Botnet là một mạng máy tính bị nhiễm mã độc và chịu sự điều khiển của tin tặc. Trong khi đó, Honeynet là một mạng giả lập, bao gồm nhiều Honeypot được triển khai để mô phỏng các ứng dụng, các dịch vụ như hệ thống thực tế. Từ đó thu hút sự tấn công của các tin tặc và thu thập dữ liệu về các phương thức, hành vi tấn công của chúng.
Dữ liệu thu thập sẽ được phân tích để xác định các máy tính botnet bị chiếm đoạt và kiểm soát bởi tin tặc. Ngoài ra, Honeynet còn giúp các chuyên gia bảo mật thu thập được các mẫu mã độc mới và phát hiện các lỗ hổng bảo mật chưa được biết đến, từ đó phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công tương tự trong tương lai.
Theo thông tin từ Hệ thống kỹ thuật của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Bộ Thông tin và Truyền thông, trong tháng 10/2022 đã ghi nhận 517.627 địa chỉ IP của Việt Nam nằm trong mạng botnet, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam ở mức 21,2 nghìn tỷ (tương đương 883 triệu USD).
Hình 1. Mô hình Honeynet trong hệ thống mạng
Trong một hệ thống Honeynet bao gồm ba module chính:
- Module điều khiển dữ liệu (hay kiểm soát dữ liệu): Có nhiệm vụ kiểm soát dữ liệu vào/ra của hệ thống Honeynet, kiểm soát hoạt động của các tác nhân độc hại, ngăn chặn kẻ tấn công sử dụng hệ thống mạng Honeynet để tấn công mạng hay gây tổn hại cho các hệ thống bên ngoài khác. Công cụ chính được sử dụng trong module này là Firewall Iptables và Snort IDS.
- Module thu nhận dữ liệu: Có nhiệm vụ thu thập thông tin, giám sát và ghi lại các hành vi của kẻ tấn công bên trong hệ thống Honeynet. Để thực hiện được nhiệm vụ này thì Honeynet có thể sử dụng công cụ Sebek client - server.
- Module phân tích dữ liệu: Có nhiệm vụ hỗ trợ phân tích dữ liệu thu nhận được nhằm xác định các kỹ thuật, công cụ và mục đích tấn công của tin tặc. Từ đó, giúp quản trị viên có thể đưa ra các biện pháp phòng chống kịp thời. Các công cụ chính được sử dụng là Walley, Hflow.
Hình 2. Mô hình kiến trúc logic của Honeynet
Đây là một trong những kỹ thuật phát hiện botnet phổ biến nhất. Kỹ thuật này thực hiện dựa trên việc thu thập và so sánh các lưu lượng mạng trong Honeynet với một mô hình lưu lượng mạng bình thường. Các lưu lượng mạng bất thường có thể là dấu hiệu của botnet đang hoạt động trên Honeynet. Các phương pháp phân tích dữ liệu mạng thường dùng như:
- Phân tích header: Phân tích các thông tin header của các gói tin mạng để xác định các kết nối mạng và các giao thức được sử dụng.
- Phân tích thông tin payload: Phân tích các thông tin payload của các gói tin mạng để xác định các đối tượng và hành động của chúng.
- Phân tích kết nối: Phân tích kết nối vào/ra để xác định các kết nối không thường xuyên, bất thường hoặc các kết nối giữa các máy tính không liên quan.
- Phân tích tệp tin log: Kỹ thuật phân tích các tệp tin log để tìm kiếm các hoạt động bất thường và phát hiện botnet.
Phân tích dữ liệu hệ thống phát hiện botnet là một quá trình phức tạp liên quan đến nhiều quy trình. Đầu tiên là thu thập dữ liệu từ nhiều nguồn khác nhau. Dữ liệu sau đó được phân tích so sánh với danh sách các mẫu đã biết của botnet từ đó loại ra khỏi hệ thống. Các phương pháp phân tích dữ liệu hệ thống bao gồm:
- Phân tích nhật ký hệ thống: Nhật ký hệ thống có thể cung cấp thông tin về các hoạt động của hệ thống, bao gồm các kết nối mạng, truy cập vào tệp và tài nguyên cũng như hoạt động của người dùng. Bằng cách phân tích nhật ký hệ thống, các chuyên gia bảo mật có thể tìm kiếm các mẫu bất thường có thể chỉ ra sự hiện diện của botnet.
