạng Botnet sinh cách bí mật tiềm ẩn nguy lớn an ninh mạng Trong năm gần đây, hiểm họa Botnet ngày trở nên nguy hiểm với nhiều công cụ hình thức công Khai thác, phát tán mã độc, phát tán thư rác số lượng lớn, công từ chối dịch vụ website tổ chức, thu thập thông tin cá nhân người dùng hành vi nguy hiểm thường thấy Botnet gây thiệt hại không nhỏ đời sống kinh tế, xã hội Các nạn nhân Botnet không ngừng gia tăng số lượng ngày lớn Các chuyên gia an ninh cần phải phát triển phương pháp giảm nhẹ mối đe dọa nguy hiểm để làm cho Internet nơi an toàn cho người sử dụng, không họ có nguy bị liệu nhạy cảm họ, chí tiền bạc mà không hay biết cải thiện an ninh công ty sở hạ tầng để bảo vệ doanh nghiệp họ Thông qua việc nghiên cứu phương pháp kỹ thuật để phát xử lý Botnet, tổ chức an ninh mạng tìm thấy gỡ bỏ nhiều Botnet Internet Tuy nhiên, thập kỷ qua Botnet liên tục thay đổi, cải tiến sở hạ tầng để ngày trở nên nguy hiểm, phức tạp tinh vi khiến cho việc phát ngày trở nên khó khăn sử dụng kỹ thuật phát để xuất Vì việc nghiên cứu phương pháp phát xử lý Botnet lĩnh vực nghiên cứu cấp thiết ý nghĩa Nhiệm vụ luận văn Mục tiêu tổng luận văn tìm hiểu phương pháp kỹ thuật phát ngăn chặn Botnet Xây dựng tập luật cho Snort-IDS để phát Botnet, tạo hệ thống phát Botnet nhanh chóng mạnh mẽ Để đáp ứng mục tiêu này, bốn mục tiêu sau cần phải đáp ứng: - Nghiên cứu cấu trúc đặc trưng Botnet, trạng Botnet mối đe dọa liên quan - Nghiên cứu phân loại phương pháp phát Botnet - Xây dựng tập luật cho Snort-IDS để phát dạng Botnet biết Tiến hành thử nghiệm đánh giá hiệu IDS - Nghiên cứu phương pháp phòng thủ để chống lại Botnet Cấu trúc luận văn Luận văn gồm chương Được mô tả chi tiết Chương 1: Tổng quan Botnet Trong chương này, trình bày từ định nghĩa Botnet chi tiết đặc trưng Botnet nhìn tổng quan Botnet Chương 2: Các kỹ thuật phát chế phòng vệ Botnet Trong chương này, tìm hiểu phương pháp kỹ thuật phát Botnet có dựa cách phân loại hợp lý khoa học Trình bày chế khuyến nghị giúp phòng thủ chống lại Botnet Chương 3: Cài đặt thử nghiệm snort IDS để phát Botnet Trong chương xây dựng tập luật cho snort IDS tiến hành thử nghiệm với phần mềm giả lập công để đánh giá Kết Luận Kết luận luận văn hướng nghiên cứu tương lai CHƢƠNG 1: TỔNG QUAN VỀ BOTNET 1.1 Tổng quan Botnet Trước thảo luận Botnet, phải định nghĩa bot Một cách đơn giản nhất, bot đoạn mã máy tính thực công việc hay nhiệm vụ cách tự động hay Bot mạng ứng dụng phần mềm tự động thực thi nhiệm vụ mạng Internet Thông thường Bot thực nhiệm vụ đơn giản lập trình sẵn có cấu trúc lặp lặp lại với tốc độ cao Bot phát hệ thống mạng Internet Relay Chat (IRC) (Holz, 2005) Oikarinen Reed sáng tạo mạng IRC năm 1993 theo chuẩn RFC 1459 IRC dạng truyền liệu thời gian thực Internet, cho phép nhóm người trò chuyện, liên lạc với thông qua kênh (channel), IRC hỗ trợ trò chuyện riêng tư hai máy khách truyền tải trực tiếp liệu Do sử dụng máy chủ IRC công cộng phương tiện liên lạc thực nhiệm vụ đơn giản, mạng IRC nhanh chóng người dùng Internet yêu thích sử dụng rộng rãi Các bot sử dụng phương tiện để bảo vệ kênh IRC chống lại hình thức công từ chối dịch vụ (DoS) Theo Provos & Holz (2007) Botnet định nghĩa “mạng gồm nhiều máy tính bị xâm nhập bị kẻ công điều khiển từ xa” “Máy tính bị xâm nhập” máy tính bị lây nhiễm phần mềm độc hại (Bot) Như vây Botnet tập hợp máy tính bị tổn thương (bot) tiếp nhận giải lệnh từ máy chủ (C&C server) phục vụ chế tự động thực lệnh từ điều khiển người (các botmaster) (Hình.1) Để tránh bị phát hiện, botmaster tùy chọn sử dụng số máy proxy, gọi stepping-stones, cần phải xác định