Botnet là một mạng gồm các máy tính bị nhiễm có thể được điều khiển từ xa và buộc phải gửi thư rác, phát tán phần mềm độc hại hoặc thực hiện các cuộc tấn công DDoS – mà không có sự đồng ý của chủ sở hữu thiết bị. Tìm hiểu cách thức hoạt động của botnet và cách bảo vệ máy tính của bạn chống lại chúng, cũng như phần mềm độc hại mà chúng thường mang theo bằng công cụ bảo vệ botnet miễn phí và đáng tin cậy.

Botnet là gì?Botnet hoạt động như thế nào? Làm thế nào bạn chặn botnet

Định nghĩa botnet: Botnet là gì?

Botnet là một nhóm máy tính được liên kết với nhau bằng phần mềm độc hại và được kiểm soát bởi người tạo botnet, được gọi là Bot Herder. Những kẻ chăn nuôi bot lây nhiễm các máy tính để tạo thành các mạng botnet mà chúng kiểm soát một nhóm để bắt đầu các cuộc tấn công mạng quy mô lớn, gửi thư rác và tiến hành các chiến dịch lừa đảo.

Ý nghĩa của botnet là “robot network” , và các máy tính mạng botnet được gọi là bot hoặc zombie computers. Một số mạng botnet bao gồm hàng trăm hoặc thậm chí hàng nghìn máy tính, khiến chúng trở thành một trong những mối đe dọa trực tuyến lớn nhất hiện nay.

Botnet hoạt động như thế nào?

Mọi thiết bị trong mạng botnet được liên kết thông qua internet với Bot Herder, kẻ kiểm soát tất cả các máy tính và sử dụng chúng để thực hiện một loạt tội phạm mạng. Hầu như bất kỳ thiết bị kết nối internet nào cũng có thể là một phần của mạng botnet, từ máy tính và bộ định tuyến đến thiết bị IoT thông minh như TV….

Cách tạo botnet

Để tạo và sử dụng botnet, tin tặc cần hoàn thành một cuộc tấn công 3 giai đoạn: lây nhiễm thiết bị của nạn nhân, phát triển botnet và cuối cùng là kích hoạt botnet.

- Lây nhiễm nạn nhân: Người chăn nuôi bot phải đưa phần mềm độc hại botnet của họ vào máy tính của nạn nhân. Việc tải xuống và cài đặt botnet thường được thực hiện thông qua phần mềm độc hại hoặc bằng các kỹ thuật xã hội.

Tin tặc có thể lây nhiễm cho nạn nhân thông qua phần mềm độc hại Trojan, bằng cách lây nhiễm các trang web có quảng cáo độc hại có thể tấn công khách truy cập, bằng cách khai thác các lỗ hổng bảo mật hoặc bằng các cuộc tấn công lừa đảo nạn nhân cài đặt phần mềm độc hại.

- Lây nhiễm mạng botnet: Máy tính zombie trong mạng botnet có thể được sử dụng bởi bot herder để lây nhiễm các thiết bị khác. Một số phần mềm độc hại botnet có thể tự động lây lan bằng cách quét các mạng để tìm các thiết bị dễ tấn công và lây nhiễm chúng khi tìm thấy.

Kỹ thuật này đặc biệt hiệu quả khi bot herder sử dụng lổ hổng Zero-day chưa thể chống lại.

- Kích hoạt mạng botnet: Khi mạng botnet mới đạt đến kích thước đủ lớn, kẻ chăn dắt bot có thể sử dụng sức mạnh tổng hợp của tất cả các thiết bị bị nhiễm cho bất kỳ hoạt động nào, từ các cuộc tấn công DdoS tàn phá đến khai thác điện tử.

Botnet là gì?Botnet hoạt động như thế nào? Làm thế nào bạn chặn botnet

Botnet có thể làm gì?

Sau khi lây nhiễm máy tính hoặc thiết bị khác, tin tặc có được quyền truy cập cấp quản trị viên vào hệ điều hành (OS) và các tệp của nó. Họ có thể sử dụng quyền truy cập này để ăn cắp dữ liệu từ máy tính, theo dõi máy tính khi đang sử dụng hoặc kiểm soát hành động của máy tính.

Đây là những gì một người chăn nuôi bot kiểm soát botnet có thể làm với máy tính zombie:

- Đọc/ghi dữ liệu hệ thống: Một hacker không chri có thể đọc dữ liệu cấp hệ thống trên máy tính zombie mà còn có thể thay đổi dữ liệu đó và ghi dữ liệu mới.

