Một số kỹ thuật phát hiện botnet bằng Honeynet

09:00 | 08/03/2024 | GP ATM

Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.

Một số kỹ thuật phát hiện botnet bằng Honeynet

TỔNG QUAN VỀ PHƯƠNG PHÁP SỬ DỤNG HONEYNET ĐỂ PHÁT HIỆN BOTNET

Botnet là một mạng máy tính bị nhiễm mã độc và chịu sự điều khiển của tin tặc. Trong khi đó, Honeynet là một mạng giả lập, bao gồm nhiều Honeypot được triển khai để mô phỏng các ứng dụng, các dịch vụ như hệ thống thực tế. Từ đó thu hút sự tấn công của các tin tặc và thu thập dữ liệu về các phương thức, hành vi tấn công của chúng.

Dữ liệu thu thập sẽ được phân tích để xác định các máy tính botnet bị chiếm đoạt và kiểm soát bởi tin tặc. Ngoài ra, Honeynet còn giúp các chuyên gia bảo mật thu thập được các mẫu mã độc mới và phát hiện các lỗ hổng bảo mật chưa được biết đến, từ đó phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Theo thông tin từ Hệ thống kỹ thuật của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Bộ Thông tin và Truyền thông, trong tháng 10/2022 đã ghi nhận 517.627 địa chỉ IP của Việt Nam nằm trong mạng botnet, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam ở mức 21,2 nghìn tỷ (tương đương 883 triệu USD).

Hình 1. Mô hình Honeynet trong hệ thống mạng

Trong một hệ thống Honeynet bao gồm ba module chính:

- Module điều khiển dữ liệu (hay kiểm soát dữ liệu): Có nhiệm vụ kiểm soát dữ liệu vào/ra của hệ thống Honeynet, kiểm soát hoạt động của các tác nhân độc hại, ngăn chặn kẻ tấn công sử dụng hệ thống mạng Honeynet để tấn công mạng hay gây tổn hại cho các hệ thống bên ngoài khác. Công cụ chính được sử dụng trong module này là Firewall Iptables và Snort IDS.

- Module thu nhận dữ liệu: Có nhiệm vụ thu thập thông tin, giám sát và ghi lại các hành vi của kẻ tấn công bên trong hệ thống Honeynet. Để thực hiện được nhiệm vụ này thì Honeynet có thể sử dụng công cụ Sebek client - server.

- Module phân tích dữ liệu: Có nhiệm vụ hỗ trợ phân tích dữ liệu thu nhận được nhằm xác định các kỹ thuật, công cụ và mục đích tấn công của tin tặc. Từ đó, giúp quản trị viên có thể đưa ra các biện pháp phòng chống kịp thời. Các công cụ chính được sử dụng là Walley, Hflow.

Hình 2. Mô hình kiến trúc logic của Honeynet

CÁC KỸ THUẬT PHÁT HIỆN BOTNET TRÊN HỆ THỐNG HONEYNET

Phân tích dữ liệu mạng

Đây là một trong những kỹ thuật phát hiện botnet phổ biến nhất. Kỹ thuật này thực hiện dựa trên việc thu thập và so sánh các lưu lượng mạng trong Honeynet với một mô hình lưu lượng mạng bình thường. Các lưu lượng mạng bất thường có thể là dấu hiệu của botnet đang hoạt động trên Honeynet. Các phương pháp phân tích dữ liệu mạng thường dùng như:

- Phân tích header: Phân tích các thông tin header của các gói tin mạng để xác định các kết nối mạng và các giao thức được sử dụng.

- Phân tích thông tin payload: Phân tích các thông tin payload của các gói tin mạng để xác định các đối tượng và hành động của chúng.

- Phân tích kết nối: Phân tích kết nối vào/ra để xác định các kết nối không thường xuyên, bất thường hoặc các kết nối giữa các máy tính không liên quan.

- Phân tích tệp tin log: Kỹ thuật phân tích các tệp tin log để tìm kiếm các hoạt động bất thường và phát hiện botnet.

Phân tích dữ liệu hệ thống

Phân tích dữ liệu hệ thống phát hiện botnet là một quá trình phức tạp liên quan đến nhiều quy trình. Đầu tiên là thu thập dữ liệu từ nhiều nguồn khác nhau. Dữ liệu sau đó được phân tích so sánh với danh sách các mẫu đã biết của botnet từ đó loại ra khỏi hệ thống. Các phương pháp phân tích dữ liệu hệ thống bao gồm:

- Phân tích nhật ký hệ thống: Nhật ký hệ thống có thể cung cấp thông tin về các hoạt động của hệ thống, bao gồm các kết nối mạng, truy cập vào tệp và tài nguyên cũng như hoạt động của người dùng. Bằng cách phân tích nhật ký hệ thống, các chuyên gia bảo mật có thể tìm kiếm các mẫu bất thường có thể chỉ ra sự hiện diện của botnet.

