Mạng botnet Sality hay còn gọi là KuKu, là một mạng lưới các thiết bị máy tính bị nhiễm phần mềm độc hại và được điều khiển bởi tin tặc từ xa. Một mạng botnet có thể bao gồm hàng trăm nghìn, thậm chí hàng triệu máy tính. Mỗi bot đóng vai trò như một công cụ để phát tán mã độc, virus và tấn công DDoS. Loại mã độc này tấn công vào các máy tính sử dụng hệ điều hành Windows.
APT (Advanced Persistent Threat) là thuật ngữ để mô tả một cuộc tấn công kỹ thuật cao có chủ đích nhằm đánh vào những yếu điểm của hệ thống. Mục tiêu của những cuộc tấn công này thường là các cơ quan an ninh, cơ quan chính phủ và các doanh nghiệp lớn.
Thông thường các mạng botnet hoạt động dựa trên sự chỉ đạo của Bot Master thông qua các máy chủ C&C. Trong đó các máy tính nhiễm mã độc sẽ trở thành Bot và nhận lệnh điều khiển từ C&C Server. Các lệnh điều khiển thường là tấn công DDoS, phát tán mã độc, gửi tin nhắn spam... Mạng botnet Sality chủ yếu để phát tán thư rác, tạo các proxy, ăn cắp thông tin cá nhân, lây nhiễm vào các máy chủ web biến các máy chủ này thành máy chủ điều khiển của mạng botnet để tiếp tục mở rộng mạng botnet.
Hình thức tấn công DDoS botnet xuất hiện với tần suất cao và quy mô lớn. Theo đó, tin tặc sử dụng một lượng lớn bot để gửi hàng loạt yêu cầu truy cập đến mục tiêu, đẩy hệ thống vào trạng thái quá tải, tiêu tốn hết băng thông và khiến cho các dịch vụ mạng không thể hoạt động. Có hai hình thức tấn công DDoS botnet phổ biến hiện nay là TCP SYN và UDP flood. Để tăng cường khả năng tấn công, tin tặc thường kết hợp với việc sử dụng HTTP flood hay còn được gọi là spidering nhằm tấn công đối tượng trên web gây ra tình trạng đình trệ hoạt động của hệ thống hoặc dịch vụ mạng.
Ngoài ra, DDoS botnet còn làm gián đoạn các dịch vụ trực tuyến của cơ quan, tổ chức, doanh nghiệp, bao gồm cửa hàng trực tuyến, ngân hàng trực tuyến và các ứng dụng di động khác, gây khó khăn trong quá trình sử dụng và tạo trải nghiệm không tốt cho người dùng, ảnh hưởng rất lớn đến với uy tín và doanh thu của cơ quan, tổ chức, doanh nghiệp.
Theo báo cáo thống kê kết nối chia sẻ dữ liệu về mã độc, giám sát của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), tính đến tháng 3/2024 đã ghi nhận 364.369 địa chỉ IP của Việt Nam nằm trong mạng botnet (giảm 32.78% so với tháng 01/2024), trong đó có 95 địa chỉ IP của cơ quan, tổ chức nhà nước (6 địa chỉ IP Bộ/Ngành, 89 địa chỉ IP Tỉnh/Thành).
Hình 1. Một số cơ quan, địa phương có địa chỉ IP nằm trong mạng botnet
Theo thống kê của NCSC, chỉ tính riêng tháng 3/2024, hệ thống kỹ thuật của NCSC đã ghi nhận có 76.507 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước. Số lượng điểm yếu, lỗ hổng nêu trên là rất lớn, do đó, Cục An toàn thông tin đã chỉ đạo NCSC triển khai đánh giá, xác định các lỗ hổng nguy hiểm, có ảnh hưởng trên diện rộng và hướng dẫn các Bộ/Ngành khắc phục. Đặc biệt có một số lỗ hổng đã và đang được các nhóm tấn công lợi dụng để thực hiện các cuộc tấn công APT. Bảng 1 thể hiện một số lỗ hổng vẫn còn tồn tại trên nhiều máy chưa được xử lý.