- Thu thập dữ liệu cá nhân: Bot herder có thể sàng lọc các tệp trên máy tính zombie và thu thập dữ liệu cá nhân nhạy cảm, bao gồm mật khẩu và thông tin tài chính.

- Theo dõi nạn nhân: Với quyền truy cập cấp hệ thống, bot herder có thể thấy bất kỳ ai sử dụng máy tính zombie đang làm gì.

- Gửi dữ liệu: Nhiều botnet được sử dụng trong các chiến dịch gửi email hàng loạt, chẳng hạn như các botnet thư rác tạo ra các email rác. Một bot herder có thể khiến máy tính zombie gửi email, tệp, tin nhắn và các loại dữ liệu khác.

- Cài đặt ứng dụng: Botnet có thể là giai đoạn đầu tiên của một cuộc tấn công phần mềm độc hại lớn. Với quyền truy cập vào rất nhiều máy tính, những kẻ chăn nuôi bot có thể dễ dàng lây nhiễm tất cả các máy tính trong mạng của chúng bằng phần mềm tống tiền, phần mềm gián điệp, phần mềm quảng cáo và các loại phần mềm độc hại khác.

- Lây nhiễm các thiết bị khác: Máy tính zombie có thể quét các mạng mà chúng đang truy cập để tìm các nạn nhân tiềm năng. Kỹ thuật này đặc biệt hiệu quả khi phần mềm độc hại botnet lây lan qua các lỗ hổng an ninh mạng.

Làm thế nào để tin tặc kiểm soát botnet của họ?

Hầu hết các botnet có một trong hai dạng: một botnet tập trung với giao tiếp trực tiếp từ người chăn nuôi bot đến từng máy tính zombie và một hệ thống phi tập trung với nhiều liên kết giữa tất cả các thiết bị bị nhiễm.

 - Tập trung: mô hình Client – Server

Mạng botnet tập trung sử dụng cấu trúc Client – Server của kiến trúc mạng truyền thông để giao tiếp với các thiết bị trong mạng botnet từ server chỉ huy và điều khiển(C&C). Đó là một hệ thống hiệu quả với một điểm yếu rõ ràng – các máy chủ C&C rất dễ tìm và hủy kích hoạt.

Sau khi máy chủ C&C bị gỡ xuống, bot herder không thể giao tiếp với mạng botnet của họ nữa.

Botnet là gì?Botnet hoạt động như thế nào? Làm thế nào bạn chặn botnet

- Phi tập trung: mô hình ngang hàng

Các mô hình mạng botnet ngang hàng tiên tiến hơn, đã từ bỏ mô hình Client – Server để chuyển sang cấu ngang hàng (P2P) với giao tiếp trải rộng trên toàn bộ mạng. Mỗi thiết bị bị nhiễm có thể giao tiếp với các thiết bị khác, loại bỏ nhu cầu về một máy chủ C&C duy nhất.

So với các botnet Client – Server, các botnet P2P khó bị phá vỡ hơn nhiều.

Botnet là gì?Botnet hoạt động như thế nào? Làm thế nào bạn chặn botnet

Botnet có thể làm gì?

- Khởi động các cuộc tấn công DDoS: Trong một cuộc tấn công từ chối dịch vụ (DDoS) phân tán, bot herder khiến tất cả các máy tính trong mạng botnet áp đảo một máy chủ với lưu lượng truy cập đồng thời và liên tục. Điều này có thể nhanh chóng đóng cửa các trang web và thậm chí toàn bộ doanh nghiệp. Một cuộc tấn công DDoS năm 2019 đã khiến Wikipedia ngừng hoạt động ở một số quốc gia trên thế giới.

- Tiến hành các chiến dịch thư rác và lừa đảo: Botnet thường được sử dụng trong các chiến dịch gửi thư hàng loạt, vì chúng có thể gửi vô số email cùng một lúc. Các mạng botnet thư rác sẽ gửi một lượng lớn thư rác, nhưng những mạng khác có thể là các cuộc tấn công lừa đảo và các trò gian lận khác.

- Khai thác tiền điện tử: Khi tiền điện tử trở nên phổ biến hơn, những người chăn nuôi bot ngày càng sử dụng mạng botnet của họ làm công cụ khai thác. Đó là cryptojacking trên quy mô lớn và tất cả số tiền thu được sẽ quay trở lại người chăn nuôi bot.

- Giám sát nạn nhân và đánh cắp thông tin cá nhân: Không phải tất cả các mạng botnet đều được huy động để tán công người khác. Một số kẻ chăn nuôi bot để mạng botnet của họ không hoạt động và sử dụng chúng để theo dõi nạn nhân và đánh cắp dữ liệu cá nhân nhạy cảm – bao gồm thông tin đăng nhập và thông tin tài chính.