- Phân tích các tiến trình độc hại: Botnet thường sử dụng các tiến trình độc hại để thực hiện các hành vi tấn công. Kỹ thuật này sử dụng các công cụ phân tích hệ thống để phát hiện các tiến trình độc hại như các tiến trình được gắn cờ (flag) hoặc các tiến trình có tên giống nhau. Phân tích các tiến trình đang chạy hoặc các tiến trình đã kết thúc để xác định các tiến trình khả nghi hoặc độc hại.
- Sử dụng các công cụ rà quét và phân tích mã độc: Có thể sử dụng các công cụ quét mã độc như anti-malware để phát hiện các mã độc trong các tệp lưu trữ hệ thống hoặc trong các gói tin lưu lượng mạng. Ngoài ra, có thể dùng các công cụ phân tích mã độc như IDA Pro, Ghidra, OllyDbg hay YARA để tìm ra các tính năng và cấu trúc của mã độc. Trong đó, IDA Pro có thể được sử dụng trong môi trường Honeynet để phân tích các mẫu mã độc, dựng lại cấu trúc chương trình, tìm hiểu cách hoạt động của mã độc và nắm bắt các phương pháp tấn công.
Các kỹ thuật phân tích hành vi được sử dụng để phát hiện các hành vi tấn công và các hoạt động trao đổi dữ liệu giữa botnet và tin tặc để từ đó phát hiện ra botnet. Các phương pháp phân tích hành vi bao gồm:
- Phát hiện các kết nối đến các địa chỉ IP đáng ngờ: Botnet thường liên lạc với các máy chủ điều khiển và ra lệnh từ xa (C&C) để nhận lệnh và gửi thông tin về hoạt động. Kỹ thuật này sử dụng các công cụ phân tích mạng để phát hiện các kết nối đến các địa chỉ IP đáng ngờ và các máy chủ C&C.
- Phân tích giao tiếp giữa các bot và máy chủ điều khiển: Kỹ thuật này sử dụng các công cụ giám sát và phân tích mạng để phân tích các giao tiếp giữa các bot và máy chủ điều khiển nhằm phát hiện các lệnh điều khiển bot và các hoạt động lạ.
Phương pháp phát hiện botnet dựa trên Honeynet cho phép thu thập thông tin về các hoạt động của botnet một cách chi tiết, toàn diện và chính xác. Honeynet giúp các chuyên gia bảo mật hiểu rõ hơn về cách thức hoạt động của botnet và tìm ra các cách để ngăn chặn các cuộc tấn công này trước khi chúng xảy ra.
Phương pháp này giúp phát hiện botnet một cách hiệu quả và có thể giúp cho các chuyên gia bảo mật phát hiện và ngăn chặn sớm các cuộc tấn công. Ngoài ra, Honeynet cung cấp môi trường an toàn để phân tích các mẫu mã độc mới, để phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công.
Triển khai Honeynet có thể tốn kém về chi phí, thời gian và phức tạp về mặt kỹ thuật. Honeynet không thể phát hiện được các botnet sử dụng các kỹ thuật ẩn danh và che giấu hoạt động của mình. Do đó, các tin tặc có thể nhận ra Honeynet và ẩn mình, không thực hiện các thao tác độc hại để tránh bị phát hiện. Bên cạnh đó, phương pháp này có thể làm chậm mạng lưới của tổ chức nếu Honeynet được triển khai trên mạng lớn hoặc không được quản lý chặt chẽ.
- Sử dụng học máy và trí tuệ nhân tạo: Học máy và trí tuệ nhân tạo đang trở thành một lĩnh vực quan trọng trong việc phát hiện và ngăn chặn botnet. Các kỹ thuật này có thể được áp dụng để phân tích lưu lượng mạng tự động, phát hiện các hành vi lạ và phát hiện botnet một cách nhanh chóng và chính xác hơn. Thông qua kết hợp phương pháp này, Honeynet có thể tự động hóa quá trình phát hiện botnet và giảm thiểu sự can thiệp của con người.
- Mở rộng Honeynet đến các hệ thống phân tán: Honeynet truyền thống thường được triển khai trên một hệ thống đơn lẻ để giả lập một mạng lưới. Tuy nhiên, các botnet hiện nay thường được triển khai trên các hệ thống phân tán và phức tạp hơn. Do đó, một hướng phát triển tiếp theo là mở rộng Honeynet đến các hệ thống phân tán để tăng cường khả năng phát hiện botnet.