- Phân tích các tiến trình độc hại: Botnet thường sử dụng các tiến trình độc hại để thực hiện các hành vi tấn công. Kỹ thuật này sử dụng các công cụ phân tích hệ thống để phát hiện các tiến trình độc hại như các tiến trình được gắn cờ (flag) hoặc các tiến trình có tên giống nhau. Phân tích các tiến trình đang chạy hoặc các tiến trình đã kết thúc để xác định các tiến trình khả nghi hoặc độc hại.

- Sử dụng các công cụ rà quét và phân tích mã độc: Có thể sử dụng các công cụ quét mã độc như anti-malware để phát hiện các mã độc trong các tệp lưu trữ hệ thống hoặc trong các gói tin lưu lượng mạng. Ngoài ra, có thể dùng các công cụ phân tích mã độc như IDA Pro, Ghidra, OllyDbg hay YARA để tìm ra các tính năng và cấu trúc của mã độc. Trong đó, IDA Pro có thể được sử dụng trong môi trường Honeynet để phân tích các mẫu mã độc, dựng lại cấu trúc chương trình, tìm hiểu cách hoạt động của mã độc và nắm bắt các phương pháp tấn công.

Sử dụng các kỹ thuật phân tích hành vi

Các kỹ thuật phân tích hành vi được sử dụng để phát hiện các hành vi tấn công và các hoạt động trao đổi dữ liệu giữa botnet và tin tặc để từ đó phát hiện ra botnet. Các phương pháp phân tích hành vi bao gồm:

- Phát hiện các kết nối đến các địa chỉ IP đáng ngờ: Botnet thường liên lạc với các máy chủ điều khiển và ra lệnh từ xa (C&C) để nhận lệnh và gửi thông tin về hoạt động. Kỹ thuật này sử dụng các công cụ phân tích mạng để phát hiện các kết nối đến các địa chỉ IP đáng ngờ và các máy chủ C&C.

- Phân tích giao tiếp giữa các bot và máy chủ điều khiển: Kỹ thuật này sử dụng các công cụ giám sát và phân tích mạng để phân tích các giao tiếp giữa các bot và máy chủ điều khiển nhằm phát hiện các lệnh điều khiển bot và các hoạt động lạ.

ƯU ĐIỂM VÀ HẠN CHẾ CỦA PHƯƠNG PHÁP PHÁT HIỆN BOTNET DỰA TRÊN HONEYNET

Ưu điểm

Phương pháp phát hiện botnet dựa trên Honeynet cho phép thu thập thông tin về các hoạt động của botnet một cách chi tiết, toàn diện và chính xác. Honeynet giúp các chuyên gia bảo mật hiểu rõ hơn về cách thức hoạt động của botnet và tìm ra các cách để ngăn chặn các cuộc tấn công này trước khi chúng xảy ra.

Phương pháp này giúp phát hiện botnet một cách hiệu quả và có thể giúp cho các chuyên gia bảo mật phát hiện và ngăn chặn sớm các cuộc tấn công. Ngoài ra, Honeynet cung cấp môi trường an toàn để phân tích các mẫu mã độc mới, để phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công.

Hạn chế

Triển khai Honeynet có thể tốn kém về chi phí, thời gian và phức tạp về mặt kỹ thuật. Honeynet không thể phát hiện được các botnet sử dụng các kỹ thuật ẩn danh và che giấu hoạt động của mình. Do đó, các tin tặc có thể nhận ra Honeynet và ẩn mình, không thực hiện các thao tác độc hại để tránh bị phát hiện. Bên cạnh đó, phương pháp này có thể làm chậm mạng lưới của tổ chức nếu Honeynet được triển khai trên mạng lớn hoặc không được quản lý chặt chẽ.

HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI

- Sử dụng học máy và trí tuệ nhân tạo: Học máy và trí tuệ nhân tạo đang trở thành một lĩnh vực quan trọng trong việc phát hiện và ngăn chặn botnet. Các kỹ thuật này có thể được áp dụng để phân tích lưu lượng mạng tự động, phát hiện các hành vi lạ và phát hiện botnet một cách nhanh chóng và chính xác hơn. Thông qua kết hợp phương pháp này, Honeynet có thể tự động hóa quá trình phát hiện botnet và giảm thiểu sự can thiệp của con người.

