Tìm hiểu về mạng botnet: Công cụ kiế.m tiề.n của hacker
Chúng ta thường nghe tới khái niệm mạng botnet, đặc biệt là trong các cuộc tấ.n côn.g từ chối dịch vụ DDoS. Vậy botnet là gì, mục đích của chúng ra sao?
Botnet là gì?
Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ xa. Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.
Nếu máy tính của bạn là 1 thành phần trong mạng botnet, có nghĩa là nó đã bị nhiễm 1 trong số các loại malware (như virus, sâu máy tính…). Hacker tạo ra mạng này sẽ sử dụng, điều khiển hàng trăm ngàn máy tính của nạ.n nhâ.n để phục vụ cho mục đích riêng của chúng.
Người dùng máy tính có nguy cơ bị trở thành nạ.n nhâ.n của mạng botnet tương tự như cách họ bị lây nhiễm malware. Ví dụ như khi bạn sử dụng 1 phần mềm đã không còn được cập nhật các bản vá lỗi bảo mật, sử dụng các plugin có nguy cơ bị tấ.n côn.g cao như Java, khi download các phần mềm lậu.
Một điểm cũng cần nói tới là những kẻ tạo ra mạng botnet đôi khi không phải để chính chúng sử dụng. Mà trong nhiều trường hợp, chúng tạo ra một mạng botnet ở quy mô lớn nhất có thể rồi rao bán cho những kẻ khác để kiế.m tiề.n.
Mục đích của Botnet
Botnet có thể được dùng cho nhiều mục đích khác nhau. Do mạng botnet là một mạng tập hợp của rất rất nhiều máy tính, nên hacker có thể dùng bonet để thực hiện các cuộc tấ.n côn.g từ chối dịch vụ (DDoS) vào một máy chủ web nào đó. Theo đó, hàng trăm ngàn máy tính sẽ “dội bom”, truy cập vào một website mục tiêu tại cùng 1 thời điểm, khiến cho lưu lượng truy cập vào site đó bị quá tải. Hậu quả là nhiều người dùng khi truy cập vào website đó thì bị nghẽn mạng dẫn tới không truy cập được.
Botnet cũng có thể được dùng để gửi mail spam. Lợi dụng vào mạng các máy tính “ma” này, spammer có thể tiết kiệm được khá nhiều chi phí cho hoạt động spam kiế.m tiề.n của mình. Ngoài ra, botnet cũng được dùng để tạo các “click gian lận” – hành vi tải ngầm 1 website nào đó mà kẻ tấ.n côn.g đã chuẩn bị sẵn, và click và các link quảng cáo từ đó đem lại lợi nhuận về quảng cáo cho hacker.
Botnet cũng được dùng để đào Bitcoin nhằm đem lại tiề.n bán bitcoin cho kẻ tấ.n côn.g. Thông thường một máy tính của người dùng cá nhân khó có thể được dùng để đào Bitcoin, bởi lợi nhuận mang lại sẽ không đủ để bạn trả tiề.n điện mà quá trình đào tiề.n ảo này tiêu tốn. Tuy nhiên, bằng cách lợi dụng 1 mạng máy tính quy mô lớn, hacker có thể khai thác và bắt máy tính của bạn đào bitcoin cho chúng. Số bitcoin sẽ được chúng thu về, còn tiề.n điện thì bạn sẽ phải trả.
Botnet còn được dùng để phát tán malware. Khi đã điều khiển được máy tính của bạn, hacker có thể dùng chúng để phát tán các phần mềm độc hại nhằm lây nhiễm cho các máy tính khác. Từ đó, danh sách nạ.n nhâ.n sẽ được kéo dài, mạng botnet ngày càng được mở rộng, và lợi nhuận mà hacker thu được sẽ ngày càng lớn.
Hãng bảo mật Symantec từng công bố một sơ đồ về cách hoạt động của mạng botnet nổi tiếng có tên ZeroAccess. Trong mạng botnet này, 1,9 triệu máy tính trên thế giới đã bị lây nhiễm để làm công cụ đào bitcoin và click gian lận. Hacker đã kiếm được hàng triệu USD mỗi năm từ mạng ZeroAccess, còn các nạ.n nhâ.n phải chịu hơn nửa triệu USD tiề.n điện mỗi ngày để phục vụ chúng.
Video đang HOT
Botnet được điều khiển như thế nào?
Botnet có thể được điều khiển theo nhiều cách. Một số cách khá cơ bản và dễ dàng để ngăn chặn, trong khi một số cách khác thì phức tạp hơn.