- Lây nhiễm cho nạn nhân nhiều phần mềm độc hại hơn: Botnet là nhóm mục tiêu sẵn sàng cho các cuộc tấn công phần mềm độc hại nguy hiểm hơn, chẳng hạn như ransomware. Với một mạng botnet sẵn có, bot herder có thể dễ dàng triển khai phần mềm tống tiền trên các máy tính bị nhiễm.

- Tạo doanh thu quảng cáo gian lận: Trong một trò lừa đảo phổ biến, những kẻ chăn nuôi bot có thể thuê không gian quảng cáo trên một trang web, sau đó phối hợp mạng botnet của chúng để nhập vào quảng cáo hàng loạt. Mỗi lần nhấp chuyển thành một khoản thanh toán cho bot herder.

Ví dụ về Botnet

Botnet đã đứng đằng sau một số cuộc tấn công mạng phá hoại nhất trong những năm gần đây. Dưới đây là một cái nhìn sâu hơn về một số botnet khét tiếng nhất:

1. Conficker

Với hơn 10,5 triệu thiết bị nằm dưới sự kiểm soát của nó vào thời kỳ đỉnh cao vào năm 2008, mạng botnet Conficker vẫn là một trong những mạng botnet lớn nhất từng được tạo ra. Một loại worm của botnet, Conficker lây lan với tốc độ chưa từng thấy.

Sau khi tiếp cận các mạng lưới chính phủ trên khắp Châu Âu, Conficker đã gây ra hàng triệu thiệt hại và sẵn sàng tàn phá trên toàn thế giới. Nhưng may mắn thay, botnet chưa bao giờ được sử dụng trong một cuộc tấn công DDoS. Nó hiện được cho là tồn tại trên khoảng 500.000 máy tính trên khắp thế giới.

2. Gameover ZeuS

Một mạng botnet P2P được mã hóa có nguồn gốc từ dòng phần mềm độc hại ZeuS, Gameover ZeuS nổi tiếng được sử dụng để đánh cắp thông tin đăng nhập ngân hàng của hàng triệu nạn nhân. Vào thời điểm nó bị tháo dỡ, Gameover Zeus được cho là đã gây thiệt hại hơn 100 triệu USD.

Vào năm 2013, botnet Gameover ZeuS đã được sử dụng để lây nhiễm mã độc tống tiền CryptoLocker cho nạn nhân. Cuộc tấn công ransomware tàn khốc đã tống tiền hàng triệu đô la bitcoin từ các nạn nhân trước khi botnet Gameover ZeuS bị đóng cửa vào năm 2014 bởi Operation Tovar, một lực lượng đặc nhiệm quốc tế bao gồm FBI và Europol.

3. Mirai

Nhắm mục tiêu các thiết bị Linux như bộ định tuyến và webcam, botnet Mirai được phát hiện vào năm 2016 và được xác định là chịu trách nhiệm cho một số cuộc tấn công DDoS cao cấp. Các máy bị nhiễm Mirai quét internet để tìm các thiết bị IoT bằng mật khẩu mặc định và lây nhiễm chúng khi bất kỳ thiết bị nào bị phát hiện.

Sau làn sóng tấn công ban đầu vào tháng 9 năm 2016, mã nguồn của Mirai đã được xuất bản trực tuyến – cho phép các nhà phát triển phần mềm độc hại khác học hỏi từ mã nguồn đó và tạo ra phần mềm độc hại botnet thậm chí còn tốt hơn.

4. Meris

Mạng botnet Meris đã làm nổ tung “mạng botnet Twitter” vào tháng 9 năm 2021 sau khi nó tấn công công ty internet Yandex của Nga với mức kỷ lục 21,8 triệu yêu cầu mỗi giây. Mạng botnet Meris bao gồm khoảng 250.000 thiết bị và cũng đã tấn công nhà cung cấp cơ sở hạ tần web Cloudflare vào đầu năm.

Làm thế nào để biết máy tính của bạn có phải là một phần của mạng botnet hay không?

Vì các mạng botnet thường không sử dụng sức mạnh xử lý đáng kể nên có thể rất khó để biết liệu máy tính của bạn có phải là một phần của botnet hay không. Nhưng có một số cách khác nhau để tìm hiểu xem máy tính của bạn có bị kết nối với mạng botnet hay không.

- Internet bị chậm đột ngột hoặc băng thông tăng đột biến: Cho dù để gửi email rác hay khởi động một cuộc tấn công DDoS, thì băng thông rất quan trọng đối với mạng botnet. Tốc độ internet tăng hoặc giảm băng thông đột ngột có thể cho thấy rằng một mạng botnet đang hoạt động ở chế độ nền.