- Mở rộng Honeynet đến các hệ thống phân tán: Honeynet truyền thống thường được triển khai trên một hệ thống đơn lẻ để giả lập một mạng lưới. Tuy nhiên, các botnet hiện nay thường được triển khai trên các hệ thống phân tán và phức tạp hơn. Do đó, một hướng phát triển tiếp theo là mở rộng Honeynet đến các hệ thống phân tán để tăng cường khả năng phát hiện botnet.

- Kết hợp Honeynet với các phương pháp phát hiện khác: Honeynet là một phương pháp phát hiện botnet hiệu quả, nhưng nó cũng có nhược điểm là không thể phát hiện các botnet mới và không xác định được các hành vi tấn công khác. Do đó, kết hợp Honeynet với các phương pháp phát hiện khác như Hệ thống thông tin tình báo về mối đe dọa (Threat Intelligence), giám sát hệ thống và giám sát người dùng có thể giúp tăng cường khả năng phát hiện botnet.

KẾT LUẬN

Phát hiện botnet dựa trên Honeynet là một phương pháp phổ biến và hiệu quả. Phương pháp này cho phép các chuyên gia bảo mật phát hiện và thu thập thông tin về các hoạt động của botnet, từ đó thu thập các mẫu mã độc mới, phát hiện các lỗ hổng bảo mật chưa được biết đến và phát triển các cơ chế bảo vệ mới để ngăn chặn các cuộc tấn công. Tuy nhiên, nó cũng có những hạn chế và cần được quản trị cẩn trọng để đảm bảo tính hiệu quả và an toàn cho hệ thống mạng.

Nguyễn Văn Đường (Trường Cao đẳng Kỹ thuật Thông tin, Binh chủng Thông tin Liên lạc)

‹ › ×

Tin liên quan

Giải mã mạng botnet NoaBot nhắm mục tiêu khai thác tiền điện tử

15:00 | 26/01/2024

Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.

Cảnh báo mạng Botnet MyloBot lan rộng toàn cầu

12:00 | 16/03/2023

Theo các nhà nghiên cứu của công ty an ninh mạng BitSight (Mỹ), một mạng Botnet có tên gọi là “MyloBot” đã lây lan và xâm nhập trên hàng nghìn hệ thống, hầu hết ở Ấn Độ, Hoa Kỳ, Indonesia và Iran. Các phát hiện mới từ BitSight chỉ ra rằng hiện có hơn 50.000 hệ thống bị nhiễm mỗi ngày.

HONEYNET- Ứng dụng và hiệu quả thực tế

13:13 | 29/03/2012

Trong rất nhiều biện pháp ngăn chặn nguy cơ đe dọa an ninh mạng thì Honeypot (tạm gọi là Mắt ong) và Honeynet (tạm gọi là Tổ ong được coi là những cạm bẫy hết sức hiệu quả. Đối với các tin tặc thì hệ thống này quả là những “Cạm bẫy đáng sợ”. Vì vậy, giới Hacker thường xuyên thông báo, cập nhật các hệ thống Honeypot, Honeynet mới được triển khai trên thế giới ở các diễn đàn Hacker, nhằm tránh “sa bẫy” những hệ thống này.

Tin cùng chuyên mục

CISA phát hành phiên bản mới của hệ thống phân tích mã độc Malware Next-Gen

13:00 | 17/04/2024

Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.

Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)

10:00 | 02/01/2024

Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.

Những thách thức về quyền riêng tư và giải pháp bảo mật cho mạng 5G

10:00 | 10/07/2023

Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.

Một phương pháp mã hóa phân vùng dữ liệu trên máy tính nhúng (Phần I)

10:00 | 21/04/2023

Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.

Tin được quan tâm

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024 | Chính sách - Chiến lược
Giải pháp phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc (Phần I)

09:00 | 10/01/2024 | Giải pháp khác

Giải pháp tăng cường an ninh mạng ở Italia

09:00 | 05/01/2024|Chính sách - Chiến lược
Cạnh tranh Mỹ - Trung về cáp quang biển toàn cầu (phần 1)

09:00 | 05/01/2024|An ninh – Quốc Phòng

CISA cung cấp dịch vụ an ninh mạng cho các tổ chức trọng yếu không thuộc Chính quyền

09:00 | 21/12/2023|CA Công cộng
5 lưu ý giúp tăng cường bảo mật công nghệ vận hành cho các doanh nghiệp sản xuất

14:00 | 14/08/2023|Giải pháp khác

GP Mật mã

Sự phát triển của lược đồ chữ ký số kháng lượng tử dựa trên hàm băm

Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.

09:00 | 01/04/2024
Về một phương pháp tấn công kênh kề lên mã khối Kalyna
Khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA trong một số tiêu chuẩn mật mã
Một số khuyến nghị về độ an toàn của hệ mật RSA (Phần I)