Cách cơ bản nhất trong điều khiển botnet đó là mỗi con bot (máy tính trong mạng) sẽ kết nối tới máy chủ điều khiển từ xa. Hacker sẽ lập trình để sau mỗi một ít tiếng, mỗi bot sẽ tự động download về 1 file từ 1 website nào đó, và file này sẽ giống như một file ra lệnh, bắt máy tính của nạ.n nhâ.n phải làm theo. Một cách khác là máy tính nạ.n nhâ.n sẽ kết nối tới 1 kênh IRC nằm trên 1 server nào đó và đợi lệnh từ kẻ điều khiển.
Các botnet dùng 2 cách điều khiển này thường dễ dàng bị ngăn chặn. Chúng ta chỉ cần theo các máy tính đang kết nối tới máy chủ web nào rồi đán.h sập máy chủ là đã thành công.
Tuy nhiên, cũng có những mạng botnet liên lạc với nhau theo phương pháp ngang hàng, tương tự như mạng ngang hàng peer-to-peer. Theo đó, các con “bot” nạ.n nhâ.n sẽ kết nối với 1 nạ.n nhâ.n khác ở gần nó, rồi từ đó tạo nên thành 1 mạng botnet. Cách này khiến cho việc phát hiện và ngăn chặn trở nên khó khăn hơn bởi việc phát hiện ra nguồn gốc “điều hành” mạng này nằm ở đâu. Tuy nhiên, bằng cách cô lập các bot, không cho chúng giao tiếp với nhau, chúng ta cũng có thể ngăn chặn được mạng botnet dạng này.
Gần đây, một số botnet bắt đầu sử dụng phương pháp liên lạc qua mạng Tor. Tor là một dạng mạng máy tính được mã hóa nhằm đem lại tính bảo mật cao nhất có thể. Theo đó, 1 con bot sẽ kết nối tới 1 dịch vụ ẩn trong mạng Tor và điều này khiến việc ngăn chặn trở nên khó khăn. Trên lý thuyết chúng ta không thể tìm ra nơi “trú ngụ” của dịch vụ ẩn kia, mặc dù các mạng tình báo như mạng của NSA có thể sử dụng 1 số phương pháp để phát hiện.
Chúng ta hẳn đã từng nghe nói tới chợ m.a tú.y Silk Road, một trang mua bán online chuyên giao dịch m.a tú.y lậu. Đây được xem là chợ m.a tú.y lớn nhất toàn cầu, và trang web này đã ẩn mình trong 1 dịch vụ của Tor nói trên. Và để khám phá ra chợ m.a tú.y này, FBI đã phải sử dụng tới các biện pháp nghiệp vụ thám tử như ngoài đời, thay vì sử dụng các phương pháp kỹ thuật số như các mạng botnet khác.
Như vậy, tổng kết lại, botnet đơn giản là các nhóm máy tính bị hacker chiếm quyền điều khiển nhằm phục vụ cho mục đích của chúng, từ đó toàn bộ mạng sẽ được sử dụng cho các mục đích mà chúng muốn, như rao bán cho kẻ khác, hay bản thân chúng dùng botnet để tấ.n côn.g DDoS, đào bitcoin…rồi mang về tiề.n bạc cho mình.
Theo Howtogeek
Nhận diện các mã độc "làm tiề.n" của hacker
Đã từ lâu, các virus và mã độc (malware) nguy hiểm nhất trên thế giới không thuộc về các tay hacker cần tìm trò tiêu khiển nữa. Trong thập niên 2010, gần như tất cả các mã độc nguy hiểm nhất đều được viết ra với mục đích thu lời bất chính, và tác giả của chúng thường là các tổ chức tội phạm nguy hiểm.
Mã độc thời kỳ đầu
Trong thập niên 1990, gần như tất cả các virus máy tính đều được viết ra để trêu đùa, để chứng minh một lỗ hổng nào đó trong hệ thống, và nhìn chung là được tạo ra bởi các hacker đang... thừa thời gian và cần trò tiêu khiển. Vào 20 năm trước, nhiều loại virus máy tính có thể chỉ làm một điều duy nhất là tự lây lan càng nhiều càng tốt và... hiện thông báo nói rằng máy vi tính của bạn đã bị nhiễm virus.