Bảng 1. Một số lỗ hổng đang tồn tại trên nhiều máy tính
Bên cạnh các điểm yếu/lỗ hổng ghi nhận, Hệ thống kỹ thuật của NCSC còn phân tích và phát hiện nhiều máy tính của cơ quan nhà nước có kết nối đến địa chỉ IP/Domain nghi ngờ độc hại do các phần mềm phòng chống mã độc đã ghi nhận. Thống kê TOP 6 kết nối nghi ngờ phát sinh phổ biến như Bảng 2.
Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Một số lỗ hổng trên các sản phẩm/dịch vụ phổ biến tại Việt Nam: Totolink: CVE-2022-25134, CVE[1]2022-25133; Huawei: CVE-2021-40043, CVE-2021- 22441,Foxit: CVE-2022-24356, CVE-2022-24368; TP-Link: CVE-2022-22922, CVE-2022-24354; IBM: CVE-2021-39026, CVE-2021-38935; WatchGuard: CVE-2022-23176, CVE-2022-25363; Apache: CVE-2022-24288, CVE-2021-45229.
Một số tên miền độc hại có nhiều kết nối từ Việt Nam như: differentia.ru; a.asense. in; disorderstatus.ru; ww2.bbbjdnxbgp3.ru; atomictrivia.ru; a.deltaheavy.ru; morphed.ru; sdk. asense.in; ydbnsrt.me; soplifan.ru.
Sử dụng tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS)
Tường lửa hoạt động như một bức tường ảo giữa mạng nội bộ và mạng công cộng, kiểm soát và giám sát lưu lượng mạng đi qua. Khi có một gói tin mạng gửi đến hệ thống, tường lửa sẽ quét gói tin này và xác định liệu có hợp lệ và an toàn hay không. Nếu gói tin này không đáng tin cậy hoặc đang mang tính chất đe dọa, tường lửa sẽ không cho gói tin đó tiếp cận hệ thống.
Hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng thủ xâm nhập (IPS) là hai công nghệ chống xâm nhập được sử dụng phổ biến trong mạng và hệ thống bảo mật hiện nay. Cụ thể, IDS hoạt động bằng cách giám sát lưu lượng mạng và dữ liệu trong hệ thống, từ đó phát hiện các hành vi không bình thường hoặc biểu hiện của các cuộc tấn công từ botnet. Điều này giúp tăng tính tự động hóa và trong việc ngăn chặn các cuộc tấn công từ botnet.
Sử dụng giải pháp bảo vệ ứng dụng web và API (WAAP) hoặc chống botnet bằng công nghệ AI Load Balancing
WAAP là tập hợp các giải pháp tiên tiến giúp bảo vệ các ứng dụng web và API khỏi các cuộc tấn công SQL injection, XSS và tấn công API. Bên cạnh đó, WAAP còn giúp doanh nghiệp chống lại các cuộc tấn công DDoS botnet. Bằng cách kiểm soát lưu lượng truy cập và xác định những hành vi không bình thường, WAAP giúp giảm thiểu tác động của tấn công lên hệ thống và duy trì tính sẵn sàng hoạt động của ứng dụng. Ngoài ra, giải pháp này còn có thể xác định và chặn các hành vi không hợp lệ từ người dùng và botnet, đồng thời giúp phát hiện các hình thức tấn công mới.