- Những thay đổi không giải thích được đối với hệ thống của bạn: Một bot herder có thể thay đổi các tệp hệ thống của bạn. Nếu bạn nhận thấy bất kỳ thay đổi nào mà bạn không thể giải thích được, thì có thể ai đó đã thực hiện chúng.

- Không thể đóng các quy trình: Phần mềm độc hại botnet có thể ngăn bạn đóng các chương trình mà nó cần để thực hiện nhiệm vụ của mình. Nếu có một ứng dụng mà bạn dường như không thể đóng, thì đó có thể là một mạng botnet đang hoạt động.

- Không thể cập nhật hệ điều hành: Nhiều botnet sử dụng các lỗ hổng hệ điều hành và phần mềm khác để lây nhiễm thiết bị. Một số phần mềm độc hại botnet có thể ngăn chặn hệ điều hành của bạn cập nhật để nó có thể tồn tại trên hệ thống của bạn.

- Các quy trình không xác định trong Task Manager: Trên Windows, Task Manager hiển thị cho bạn tất cả các quy trình hiện đang chạy trên máy tính của bạn. Nếu bạn thấy bất cứ điều gì không xác đinh, hãy kiểm tra nó ngay, vì rất có thể nó là phần mềm độc hại botnet.

- Công cụ chống virus của bạn phát hiện phần mềm độc hại botnet: Nhiều công cụ chống virus miễn phí tốt nhất là những trình quét botnet tuyệt vời. Họ sẽ quét các mạng botnet và các mối đe dọa khác nhau, sau đó xóa phần mềm độc hại nếu tìm thấy.

Làm thế nào để bảo vệ chống lại botnet

- Luôn cập nhật phần mềm của bạn: Các bản cập nhật phần mềm bao gồm các bản vá bảo mật chống lại các điểm yếu đã biết. Cập nhật phần mềm của bạn bất cứ khi nào bạn có thể để loại bỏ phần mềm độc hại botnet.

- Không mở các tệp đính kèm  không mong muốn: Chỉ tải xuống và mở các tệp đính kèm mà bạn mong muốn nhận được từ những người bạn biết. Ngay cả những tệp đính kèm không mong muốn từ các nguồn đã biết cũng có thể là mối nguy hiểm lừa đảo nếu liên hệ của bạn đã bị tấn công.

- Không nhấp vào các liên kết: Email lừa đảo thường chứa các liên kết dẫn đến các trang web độc hại có thể cài đặt phần mềm độc hại thông qua quảng cáo độc hại hoặc tải xuống theo ổ đĩa.

- Tránh xa các web mờ ám: Tìm hiểu cách kiểm tra độ an toàn của các trang web. Nếu một trang web có vẻ không đáng tin cậy, hãy đóng cửa sổ hoặc tab.

- Không sử dụng dịch vụ tải xuống P2P: Tải xuống P2P, chẳng hạn như torrent, có thể chứa phần mềm độc hại botnet. Thay vào đó, hãy lấy phương tiện của bạn từ các nguồn hợp pháp, đáng tin cậy.

- Tạo mật khẩu mỗi khi thiết lập thiết bị mới: Nếu bạn đang cài đặt bộ định tuyến, webcame hoặc thiết bị IoT mới, hãy thay đổi thông tin đăng nhập ngay lập tức. Điều này ngăn phần mềm độc hại botnet như Mirai vượt qua bằng cách sử dụng mật khẩu mặc định.

- Sử dụng firewall: Một firewall tốt sẽ chặn các kết nối từ mọi phần mềm độc hại botnet đã được cài đặt đến máy chủ C&C của nó hoặc các thiết bị khác trên mạng botnet P2P.

- Sử dụng mật khẩu mạnh: Một số phần mềm độc hại botnet sẽ xâm chiếm cho đến khi mật khẩu bị bẻ khóa. Tạo mật khẩu hoặc cụm mật khẩu dài và duy nhất để chống lại kiểu tấn công này nhiều hơn.

- Sử dụng xác thực hai yếu tố (2FA): 2FA ngăn phần mềm độc hại botnet xâm nhập vào thiết bị và tài khoản của bạn nếu mật khẩu của bạn đã bị xâm nhập.

- Sử dụng phần mềm chống virus: Một công cụ chống virus đáng tin cậy sẽ cung cấp cho bạn tính năng quét và loại bỏ botnet miễn phí đồng thời bảo vệ bạn khỏi các loại phần mềm độc hại khác.