Các loại virus của thế kỷ trước, và cả những năm đầu thập niên 2000, thường chỉ gây ảnh hưởng tới quá trình hoạt động của máy (gây chậm, giật) và cố gắng lây lan càng nhiều càng tốt trên mạng. Các loại mã độc đặc biệt nguy hiểm vào thời kì này cũng sẽ chỉ xóa file trên ổ cứng của bạn và làm hỏng Windows của bạn mà thôi.
Ví dụ điển hình cho loại virus được viết ra với mục đích duy nhất là... phá hoại này chính là Happy99, loại virus đầu tiên lây lan qua email trong lịch sử bảo mật. Happy99 sẽ tự lây lan qua đường email tới các máy vi tính khác, khiến máy vi tính của nạ.n nhâ.n bị lỗi, và cũng sẽ chỉ hiển thị một cửa sổ có tựa đề "Happy New Year 1999" và hiệu ứng pháo hoa đơn điệu ở dưới. Happy99 chỉ có một mục đích duy nhất là tự lây lan càng nhiều càng tốt.
Keylog và Trojan
Từ những năm cuối thập niên 2000, các hacker viết mã độc đã tìm ra hướng đi mới: Tấ.n côn.g để thu lời bất chính. Mã độc không còn được tạo ra để hiển thị các thông báo kì cục lên màn hình, để Windows của bạn hoạt động chậm chạp hay để xóa dữ liệu nữa. Các tay hacker này giờ đã mang trong mình tư tưởng mới: Tại sao lại đi phá hoại phần mềm và dữ liệu của người khác trong khi có thể dùng chiếc máy bị nhiễm mã độc này để thu lời?
Mã độc hiện đại sẽ tự ẩn mình dưới nền hệ thống. Nhiều loại mã độc có tính năng keylog (ghi lại tất cả các thao tác/phím đã được thực thi trên máy), do đó chúng có thể thu thập tài khoản và mật khẩu ngân hàng, số thẻ tín dụng và các loại thông tin nhạy cảm khác của bạn khi bạn nhập liệu trên laptop hoặc máy để bàn. Sau đó, mã độc này sẽ gửi dữ liệu của bạn về tay hacker. Để che giấu danh tính, các hacker này có thể sẽ không dùng tới số thẻ của bạn. Thay vào đó, chúng sẽ mang bán thông tin thu thập được lên chợ đen bán nhằm giảm thiểu rủi ro.
Một số mã độc khác được xếp loại Trojan: Sau khi lây nhiễm vào máy của bạn, loại mã độc này sẽ kết nối tới máy chủ của hacker và chờ lệnh từ máy chủ này. Sau đó, Trojan sẽ tự tải về các loại mã độc khác. Bởi vậy, Trojan cho phép hacker giữ quyền kiểm soát các máy đã bị lây nhiễm để sử dụng vào các mục đích xấu như dùng làm botnet (tấ.n côn.g DDoS), ăn cắp tiề.n ảo, thu thập thông tin cá nhân, gây hại tới hệ thống v...v...
Botnet
Một số loại mã độc sẽ tạo ra một mạng "botnet": chúng sẽ biến máy để bàn/laptop của bạn thành một máy "bot" có thể kết nối với nhiều máy bot (máy đã lây nhiễm) khác để tạo ra một mạng máy tính rất lớn. Kẻ tạo ra mã độc sẽ sử dụng mạng botnet này vào các mục đích xấu, và về cơ bản chúng biến máy tính bạn thành một "thây ma" và là nguồn lây nhiễm mới.
Thông thường, hacker thường đem các mạng botnet cho thuê để các loại tội phạm khác có thể tấ.n côn.g từ chối dịch vụ (DDoS). Khi nhận lệnh từ máy chủ của hacker, các máy bot trong mạng lưới botnet sẽ gửi một lượng dữ liệu khổng lồ tới mục tiêu, khiến cho máy chủ bị tấ.n côn.g rơi vào tình trạng quá tải và trang web/dịch vụ không còn khả năng hoạt động. Các công ty cạnh tranh không lành mạnh có thể trả tiề.n cho hacker để tạo ra botnet tấ.n côn.g vào đối thủ cạnh tranh.
Không chỉ có vậy, botnet còn cho phép tải các trang web dưới nền và click vào các đường dẫn quảng cáo trên các máy đã bị lây nhiễm. Do một số trang web thu tiề.n từ các dịch vụ quảng cáo dựa trên số lần đường dẫn quảng cáo được click, việc tự tải và click đường dẫn dưới nền sẽ giúp các trang web này thu lời bất chính. Đây là hình thức "lừ.a đả.o click".
