Mạng botnet Sality hay còn gọi là KuKu, là một mạng lưới các thiết bị máy tính bị nhiễm phần mềm độc hại và được điều khiển bởi tin tặc từ xa. Một mạng botnet có thể bao gồm hàng trăm nghìn, thậm chí hàng triệu máy tính. Mỗi bot đóng vai trò như một công cụ để phát tán mã độc, virus và tấn công DDoS. Loại mã độc này tấn công vào các máy tính sử dụng hệ điều hành Windows.
APT (Advanced Persistent Threat) là thuật ngữ để mô tả một cuộc tấn công kỹ thuật cao có chủ đích nhằm đánh vào những yếu điểm của hệ thống. Mục tiêu của những cuộc tấn công này thường là các cơ quan an ninh, cơ quan chính phủ và các doanh nghiệp lớn.
Thông thường các mạng botnet hoạt động dựa trên sự chỉ đạo của Bot Master thông qua các máy chủ C&C. Trong đó các máy tính nhiễm mã độc sẽ trở thành Bot và nhận lệnh điều khiển từ C&C Server. Các lệnh điều khiển thường là tấn công DDoS, phát tán mã độc, gửi tin nhắn spam... Mạng botnet Sality chủ yếu để phát tán thư rác, tạo các proxy, ăn cắp thông tin cá nhân, lây nhiễm vào các máy chủ web biến các máy chủ này thành máy chủ điều khiển của mạng botnet để tiếp tục mở rộng mạng botnet.
Hình thức tấn công DDoS botnet xuất hiện với tần suất cao và quy mô lớn. Theo đó, tin tặc sử dụng một lượng lớn bot để gửi hàng loạt yêu cầu truy cập đến mục tiêu, đẩy hệ thống vào trạng thái quá tải, tiêu tốn hết băng thông và khiến cho các dịch vụ mạng không thể hoạt động. Có hai hình thức tấn công DDoS botnet phổ biến hiện nay là TCP SYN và UDP flood. Để tăng cường khả năng tấn công, tin tặc thường kết hợp với việc sử dụng HTTP flood hay còn được gọi là spidering nhằm tấn công đối tượng trên web gây ra tình trạng đình trệ hoạt động của hệ thống hoặc dịch vụ mạng.
Ngoài ra, DDoS botnet còn làm gián đoạn các dịch vụ trực tuyến của cơ quan, tổ chức, doanh nghiệp, bao gồm cửa hàng trực tuyến, ngân hàng trực tuyến và các ứng dụng di động khác, gây khó khăn trong quá trình sử dụng và tạo trải nghiệm không tốt cho người dùng, ảnh hưởng rất lớn đến với uy tín và doanh thu của cơ quan, tổ chức, doanh nghiệp.
Theo báo cáo thống kê kết nối chia sẻ dữ liệu về mã độc, giám sát của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), tính đến tháng 3/2024 đã ghi nhận 364.369 địa chỉ IP của Việt Nam nằm trong mạng botnet (giảm 32.78% so với tháng 01/2024), trong đó có 95 địa chỉ IP của cơ quan, tổ chức nhà nước (6 địa chỉ IP Bộ/Ngành, 89 địa chỉ IP Tỉnh/Thành).
.jpg)
Hình 1. Một số cơ quan, địa phương có địa chỉ IP nằm trong mạng botnet
Theo thống kê của NCSC, chỉ tính riêng tháng 3/2024, hệ thống kỹ thuật của NCSC đã ghi nhận có 76.507 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước. Số lượng điểm yếu, lỗ hổng nêu trên là rất lớn, do đó, Cục An toàn thông tin đã chỉ đạo NCSC triển khai đánh giá, xác định các lỗ hổng nguy hiểm, có ảnh hưởng trên diện rộng và hướng dẫn các Bộ/Ngành khắc phục. Đặc biệt có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công APT. Bảng 1 thể hiện một số lỗ hổng vẫn còn tồn tại trên nhiều máy chưa được xử lý.