kiểu gói tin phép lưu thông mạng dựa hiểu biết vận dụng kỹ hệ thống mạng, kỹ phân tích giám sát mạng, phân tích file log Không đơn việc xác định dựa địa IP, hay số hiệu cổng mà thông tin khác nội dung, kích thước tham số khác gói tin ba tầng: mạng (Network), giao vận (Transport) ứng dụng (Application) cần quan tâm Tập luật định nghĩa bao gồm luật cho phép tất kiểu gói tin phép qua mà không tạo cảnh báo luật đưa cảnh báo gói tin không nằm danh sách phép Ưu điểm phương pháp cho phép thu bắt tất gói tin không phép, từ phân tích phát dạng công Tuy nhiên phương pháp gây nhiều cảnh báo nhầm khó xác định cảnh báo hay sai, mức độ nghiêm trọng nào, đòi hỏi người phân tích IDS phải có kỹ cao lĩnh vực Xác định luật dựa kiểu gói tin nghi ngờ: Ý tưởng phương pháp định nghĩa luật để tạo cảnh báo gói tin có chứa giá trị tham số mà dịch vụ hệ thống mạng không sử dụng đến Để thực phương pháp này, cần phải phân tích nội dung dòng liệu gửi trực tiếp đến dịch vụ mạng cụ thể, việc xác định giá trị tham số mà dịch vụ sử dụng trình hoạt động Tiếp theo cần định nghĩa luật để đưa cảnh báo gói tin chứa giá trị tham số mà dịch vụ không sử dụng Ưu điểm phương pháp phát công xác phương pháp thứ Cho phép đưa mức độ nghiêm trọng cho cảnh báo Tuy nhiên phương pháp đòi hỏi đầu tư nhiều công sức việc xác định dòng liệu không 46 mong muốn hệ thống Yêu cầu cập nhật thay đổi dịch vụ hệ thống có thay đổi Phương pháp nên áp dụng cho IDS dạng HOST-BASED đặt vùng cần giám sát cho dịch vụ quan trọng Xác định dựa dấu hiệu công biết: Phương pháp đòi hỏi người định nghĩa phải biết xác dấu hiệu kiểu công, luật định nghĩa để tạo cảnh báo giá trị tham số nội dung gói tin có chứa dấu hiệu giống với dấu hiệu công biết Ưu điểm phương pháp tạo cảnh báo với tỉ lệ xác cao Nhưng phương pháp bỏ sót nhiều dạng công dạng công mà người định nghĩa Trong luận văn này, tập trung vào việc phát xử lý dạng công Botnet phát bot nên xây dựng luật dựa dấu hiệu công Botnet biết Để xây dựng tập luật giúp phát Botnet cần phải hiểu rõ cách thức hệ thống bị xâm nhập cách thức công Botnet Những kiến thức thu thông qua việc thu bắt gói tin công Botnet thực tế tiến hành phân tích để tìm dấu hiệu gói tin giúp nhận biết gói tin độc hại Để nghiên cứu dạng công Botnet tiến hành phân tích gói tin công sinh Botnet thu bắt đươc thực tế thông qua liệu MTFC (Malware Capture Facility Project) [8] gói tin thu bắt trình mô công phần mềm Bonesi để xây dựng luật cho Snort IDS Trong MTFC dự án trường đại học kỹ thuật Cộng hoà Séc tiến hành thực lại số loại botnet biết môi trường thực tế tiến hành thu bắt lưu lượng gói tin trình hoạt động lâu dài Sau gói 47 tin phân tích cách thủ công tự động gán nhãn cho loại lưu lượng pha botnet, gói tin công, gói tin thông thường… Các liệu công khai tải dễ dàng định dạng pcap file text Dựa liệu phân loại lưu lượng botnet, tiến hành phân tích tìm đặc trưng gói tin công Từ xây dựng thành luật đẻ phát dạng công Ví dụ số luật trình bày bảng đây: STT Luật alert tcp any any -> any any (msg:"Possible NBSS Neris.exe SENT TO BROWSER"; flow:to_server, established; content:"ACACACAC"; ttl:128; sid:2000341; rev:1) alert tcp any any -> any any (msg:"Neris IRC sent to HTTP"; flow:to_server, established; content:"7& salt="; ttl:128; sid:2000366; rev:1) alert tcp any any -> any any (msg:"TROJAN Possible IRC Bot DDOS Common Commands"; flow:to_server, established; content:"AAC6F603"; ttl:128; sid:1000255; rev:7) alert udp any any -> any any (msg:"IRC-bot sent spam BROWSER"; flow:to server, established; content:"FENEBEOC"; ttl:128; sid:1000199; rev:1) alert tcp any any -> any any (msg:"Win32 Domsingx.A contact to C&C server attempt"; flow:to_server, established; content:"ent-Type"; ttl:128; sid:4000309; rev:2) Bảng 1: Một số ví dụ luật phát Botnet [9] 48 Bằng phương pháp tương tự trên, tiến hành mô công dựa phần mềm Bonesi sử dụng wireshark để tiến hàng thu bắt tất gói tin từ tiến hành phân tích đưa tập luật để phát dạng công alert udp any any -> $HOME_NET any (msg:"DDoS Attack UDP"; content:"|00 00 00 00 00 00 00 00|"; rawbytes; sid:1000299; rev:1; classtype: denial-of-service;) 3.3 Thử nghiệm đánh giá 3.3.1 Bonesi Bonesi, DDos Bonet Simulator công cụ giúp mô lại lưu lượng Bonet môi trường thử nghiệm Mục đích công cụ giúp nghiên cứu ảnh hưởng công DDoS thực Botnet Bonesi tạo công tràn ngập (flooding attack) ICMP, UDP TCP từ mạng Botnet (với địa IP khác nhau) Các thuộc tính gói tin kết nối dễ dàng tùy chỉnh tốc độ gửi gói tin, tập địa IP nguồn, kích thước payload gói tin cá thông số khác (Hình 9) Hiện có nhiều công cụ khác mô công tràn nhập UDP ICMP với địa IP khác Nhưng việc công giả mạo TCP, Bonesi công cụ giúp mô công HTTP-GET flood từ mạng bot quy mô lớn Bonesi tránh việc tạo gói tin với mẫu nhận diện dễ dàng Bonesi tập trung nhiều vào hiệu suất mô mạng Botnet lớn Trên máy tính có cấu hình mạnh, Bonesi tạo công DDoS với tần suất lưu lượng lên đến 1.500.000 gói tin/ giây 49 Hình 9: Tùy chỉnh thông số Bonesi 3.3.2 Cài đặt Snort Tôi cài đặt Snort máy chủ cung cấp Google cloud, máy chủ chạy dịch vụ web Snort IDS giúp hệ thống phát công DDoS tiến hành mạng Botnet Cấu hình hệ thống sau: Hệ điều hành Ubuntu 14.04.03 Server LTS x64 Ram 4GB CPU platform Intel Ivy Bridge Core vCPUs Snort Snort 2.9.8.0 HDD 20GB Bảng 2: Cấu hình hệ thống Các bƣớc cài đặt cấu hình cho Snort: Cài đặt Snort Pre-Requisites: Trước cài đặt Snort có bốn thư viện bắt buộc phải cài đặt Chúng ta phải cài đặt thư viện 50 - Pcap (libpcap-dev) - PCRE (libpcre3-dev) - Libdnet (libdumbnet-dev) - DAQ (http://www.snort.org/downloads/) Cài đặt thư viện Pcap, Pcre, Libdnet sudo apt-get install -y build-essential sudo apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev Tạo thư mục lưu toàn mã nguồn Snrot mkdir ~/snort_src cd ~/snort_src Cài đặt DAQ sudo apt-get install -y bison flex cd ~/snort_src wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz tar -xvzf daq-2.0.6.tar.gz cd daq-2.0.6 /configure Make sudo make install Cài đặt Snort: Để cài đặt Snort ubuntu, cần phải cài đặt thêm số thư viện zlibg sudo apt-get install -y zlib1g-dev liblzma-dev openssl libssl-dev Sau thư việc cần thiết cài đặt, tải mã nguồn Snort, giải nén, biên dịch tiến hành cài đặt Các câu lệnh thực sau: cd ~/snort_src wget https://snort.org/downloads/snort/snort-2.9.8.3.tar.gz tar -xvzf snort-2.9.8.3.tar.gz 51 cd snort-2.9.8.3 /configure enable-sourcefire make sudo make install Sau cài đặt thành công, tiến hành chạy thử Snort thông qua lệnh snort -V đầu tương tự nghĩa Snort cài đặt thành công user@snortserver: ~$ snort -V ,,_ -*> Snort! ... cạnh phát Botnet sử dụng kết hợp với Ví dụ, phát C&C diễn phát bot ngược lại Ngoài phương pháp phát Botnet phân loại chủ động bị động Trong phát chủ động, cách tiếp cận tham gia vào hoạt động Botnet. .. pháp phát xử lý Botnet lĩnh vực nghiên cứu cấp thiết ý nghĩa Nhiệm vụ luận văn Mục tiêu tổng luận văn tìm hiểu phương pháp kỹ thuật phát ngăn chặn Botnet Xây dựng tập luật cho Snort-IDS để phát Botnet, ... việc tránh bị phát Các torpig [1] Botnet sử dụng mebroot để truyền bá, lây nhiễm chạy ngầm máy tính người dùng 22 CHƢƠNG 2: KỸ THUẬT PHÁT HIỆN VÀ CƠ CHẾ PHÒNG VỆ BOTNET Botnet phát nhiều cách