Sự bùng nổ của của botnet hẳn khiến ngành công nghiệp an ninh không thể không chú ý. Nhiều tổ chức hiện nay đã bắt tay với bộ phận hành pháp để chống lại vài botnet có quy mô và nguy hiểm. Mục tiêu là tách phần bot (các máy bị xâm nhiễm) khỏi cơ quan đầu não (máy chủ chỉ thị- kiểm soát) của chúng. Nếu bot không tiếp cận được máy chủ, chúng sẽ không thể đưa chỉ dẫn mới, tải dữ liệu, hay làm bất cứ điều gì khiến botnet trở thành mối nguy hại. Phương thức tấn công hay cách tiếp cận theo chiều “trên-xuống” này thường được xem là “ngắt cơ quan đầu não” hoặc “dỡ bỏ” botnet. Dù những nỗ lực dỡ bỏ là việc rất quan trọng, việc nó đảm đương không thực dụng cho hầu hết các tổ chức và nó cũng không nên gây khó hiểu cho nhóm an ninh hay làm họ phân tâm trong việc bảo vệ doanh nghiệp khỏi malware nguy hiểm.
Giới hạn dễ nhận thấy nhất của cách tiếp cận theo chiều “trên-xuống” là nó tốn cực kỳ nhiều thời gian và tiền bạc, bởi vậy mà chỉ những botnet có quy mô và nguy hại nhất mới trở thành mục tiêu. Vài loại malware nguy hiểm là những loại được dùng trong việc xâm nhập đối tượng, và do đó chúng không thực sự lớn cũng không gây chú ý rộng rãi.
Cuối cùng, việc ngắt cơ quan đầu não hay dỡ bỏ một botnet có thể mất vài năm. Nhu cầu của doanh nghiệp trong việc an ninh gần như ngay tức khắc, đảm bảo từ đầu rằng không có cuộc xâm nhập hay khai thác nào thành công. Nói thực thì, phụ thuộc vào ngành an ninh vô hiệu hóa một botnet giống như chờ Chính phủ ban hành luật ngăn chặn hành vi của một người có tính gây hại đến bạn vào lúc này vậy.
Cho nên, trong quá trình tấn công botnet ở mức độ toàn cầu, có một sự thật đơn giản là những chiến thắng chỉ mang lại chút niềm an ủi cho doanh nghiệp bị tấn công mà thôi. Điều này khiến trách nhiệm không thể chối bỏ được là “việc bảo vệ doanh nghiệp chỉ là của riêng doanh nghiệp” đè nặng trên vai doanh nghiệp đó.
Nhóm an ninh mạng của doanh nghiệp hiếm khi nào dỡ bỏ hoàn toàn botnet ra khỏi hệ thống. Thay vào đó, nhóm an ninh mạng sẽ thu hẹp những việc cần tập trung như ngăn chặn xâm nhiễm, tìm máy bị nhiễm, và giới hạn phạm vi bị nguy hại. Nói ngắn gọn, mục tiêu của bạn không cần phải như Eliot Ness nhắm vào việc loại bỏ Al Capone, mà chỉ cần là một cảnh sát địa phương quèn, giữ cho khi phố mình được an toàn khỏi các hành động phạm tội của băng Al Capone.
Phân tích botnet không thể bị phá hủy: TDL-4
Vào giữa năm 2011, các nhà nghiên cứu về vấn đề an ninh bắt đầu tìm kiếm một phiên bản mới của botnet TDL, còn được biết đến với cái tên TDSS hay Alureon. Biến thể mới này, TDL-4, được cài vào cơ chế bảo vệ botnet khỏi cách ngắt cơ quan đầu não truyền thống, như cách Microsoft dỡ bỏ Rustock botnet đầu năm 2011. Những “đặc điểm” này đã dẫn đến việc ngành an ninh gán nhãn cho TDL-4 này là “không thể bị phá hủy”.