- Kết hợp Honeynet với các phương pháp phát hiện khác: Honeynet là một phương pháp phát hiện botnet hiệu quả, nhưng nó cũng có nhược điểm là không thể phát hiện các botnet mới và không xác định được các hành vi tấn công khác. Do đó, kết hợp Honeynet với các phương pháp phát hiện khác như Hệ thống thông tin tình báo về mối đe dọa (Threat Intelligence), giám sát hệ thống và giám sát người dùng có thể giúp tăng cường khả năng phát hiện botnet.
Phát hiện botnet dựa trên Honeynet là một phương pháp phổ biến và hiệu quả. Phương pháp này cho phép các chuyên gia bảo mật phát hiện và thu thập thông tin về các hoạt động của botnet, từ đó thu thập các mẫu mã độc mới, phát hiện các lỗ hổng bảo mật chưa được biết đến và phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công. Tuy nhiên, nó cũng có những hạn chế và cần được quản trị cẩn trọng để đảm bảo tính hiệu quả và an toàn cho hệ thống mạng.
Nguyễn Văn Đường (Trường Cao đẳng Kỹ thuật Thông tin, Binh chủng Thông tin Liên lạc)
15:00 | 15/07/2024
17:00 | 30/08/2024
15:00 | 26/01/2024
12:00 | 16/03/2023
13:13 | 29/03/2012
16:00 | 09/08/2024
Hiện nay, lĩnh vực thương mại điện tử đang trở nên phổ biến và phát triển mạnh mẽ, phục vụ nhu cầu mua sắm, trao đổi hàng hóa và dịch vụ cho hàng tỉ người dùng trên toàn cầu thông qua phương tiện điện tử và Internet. Những thách thức chính mà thương mại điện tử phải đối mặt hiện nay đó là các hình thức lừa đảo qua mạng và đánh cắp thông tin người dùng. Bài báo này trình bày những thách thức, yêu cầu đặt ra và những giải pháp an toàn cơ bản cho hệ thống thương mại điện tử hiện nay.
14:00 | 05/08/2024
Mỗi quốc gia sẽ có các quy định và chính sách riêng để bảo vệ dữ liệu cá nhân, nhưng có một số nguyên tắc và biện pháp chung mà hầu hết các quốc gia áp dụng để đảm bảo an toàn và quyền riêng tư cho dữ liệu cá nhân của công dân. Dưới đây là một số cách mà các nước trên thế giới áp dụng bảo vệ dữ liệu cá nhân cho công dân của mình.
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
10:00 | 03/10/2023
Với sự gia tăng nhanh chóng của các mối đe dọa mạng tinh vi, các tổ chức ngày nay đang phải đối mặt với những thách thức lớn trong việc ngăn chặn và giảm thiểu các cuộc tấn công mạng. Để chống lại điều này, việc chia sẻ và phân tích thông tin tình báo về mối đe dọa vì thế càng trở nên mang tính cấp thiết và quan trọng. Nền tảng chia sẻ thông tin phần mềm độc hại (MISP) chính là một khuôn khổ nổi bật nhằm tạo điều kiện trao đổi thông tin tình báo về mối đe dọa giữa các tổ chức và cộng đồng an ninh mạng. Bài viết này cung cấp đánh giá cơ bản về nền tảng MISP, thảo luận về kiến trúc, các tính năng chia sẻ mối đe dọa cũng như những triển vọng của nó trong việc thúc đẩy phòng thủ an ninh mạng chủ động.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Bộ nhớ RAM là một trong những nơi chứa các thông tin quý báu như mật khẩu, khóa mã, khóa phiên và nhiều dữ liệu quan trọng khác khiến nó trở thành một trong những mục tiêu quan trọng đối với tin tặc. Tấn công phân tích RAM có thể gây tiết lộ thông tin, thay đổi dữ liệu hoặc khai thác các lỗ hổng bảo mật trong hệ thống, đây đang là một hình thức tấn công bảo mật nguy hiểm đối với dữ liệu, chúng tập trung vào việc truy cập, sửa đổi hoặc đánh cắp thông tin người dùng. Bài báo sau đây sẽ trình bày về các nguy cơ, phương pháp tấn công phân tích RAM và những biện pháp bảo vệ để ngăn chặn hoạt động tấn công này.
13:00 | 30/09/2024