Các hãng thường bị lây nhiễm nhất bởi các botnet nhỏ hơn

Firms most often infected by smaller botnets

Published: 2009-09-30

Theo: http://www.securityfocus.com/brief/1018

Bài được đưa lên Internet ngày: 30/09/2009

Lời người dịch: Đây là những gì hãng an ninh Damballa đã nêu: “Botnet đã trở thành một công cụ chủ chốt trong hệ thống tội phạm không gian mạng cho những người sử dụng Internet bị lừa đảo bất hợp pháp đối với các dữ liệu hoặc tiền bạc của họ. Các botnet mà lây nhiễm cho những người sử dụng nói chung có xu hướng gia tăng nhanh chóng: Mạng các máy tính bị lây nhiễm bởi sâu Conficker, ví dụ, có lẽ đã đạt tới hơn 10 triệu các hệ thống bị tổn thương. Những người chủ bot dường như đặc biệt tập trung vào các dữ liệu bên trong mạng của các công ty, âm thầm giám sát các hoạt động của công ty cho tới khi bọn tội phạm có thể xác định được các nhân viên chủ chốt để làm tổn thương hoặc cho các dữ liệu chủ chốt để ăn cắp.

Kết quả là các botnet nhỏ nhất này trốn được một cách có hiệu quả sự dò tìm và không lộ bởi việc nằm ngoài rada an ninh và dựa vào những chủ botnet mà họ có một sự hiểu biết tốt về cách mà các hoạt động của doanh nghiệp từ bên trong”, Ollmann đã viết. “Như vậy, chúng có thể là gây hại nhiều nhất cho doanh nghiệp về lâu dài”.

Trong khi các botnet lớn có được sự chú ý lớn như sư tử của các phương tiện truyền thông, thì các botnet nhỏ hơn 100 máy lại là quy luật trong hầu hết các mạng của các doanh nghiệp bị tổn thương, theo một nghiên cứu được đưa ra tuần trước bởi hãng an ninh Damballa.

Hãng này đã phân tích 600 botnet mà nó xảy ra trong các mạng doanh nghiệp trong khoảng thời gian 3 tháng, và thấy rằng chủ yếu – 57% - đã là các botnet nhỏ hơn 100 máy. Hầu hết các mạng nhỏ hơn này có các mã được tùy biến được tạo từ việc sử dụng một trong những bộ công cụ phần mềm độc hại tự bạn làm được có sẵn một cách trực tuyến.

“Đối với tôi dường như những botnet nhỏ tập trung cao độ vào các doanh nghiệp đặc chủng – hoặc các doanh nghiệp (các) lĩnh vực theo chiều dọc – thường yêu cầu đòi hỏi một mức độ cỡ lớn về tính quen thuộc với bản thân các doanh nghiệp bị đánh thủng đó”, Gunter Ollmann, phó chủ tịch về nghiên cứu của Damballa, đã viết trong một bài trên blog.

Botnet đã trở thành một công cụ chủ chốt trong hệ thống tội phạm không gian mạng cho những người sử dụng Internet bị lừa đảo bất hợp pháp đối với các dữ liệu hoặc tiền bạc của họ. Các botnet mà lây nhiễm cho những người sử dụng nói chung có xu hướng gia tăng nhanh chóng: Mạng các máy tính bị lây nhiễm bởi sâu Conficker, ví dụ, có lẽ đã đạt tới hơn 10 triệu các hệ thống bị tổn thương. Trong tháng 3, một kẻ tạo ra botnet đã bị xử 4 năm tù vì tạo ra một botnet vài trăm ngàn máy tính.

Theo phân tích của Damballa, hãng đã thấy rằng một số botnet nhỏ hơn có lẽ đã là công việc của những người nội bộ bên trong mà, thay vì lây nhiễm độc hại cho các máy tính, thì đã lại sử dụng phần mềm bot như một công cụ quản trị từ xa.

Trong những trường hợp khác, những người chủ bot dường như đặc biệt tập trung vào các dữ liệu bên trong mạng của các công ty, âm thầm giám sát các hoạt động của công ty cho tới khi bọn tội phạm có thể xác định được các nhân viên chủ chốt để làm tổn thương hoặc cho các dữ liệu chủ chốt để ăn cắp.

“Kết quả là các botnet nhỏ nhất này trốn được một cách có hiệu quả sự dò tìm và không lộ bởi việc nằm ngoài rada an ninh và dựa vào những chủ botnet mà họ có một sự hiểu biết tốt về cách mà các hoạt động của doanh nghiệp từ bên trong”, Ollmann đã viết. “Như vậy, chúng có thể là gây hại nhiều nhất cho doanh nghiệp về lâu dài”.

While big botnets get the lion's share of attention in the media, smaller botnets of less than 100 machines are the rule among most compromise corporate networks, according to a research released last week by security firm Damballa.

The company analyzed 600 botnets that it encountered in enterprise networks in a three-month period, and found that the majority -- 57 percent -- were smaller than 100 nodes. Most of the smaller networks consisted of customized code created using one of the do-it-yourself malware kits available online.

"It looks to me as though these small botnets are highly-targeted at particular enterprises -- or enterprise vertical sector(s) -- typically requiring a sizable degree of familiarity with the breached enterprise itself," Gunter Ollmann, vice president of research for Damballa, wrote in a blog post.

Botnets have become a key tools in cybercriminals scheme to illegally bilk Internet users of their data or money. The botnets that infect general Internet users tend to grow quickly: The network of computers infected by the Conficker worm, for example, likely peaked at more than 10 million compromised systems. In March, one botmaster was sentenced to four years in prison for creating a bot net of several hundred thousand computers.

In Damballa's analysis, the firm found that some smaller botnets were likely the work of insiders who, rather than maliciously infecting machines, were using the bot software as a remote administration tool. In other cases, the bot masters appear to be specifically targeting the data inside the corporate network, quietly monitoring the company's operations until the criminals can identify key employees to compromise or key data to steal.

"The net result is that these smallest botnets efficiently evade detection and (dis)closure by staying below the security radar and relying upon botnet masters that have a good understanding of how the enterprise functions internally," Ollmann wrote. "As such, they're probably the most damaging to the enterprise in the long term."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com