Một số kỹ thuật phát hiện botnet bằng Honeynet

09:00 | 08/03/2024 | GP ATM

Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.

Một số kỹ thuật phát hiện botnet bằng Honeynet

TỔNG QUAN VỀ PHƯƠNG PHÁP SỬ DỤNG HONEYNET ĐỂ PHÁT HIỆN BOTNET

Botnet là một mạng máy tính bị nhiễm mã độc và chịu sự điều khiển của tin tặc. Trong khi đó, Honeynet là một mạng giả lập, bao gồm nhiều Honeypot được triển khai để mô phỏng các ứng dụng, các dịch vụ như hệ thống thực tế. Từ đó thu hút sự tấn công của các tin tặc và thu thập dữ liệu về các phương thức, hành vi tấn công của chúng.

Dữ liệu thu thập sẽ được phân tích để xác định các máy tính botnet bị chiếm đoạt và kiểm soát bởi tin tặc. Ngoài ra, Honeynet còn giúp các chuyên gia bảo mật thu thập được các mẫu mã độc mới và phát hiện các lỗ hổng bảo mật chưa được biết đến, từ đó phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Theo thông tin từ Hệ thống kỹ thuật của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Bộ Thông tin và Truyền thông, trong tháng 10/2022 đã ghi nhận 517.627 địa chỉ IP của Việt Nam nằm trong mạng botnet, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam ở mức 21,2 nghìn tỷ (tương đương 883 triệu USD).

Hình 1. Mô hình Honeynet trong hệ thống mạng

Trong một hệ thống Honeynet bao gồm ba module chính:

- Module điều khiển dữ liệu (hay kiểm soát dữ liệu): Có nhiệm vụ kiểm soát dữ liệu vào/ra của hệ thống Honeynet, kiểm soát hoạt động của các tác nhân độc hại, ngăn chặn kẻ tấn công sử dụng hệ thống mạng Honeynet để tấn công mạng hay gây tổn hại cho các hệ thống bên ngoài khác. Công cụ chính được sử dụng trong module này là Firewall Iptables và Snort IDS.

- Module thu nhận dữ liệu: Có nhiệm vụ thu thập thông tin, giám sát và ghi lại các hành vi của kẻ tấn công bên trong hệ thống Honeynet. Để thực hiện được nhiệm vụ này thì Honeynet có thể sử dụng công cụ Sebek client - server.

- Module phân tích dữ liệu: Có nhiệm vụ hỗ trợ phân tích dữ liệu thu nhận được nhằm xác định các kỹ thuật, công cụ và mục đích tấn công của tin tặc. Từ đó, giúp quản trị viên có thể đưa ra các biện pháp phòng chống kịp thời. Các công cụ chính được sử dụng là Walley, Hflow.

Hình 2. Mô hình kiến trúc logic của Honeynet

CÁC KỸ THUẬT PHÁT HIỆN BOTNET TRÊN HỆ THỐNG HONEYNET

Phân tích dữ liệu mạng

Đây là một trong những kỹ thuật phát hiện botnet phổ biến nhất. Kỹ thuật này thực hiện dựa trên việc thu thập và so sánh các lưu lượng mạng trong Honeynet với một mô hình lưu lượng mạng bình thường. Các lưu lượng mạng bất thường có thể là dấu hiệu của botnet đang hoạt động trên Honeynet. Các phương pháp phân tích dữ liệu mạng thường dùng như:

- Phân tích header: Phân tích các thông tin header của các gói tin mạng để xác định các kết nối mạng và các giao thức được sử dụng.

- Phân tích thông tin payload: Phân tích các thông tin payload của các gói tin mạng để xác định các đối tượng và hành động của chúng.

- Phân tích kết nối: Phân tích kết nối vào/ra để xác định các kết nối không thường xuyên, bất thường hoặc các kết nối giữa các máy tính không liên quan.

- Phân tích tệp tin log: Kỹ thuật phân tích các tệp tin log để tìm kiếm các hoạt động bất thường và phát hiện botnet.

Phân tích dữ liệu hệ thống

Phân tích dữ liệu hệ thống phát hiện botnet là một quá trình phức tạp liên quan đến nhiều quy trình. Đầu tiên là thu thập dữ liệu từ nhiều nguồn khác nhau. Dữ liệu sau đó được phân tích so sánh với danh sách các mẫu đã biết của botnet từ đó loại ra khỏi hệ thống. Các phương pháp phân tích dữ liệu hệ thống bao gồm:

- Phân tích nhật ký hệ thống: Nhật ký hệ thống có thể cung cấp thông tin về các hoạt động của hệ thống, bao gồm các kết nối mạng, truy cập vào tệp và tài nguyên cũng như hoạt động của người dùng. Bằng cách phân tích nhật ký hệ thống, các chuyên gia bảo mật có thể tìm kiếm các mẫu bất thường có thể chỉ ra sự hiện diện của botnet.