Sự kết hợp của hơn 2.300 PoP và dung lượng 2.600 Tbps của các Mạng phân phối nội dung (Content Delivery Network - CDN) liên minh cho phép hệ thống VNIS chống DDoS qua mạng phân tán toàn cầu. Khi một CDN bị tấn công, hệ thống cân bằng tải AI sẽ tự động chuyển đổi CDN đó sang một CDN khác mạnh hơn, giúp tối ưu hiệu suất truyền tải và ngăn chặn các tấn công áp đảo lưu lượng như botnet. TT IP/Domain nghi ngờ 1 cdn[.]specialtaskevents[.]com 2 near[.]flyspecialline[.]com 3 aitsatho[.]com 4 ak[.]feethach[.]com 5 four[.]startperfectsolutions[.]com 6 epicunitscan[.]info Bảng 2. Top 6 kết nối đến địa chỉ IP/Domain nghi ngờ độc hại
Giám sát đường truyền, giám sát lưu lượng mạng, kiểm soát truy cập
Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.
Giám sát lưu lượng mạng là một trong những phương pháp hiệu quả để phát hiện sớm các hoạt động đáng ngờ trong hệ thống. Khi triển khai giám sát lưu lượng mạng, các công cụ và hệ thống được sử dụng để theo dõi, thu thập và phân tích lưu lượng mạng trong thời gian thực. Các hoạt động mạng của hệ thống được quản lý chặt chẽ để phát hiện những bất thường nhanh chóng. Những dấu hiệu cảnh báo có thể bao gồm sự tăng đột ngột trong lưu lượng mạng, lưu lượng từ một số địa chỉ IP không xác định hoặc quá nhiều yêu cầu từ một nguồn duy nhất. Điều này giúp cho việc đối phó nhanh chóng và ngăn chặn các cuộc tấn công từ botnet trước khi chúng gây hậu quả lớn đối với hệ thống.
TÀI LIỆU THAM KHẢO [1]. Bộ thông tin và truyền thông, Báo cáo Giám sát an toàn không gian mạng quốc gia năm 2023. [2]. Chính Phủ, Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ : Về việc nâng cao năng lực phòng, chống phần mềm độc hại”. [3]. Bộ Thông tin và Truyền thông: Hướng dẫn số 2290/ BTTTT-CATTT về việc hướng dẫn kết nối, chia sẻ thông tin về mã độc giữa các hệ thống kỹ thuật. [4]. Chính phủ, Quyết định số 392/QĐ-TTg của Thủ tướng Chính phủ: Phê duyệt chương trình mục tiêu phát triển ngành công nghiệp công nghệ thông tin đến năm 2020, tầm nhìn đến năm 2025. |
Trần Minh Thảo - Học viện Cảnh sát nhân dân
09:00 | 08/03/2024
15:00 | 15/07/2024
14:00 | 22/02/2024
10:00 | 13/09/2024
13:00 | 28/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
10:00 | 16/08/2024
Trong những năm gần đây, công nghệ Deepfake đã trở nên ngày càng phổ biến hơn, cho phép tạo ra các video thực đến mức chúng ta khó có thể phân biệt với các video quay thực tế. Tuy nhiên, công nghệ này đã bị các tác nhân đe dọa lợi dụng để tạo ra những nội dung giả mạo, hoán đổi khuôn mặt nhằm mục đích lừa đảo, gây ảnh hưởng tiêu cực đến xã hội. Do đó, việc phát triển các công cụ phát hiện Deepfake mang tính cấp bách hơn bao giờ hết. Bài viết này sẽ giới thiệu tổng quan về một số kỹ thuật và công cụ phát hiện Deepfake hiệu quả.
16:00 | 04/08/2024
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Keylogger là phần cứng hoặc phần mềm có khả năng theo dõi tất cả các hoạt động thao tác nhập bàn phím, trong đó có các thông tin nhạy cảm như tên người dùng, mật khẩu thẻ tín dụng, thẻ ngân hàng, tài khoản mạng xã hội hay các thông tin cá nhân khác. Keylogger thậm chí có thể ghi lại các hành động gõ phím từ bàn phím ảo, bao gồm các phím số và ký tự đặc biệt. Bài báo sẽ hướng dẫn độc giả cách thức phát hiện và một số biện pháp kiểm tra, ngăn chặn các chương trình Keylogger nhằm bảo vệ máy tính trước mối đe dọa nguy hiểm này.
14:00 | 11/09/2024