.jpg)
Bảng 1. Một số lỗ hổng đang tồn tại trên nhiều máy tính
Bên cạnh các điểm yếu/lỗ hổng ghi nhận, Hệ thống kỹ thuật của NCSC còn phân tích và phát hiện nhiều máy tính của cơ quan nhà nước có kết nối đến địa chỉ IP/Domain nghi ngờ độc hại do các phần mềm phòng chống mã độc đã ghi nhận. Thống kê TOP 6 kết nối nghi ngờ phát sinh phổ biến như Bảng 2.
Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Một số lỗ hổng trên các sản phẩm/dịch vụ phổ biến tại Việt Nam: Totolink: CVE-2022-25134, CVE[1]2022-25133; Huawei: CVE-2021-40043, CVE-2021- 22441,Foxit: CVE-2022-24356, CVE-2022-24368; TP-Link: CVE-2022-22922, CVE-2022-24354; IBM: CVE-2021-39026, CVE-2021-38935; WatchGuard: CVE-2022-23176, CVE-2022-25363; Apache: CVE-2022-24288, CVE-2021-45229.
Một số tên miền độc hại có nhiều kết nối từ Việt Nam như: differentia.ru; a.asense. in; disorderstatus.ru; ww2.bbbjdnxbgp3.ru; atomictrivia.ru; a.deltaheavy.ru; morphed.ru; sdk. asense.in; ydbnsrt.me; soplifan.ru.
Sử dụng tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS)
Tường lửa hoạt động như một bức tường ảo giữa mạng nội bộ và mạng công cộng, kiểm soát và giám sát lưu lượng mạng đi qua. Khi có một gói tin mạng gửi đến hệ thống, tường lửa sẽ quét gói tin này và xác định liệu có hợp lệ và an toàn hay không. Nếu gói tin này không đáng tin cậy hoặc đang mang tính chất đe dọa, tường lửa sẽ không cho gói tin đó tiếp cận hệ thống.
Hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng thủ xâm nhập (IPS) là hai công nghệ chống xâm nhập được sử dụng phổ biến trong mạng và hệ thống bảo mật hiện nay. Cụ thể, IDS hoạt động bằng cách giám sát lưu lượng mạng và dữ liệu trong hệ thống, từ đó phát hiện các hành vi không bình thường hoặc biểu hiện của các cuộc tấn công từ botnet. Điều này giúp tăng tính tự động hóa và trong việc ngăn chặn các cuộc tấn công từ botnet.
Sử dụng giải pháp bảo vệ ứng dụng web và API (WAAP) hoặc chống botnet bằng công nghệ AI Load Balancing
WAAP là tập hợp các giải pháp tiên tiến giúp bảo vệ các ứng dụng web và API khỏi các cuộc tấn công SQL injection, XSS và tấn công API. Bên cạnh đó, WAAP còn giúp doanh nghiệp chống lại các cuộc tấn công DDoS botnet. Bằng cách kiểm soát lưu lượng truy cập và xác định những hành vi không bình thường, WAAP giúp giảm thiểu tác động của tấn công lên hệ thống và duy trì tính sẵn sàng hoạt động của ứng dụng. Ngoài ra, giải pháp này còn có thể xác định và chặn các hành vi không hợp lệ từ người dùng và botnet, đồng thời giúp phát hiện các hình thức tấn công mới.
Sự kết hợp của hơn 2.300 PoP và dung lượng 2.600 Tbps của các Mạng phân phối nội dung (Content Delivery Network - CDN) liên minh cho phép hệ thống VNIS chống DDoS qua mạng phân tán toàn cầu. Khi một CDN bị tấn công, hệ thống cân bằng tải AI sẽ tự động chuyển đổi CDN đó sang một CDN khác mạnh hơn, giúp tối ưu hiệu suất truyền tải và ngăn chặn các tấn công áp đảo lưu lượng như botnet. TT IP/Domain nghi ngờ 1 cdn[.]specialtaskevents[.]com 2 near[.]flyspecialline[.]com 3 aitsatho[.]com 4 ak[.]feethach[.]com 5 four[.]startperfectsolutions[.]com 6 epicunitscan[.]info Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Giám sát đường truyền, giám sát lưu lượng mạng, kiểm soát truy cập
Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.