- Phân tích các tiến trình độc hại: Botnet thường sử dụng các tiến trình độc hại để thực hiện các hành vi tấn công. Kỹ thuật này sử dụng các công cụ phân tích hệ thống để phát hiện các tiến trình độc hại như các tiến trình được gắn cờ (flag) hoặc các tiến trình có tên giống nhau. Phân tích các tiến trình đang chạy hoặc các tiến trình đã kết thúc để xác định các tiến trình khả nghi hoặc độc hại.

- Sử dụng các công cụ rà quét và phân tích mã độc: Có thể sử dụng các công cụ quét mã độc như anti-malware để phát hiện các mã độc trong các tệp lưu trữ hệ thống hoặc trong các gói tin lưu lượng mạng. Ngoài ra, có thể dùng các công cụ phân tích mã độc như IDA Pro, Ghidra, OllyDbg hay YARA để tìm ra các tính năng và cấu trúc của mã độc. Trong đó, IDA Pro có thể được sử dụng trong môi trường Honeynet để phân tích các mẫu mã độc, dựng lại cấu trúc chương trình, tìm hiểu cách hoạt động của mã độc và nắm bắt các phương pháp tấn công.

Sử dụng các kỹ thuật phân tích hành vi

Các kỹ thuật phân tích hành vi được sử dụng để phát hiện các hành vi tấn công và các hoạt động trao đổi dữ liệu giữa botnet và tin tặc để từ đó phát hiện ra botnet. Các phương pháp phân tích hành vi bao gồm:

- Phát hiện các kết nối đến các địa chỉ IP đáng ngờ: Botnet thường liên lạc với các máy chủ điều khiển và ra lệnh từ xa (C&C) để nhận lệnh và gửi thông tin về hoạt động. Kỹ thuật này sử dụng các công cụ phân tích mạng để phát hiện các kết nối đến các địa chỉ IP đáng ngờ và các máy chủ C&C.

- Phân tích giao tiếp giữa các bot và máy chủ điều khiển: Kỹ thuật này sử dụng các công cụ giám sát và phân tích mạng để phân tích các giao tiếp giữa các bot và máy chủ điều khiển nhằm phát hiện các lệnh điều khiển bot và các hoạt động lạ.

ƯU ĐIỂM VÀ HẠN CHẾ CỦA PHƯƠNG PHÁP PHÁT HIỆN BOTNET DỰA TRÊN HONEYNET

Ưu điểm

Phương pháp phát hiện botnet dựa trên Honeynet cho phép thu thập thông tin về các hoạt động của botnet một cách chi tiết, toàn diện và chính xác. Honeynet giúp các chuyên gia bảo mật hiểu rõ hơn về cách thức hoạt động của botnet và tìm ra các cách để ngăn chặn các cuộc tấn công này trước khi chúng xảy ra.

Phương pháp này giúp phát hiện botnet một cách hiệu quả và có thể giúp cho các chuyên gia bảo mật phát hiện và ngăn chặn sớm các cuộc tấn công. Ngoài ra, Honeynet cung cấp môi trường an toàn để phân tích các mẫu mã độc mới, để phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công.

Hạn chế

Triển khai Honeynet có thể tốn kém về chi phí, thời gian và phức tạp về mặt kỹ thuật. Honeynet không thể phát hiện được các botnet sử dụng các kỹ thuật ẩn danh và che giấu hoạt động của mình. Do đó, các tin tặc có thể nhận ra Honeynet và ẩn mình, không thực hiện các thao tác độc hại để tránh bị phát hiện. Bên cạnh đó, phương pháp này có thể làm chậm mạng lưới của tổ chức nếu Honeynet được triển khai trên mạng lớn hoặc không được quản lý chặt chẽ.

HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI

- Sử dụng học máy và trí tuệ nhân tạo: Học máy và trí tuệ nhân tạo đang trở thành một lĩnh vực quan trọng trong việc phát hiện và ngăn chặn botnet. Các kỹ thuật này có thể được áp dụng để phân tích lưu lượng mạng tự động, phát hiện các hành vi lạ và phát hiện botnet một cách nhanh chóng và chính xác hơn. Thông qua kết hợp phương pháp này, Honeynet có thể tự động hóa quá trình phát hiện botnet và giảm thiểu sự can thiệp của con người.

- Mở rộng Honeynet đến các hệ thống phân tán: Honeynet truyền thống thường được triển khai trên một hệ thống đơn lẻ để giả lập một mạng lưới. Tuy nhiên, các botnet hiện nay thường được triển khai trên các hệ thống phân tán và phức tạp hơn. Do đó, một hướng phát triển tiếp theo là mở rộng Honeynet đến các hệ thống phân tán để tăng cường khả năng phát hiện botnet.