Về TDL-4, malware cải tiến nhất hiện nay, nó là mối nguy hại cho khung phần mềm hơn là dữ liệu hay ứng dụng.
TDL-4 chủ yếu lây lan thông qua các mối liên kết, thường nằm trong trang web khiêu dâm, nơi mang tính riêng tư (như phần mềm, phim ảnh, nhạc), và các trang web chia sẻ video/tệp tin, được trả lên tới 200 đô mỗi 1,000 máy nó xâm nhiễm.
Tính liên tục thường đạt được trong quá trình cài đặt bootkit để xâm nhiễm Bản ghi quản lý khởi động (MBR) trong máy nạn nhân, và có hơn 20 chương trình malware bổ sung bao gồm chương trình diệt virus giả dạng, adware, và một con bot dùng để spam. TDL-4, một cách thông minh, đã loại bỏ khoảng 20 chương trình malware phổ thông, như Gbot và ZeuS, để tránh thu hút sự chú ý không mong muốn từ máy nạn nhân, khi cài đặt phần mềm diệt virus chỉ để tìm ra những chương trình malware phổ biến này trên máy!
Mối liên kết cũng được che đậy dùng mã hóa độc quyền được tạo trong SSL. TDL-4 còn có thể cài một máy chủ proxy vào máy bị xâm nhiêm, thứ có thể sẽ được thuê như một dịch vụ trình duyệt ẩn danh mà proxy đó có thể lưu hành qua vô số máy tính bị xâm nhiễm. Đúng rồi đó! Bạn đã quá quen với Phần mềm dịch vụ (Software as a Service – SaaS), Cơ sở hạ tầng dịch vụ (Infrastructure as a Service – IaaS), và Nền tảng dịch vụ (Platform as a Service – PaaS), hãy chuẩn bị chào đón Malware dịch vụ (Malware as a Service – MaaS) đi thôi!
Về phần chỉ thị-kiểm soát, TDL-4 dùng mạng Kad P2P, một network trao đổi tệp tin P2P có thể truy cập công khai. TDL-4 nâng cấp và đóng góp t4hông tin về các máy bị xâm nhiễm thông qua mạng Kad, do đó dù máy chủ chỉ thị-kiểm soát bị dỡ bỏ thì những con bot khác cũng có thể duy trì botnet mà không cần đến máy chủ chỉ thị-kiểm soát.
Những điều này nghe có vẻ thật đáng quan ngại, nhưng có một sự khác biệt quan trọng giữa cách ngành an ninh mạng dỡ bỏ hoàn toàn một botnet và những bước mà doanh nghiệp cần làm để bảo vệ chính họ khỏi cái botnet tương tự. Cả chuỗi thử thách khiến việc dỡ bỏ rất thách thức, chưa kể cần phải tháo dỡ cả cơ sở hạ tầng chỉ thị-kiểm soát trong một thời gian ngắn.
Malware tiên tiến phụ thuộc vào network của doanh nghiệp để tồn tại. Nói đúng ra thì malware tiên tiến bao gồm ứng dụng network được thiết kế đặc biệt dành cho xâm nhập những phần mềm bảo mật truyền thống. Để tìm ra và chặn những mối nguy hại này, nhóm an ninh mạng cần giành lại tính hiển thị của lưu lượng network, giảm tính phơi nhiễm của network cũng như máy người dùng, và thiết lập những kỹ thuật mới dành cho việc tìm kiếm, ngăn chặn malware tiên tiến.
Để biết thêm về những phương pháp thiết thực nhằm phòng ngừa những cuộc tấn công nguy hiểm này, xin vui lòng liên hệ với Vina Aspire Cyber Security để được tư vấn miễn phí. Chúng tôi rất vui được giúp bạn.
Tel: +84 944004666 | Fax: +84 28 3535 0668
Website: www.vina-aspire.com | Email: info@vina-aspire.com
(Dịch bởi Vina Aspire)
Thegioibantin.com | Vina-Aspire News
Nguồn: Cybersecurity for Dummies