Mã độc tống tiề.n
Mã độc tống tiề.n là một loại mã độc cực kì nguy hiểm. Trong số các mã độc loại này, CryptoLocker là loại phổ biến và nguy hiểm nhất.
Khi đã lây nhiễm vào máy, CryptoLocker sẽ mã hóa các file cá nhân của bạn bằng một chìa khóa mã hóa riêng và xóa đi file gốc. Sau đó, CryptoLocker sẽ hiển thị một cửa sổ cho biết file của bạn đã bị mã hóa và cách duy nhất để lấy lại file là trả tiề.n cho hacker trên cửa sổ này.
Thông thường, bạn sẽ lấy lại được file gốc của mình khi trả tiề.n, bởi nếu như bạn không lấy lại được các file của mình, hacker sẽ bị "mất uy tín" và chẳng ai trả tiề.n chuộc nữa. Bên cạnh các phần mềm bảo mật, việc thực hiện sao lưu thường xuyên là tối quan trọng để chống lại loại mã độc này, bởi trong một số trường hợp, ngay cả các chuyên gia bảo mật cũng không thể giải mã các file đã bị mã hóa nếu không có chìa khóa mã hóa.
Phishing (Lừ.a đả.o giả dạng) và Social Engineering (Lừ.a đả.o qua mạng)
Mã độc không phải là mối đ.e dọ.a duy nhất trên Internet. Với hình thức phishing, kẻ xấu sẽ gửi email giả dạng làm ngân hàng, dịch vụ mà bạn đang sử dụng và yêu cầu bạn cung cấp thông tin cá nhân. Nếu bạn nhẹ dạ nhập thông tin vào các trang giả dạng này, hacker sẽ sử dụng thông tin thu được để rút tiề.n hoặc sử dụng thẻ tín dụng của bạn vào mục đích bất chính.
Phishing là một hình thức Social Engineering - lừ.a đả.o qua mạng. Các vụ tấ.n côn.g Social Engineering đặc biệt ở chỗ người bị nạn sẽ vô tình "tiếp tay" cho hacker. Ví dụ, một trang web có thể hiển thị thông báo tặng quà, và yêu cầu bạn phải nhắn tin tới một số nào đó để xác nhận quà. Khi nhắn tin tới các số này, bạn sẽ mất các khoản phí dịch vụ tương đối lớn.
Một dạng Social Engineering rất phổ biến vào cuối năm 2013. Dãy 11 số ở trên thực chất là số điện thoại của kẻ xấu chứ không phải là "mã server hack", khi bạn nạp tiề.n theo cách này nghĩa là nạp vào tài khoản của kẻ xấu.
Một ví dụ khác về Social Engineering là các thông báo lừ.a đả.o trên web rằng Windows của bạn đã bị nhiễm virus. Khi bạn click vào các thông báo này, bạn sẽ bị dẫn tới một trang web khuyến cáo tải về các phần mềm thực sự chứa mã độc. Hoặc, trang web xấu có thể hiển thị thông báo "trúng iPhone" hoặc "trúng thưởng vì là người truy cập thứ 1 triệu" và sau đó yêu cầu bạn cung cấp thông tin mật (số tài khoản, số thẻ...) để "xác nhận trúng thưởng", nhưng thực chất là để lấy cắp thông tin của bạn.
Nhìn chung, trong khi mối đ.e dọ.a từ mã độc đến từ các nguyên nhân phần cứng và phần mềm, rủi ro đến từ các hình thức lừ.a đả.o qua mạng hoàn toàn nằm ở phía người dùng. Nếu bạn không nhẹ dạ nhấn vào các đường dẫn đáng ngờ trong email, nếu bạn cẩn thận xác nhận thông tin với số điện thoại hoặc email chính thức của ngân hàng khi được yêu cầu cung cấp thông tin nhạy cảm, và nếu bạn không click vào các thông báo dạng "Chúc mừng bạn đã trúng iPhone", thì bạn sẽ gần như hoàn toàn miễn nhiễm với các hình thức lừ.a đả.o qua mạng.
Theo HTG
Xuất hiện malware mới tấ.n côn.g vào các thiết bị Android Công ty bảo mật máy tính Symantec vừa phát hiện ra một loại mailware mới tấ.n côn.g vào các thiết bị Android thông qua một máy tính đã bị nhiễm. Hiện tại, malware đang lây lan với tóc độ nhanh chóng trên các thiết bị chạy Android tại Hàn Quốc. ảnh minh họa Malware có tên là "Trojan.Droidpak" và lây sang thiết bị...