- Kết hợp Honeynet với các phương pháp phát hiện khác: Honeynet là một phương pháp phát hiện botnet hiệu quả, nhưng nó cũng có nhược điểm là không thể phát hiện các botnet mới và không xác định được các hành vi tấn công khác. Do đó, kết hợp Honeynet với các phương pháp phát hiện khác như Hệ thống thông tin tình báo về mối đe dọa (Threat Intelligence), giám sát hệ thống và giám sát người dùng có thể giúp tăng cường khả năng phát hiện botnet.

KẾT LUẬN

Phát hiện botnet dựa trên Honeynet là một phương pháp phổ biến và hiệu quả. Phương pháp này cho phép các chuyên gia bảo mật phát hiện và thu thập thông tin về các hoạt động của botnet, từ đó thu thập các mẫu mã độc mới, phát hiện các lỗ hổng bảo mật chưa được biết đến và phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công. Tuy nhiên, nó cũng có những hạn chế và cần được quản trị cẩn trọng để đảm bảo tính hiệu quả và an toàn cho hệ thống mạng.

Nguyễn Văn Đường (Trường Cao đẳng Kỹ thuật Thông tin, Binh chủng Thông tin Liên lạc)

‹ › ×

Tin liên quan

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.

Cảnh báo mạng Botnet MyloBot lan rộng toàn cầu

12:00 | 16/03/2023

Theo các nhà nghiên cứu của công ty an ninh mạng BitSight (Mỹ), một mạng Botnet có tên gọi là “MyloBot” đã lây lan và xâm nhập trên hàng nghìn hệ thống, hầu hết ở Ấn Độ, Hoa Kỳ, Indonesia và Iran. Các phát hiện mới từ BitSight chỉ ra rằng hiện có hơn 50.000 hệ thống bị nhiễm mỗi ngày.

HONEYNET- Ứng dụng và hiệu quả thực tế

13:13 | 29/03/2012

Trong rất nhiều biện pháp ngăn chặn nguy cơ đe dọa an ninh mạng thì Honeypot (tạm gọi là Mắt ong) và Honeynet (tạm gọi là Tổ ong được coi là những cạm bẫy hết sức hiệu quả. Đối với các tin tặc thì hệ thống này quả là những “Cạm bẫy đáng sợ”. Vì vậy, giới Hacker thường xuyên thông báo, cập nhật các hệ thống Honeypot, Honeynet mới được triển khai trên thế giới ở các diễn đàn Hacker, nhằm tránh “sa bẫy” những hệ thống này.

Tin cùng chuyên mục

Tăng cường bảo mật tệp lưu trữ trên Google Drive

10:00 | 28/03/2024

Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.

Giải pháp chống can thiệp vật lý trái phép thiết bị bảo mật

10:00 | 05/02/2024

Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.

Mô hình chia sẻ trách nhiệm bảo mật và việc ứng dụng điện toán đám mây

14:00 | 17/05/2023

Một trong những lý do khiến các tổ chức e ngại khi sử dụng các dịch vụ điện toán đám mây là vấn đề về an toàn thông tin. Tuy nhiên, dù nhìn nhận từ góc độ nào thì hầu hết chúng ta đều phải công nhận là các nhà cung cấp dịch vụ điện toán đám mây lớn như Amazon, Microsoft hay Google đều có nhiều nguồn lực và nhân sự giỏi về an ninh bảo mật hơn hầu hết các doanh nghiệp khác. Vậy tại sao chúng ta liên tục nhận được tin tức về các sự cố bảo mật của các doanh nghiệp khi sử dụng điện toán đám mây?

Các phương pháp bẻ khóa mật khẩu Wifi

17:00 | 18/01/2023

Ngày nay, mạng không dây đang trở nên phổ biến trong các tổ chức, doanh nghiệp và cá nhân. Sự ra đời, phát triển và cải tiến không ngừng của mạng Wifi đã giải quyết được những hạn chế trước đó của mạng có dây truyền thống. Tuy nhiên, công nghệ mạng Wifi vẫn còn tồn tại những điểm yếu liên quan đến tính bảo mật và an toàn thông tin (ATTT). Do tính chất môi trường truyền dẫn vô tuyến nên mạng Wifi rất dễ bị rò rỉ thông tin do tác động của môi trường bên ngoài, đặc biệt là sự tấn công từ các tin tặc.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

GP Mật mã

Sự phát triển của lược đồ chữ ký số kháng lượng tử dựa trên hàm băm

Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.

09:00 | 01/04/2024
Về một phương pháp tấn công kênh kề lên mã khối Kalyna
Khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA trong một số tiêu chuẩn mật mã
Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)