Giám sát lưu lượng mạng là một trong những phương pháp hiệu quả để phát hiện sớm các hoạt động đáng ngờ trong hệ thống. Khi triển khai giám sát lưu lượng mạng, các công cụ và hệ thống được sử dụng để theo dõi, thu thập và phân tích lưu lượng mạng trong thời gian thực. Các hoạt động mạng của hệ thống được quản lý chặt chẽ để phát hiện những bất thường nhanh chóng. Những dấu hiệu cảnh báo có thể bao gồm sự tăng đột ngột trong lưu lượng mạng, lưu lượng từ một số địa chỉ IP không xác định hoặc quá nhiều yêu cầu từ một nguồn duy nhất. Điều này giúp cho việc đối phó nhanh chóng và ngăn chặn các cuộc tấn công từ botnet trước khi chúng gây hậu quả lớn đối với hệ thống.
|
TÀI LIỆU THAM KHẢO [1]. Bộ thông tin và truyền thông, Báo cáo Giám sát an toàn không gian mạng quốc gia năm 2023. [2]. Chính Phủ, Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ : Về việc nâng cao năng lực phòng, chống phần mềm độc hại”. [3]. Bộ Thông tin và Truyền thông: Hướng dẫn số 2290/ BTTTT-CATTT về việc hướng dẫn kết nối, chia sẻ thông tin về mã độc giữa các hệ thống kỹ thuật. [4]. Chính phủ, Quyết định số 392/QĐ-TTg của Thủ tướng Chính phủ: Phê duyệt chương trình mục tiêu phát triển ngành công nghiệp công nghệ thông tin đến năm 2020, tầm nhìn đến năm 2025. |
Trần Minh Thảo - Học viện Cảnh sát nhân dân
09:00 | 08/03/2024
13:00 | 23/10/2024
15:00 | 27/12/2024
15:00 | 15/07/2024
14:00 | 22/02/2024
10:00 | 13/09/2024
07:00 | 07/02/2025
Tấn công từ chối dịch vụ (Distributed denial of service - DDoS) đã và đang trở nên phổ biến và lan rộng trên mạng Internet. Khi DDoS nhắm tới các web server thông qua mạng botnet, kẻ tấn công thường huy động một số lượng lớn các máy tính bị nhiễm mã độc, PC-Bot gửi các yêu cầu tới máy chủ ứng dụng web làm cho tài nguyên (CPU, băng thông, bộ nhớ…) bị cạn kiệt dẫn tới dịch vụ web bị ngừng hoạt động. Để giảm thiểu thiệt hại và ngăn chặn hình thức tấn công này, cần xây dựng một ứng dụng có thể hỗ trợ giám sát một số đặc điểm bất thường trên lưu lượng mạng và phân biệt được người sử dụng hay bot đang truy cập vào web server, làm tiền đề để ngăn chặn kịp thời các cuộc tấn công DDoS, không gây tắc nghẽn băng thông hoặc cạn kiệt tài nguyên, tạo điều kiện để người sử dụng bình thường có thể truy cập website.
13:00 | 02/12/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
13:00 | 30/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
13:00 | 17/06/2024
Để tăng cường tính bảo mật và khắc phục các lỗ hổng, Microsoft thường phát hành định kỳ những bản cập nhật dành cho Windows, trong đó có các bản vá Patch Tuesday hàng tháng. Việc nắm bắt các bản vá này rất quan trọng để chủ động phòng tránh trước các mối đe dọa mạng. Bài viết này đưa ra quy trình cập nhật bản vá bảo mật Windows trên các máy trạm dành cho người dùng cuối, việc thực hiện cập nhật trên máy chủ Windows Server thực hiện tương tự.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025
