Các hãng thường bị lây nhiễm nhất bởi các botnet nhỏ hơn

Firmsmost often infected by smaller botnets

Published: 2009-09-30

Theo:http://www.securityfocus.com/brief/1018

Bài được đưa lênInternet ngày: 30/09/2009

Lờingười dịch: Đây là những gì hãng an ninh Damballa đãnêu: “Botnet đã trở thành một công cụ chủ chốt tronghệ thống tội phạm không gian mạng cho những người sửdụng Internet bị lừa đảo bất hợp pháp đối với cácdữ liệu hoặc tiền bạc của họ. Các botnet mà lâynhiễm cho những người sử dụng nói chung có xu hướnggia tăng nhanh chóng: Mạng các máy tính bị lây nhiễm bởisâu Conficker, ví dụ, có lẽ đã đạt tới hơn 10 triệucác hệ thống bị tổn thương. Những người chủ botdường như đặc biệt tập trung vào các dữ liệu bêntrong mạng của các công ty, âm thầm giám sát các hoạtđộng của công ty cho tới khi bọn tội phạm có thể xácđịnh được các nhân viên chủ chốt để làm tổnthương hoặc cho các dữ liệu chủ chốt để ăn cắp.

Kếtquả là các botnet nhỏ nhất này trốn được một cáchcó hiệu quả sự dò tìm và không lộ bởi việc nằmngoài rada an ninh và dựa vào những chủ botnet mà họ cómột sự hiểu biết tốt về cách mà các hoạt động củadoanh nghiệp từ bên trong”, Ollmann đã viết. “Như vậy,chúng có thể là gây hại nhiều nhất cho doanh nghiệp vềlâu dài”.

Trong khi các botnet lớncó được sự chú ý lớn như sư tử của các phươngtiện truyền thông, thì các botnet nhỏ hơn 100 máy lại làquy luật trong hầu hết các mạng của các doanh nghiệp bịtổn thương, theo một nghiên cứu được đưa ra tuầntrước bởi hãng an ninh Damballa.

Hãngnày đã phân tích 600 botnet mà nó xảy ra trong các mạngdoanh nghiệp trong khoảng thời gian 3 tháng, và thấy rằngchủ yếu – 57% - đã là các botnet nhỏ hơn 100 máy. Hầuhết các mạng nhỏ hơn này có các mã được tùy biếnđược tạo từ việc sử dụng một trong những bộ côngcụ phần mềm độc hại tự bạn làm được có sẵn mộtcách trực tuyến.

“Đối với tôidường như những botnet nhỏ tập trung cao độ vào cácdoanh nghiệp đặc chủng – hoặc các doanh nghiệp (các)lĩnh vực theo chiều dọc – thường yêu cầu đòi hỏimột mức độ cỡ lớn về tính quen thuộc với bản thâncác doanh nghiệp bị đánh thủng đó”, Gunter Ollmann, phóchủ tịch về nghiên cứu của Damballa, đã viết trong mộtbài trên blog.

Botnetđã trở thành một công cụ chủ chốt trong hệ thốngtội phạm không gian mạng cho những người sử dụngInternet bị lừa đảo bất hợp pháp đối với các dữliệu hoặc tiền bạc của họ. Các botnet mà lây nhiễmcho những người sử dụng nói chung có xu hướng gia tăngnhanh chóng: Mạng các máy tính bị lây nhiễm bởi sâuConficker, ví dụ, có lẽ đã đạt tới hơn 10 triệu cáchệ thống bị tổn thương. Trong tháng 3, một kẻtạo ra botnet đã bị xử 4 năm tù vì tạo ra một botnetvài trăm ngàn máy tính.

Theo phân tích củaDamballa, hãng đã thấy rằng một số botnet nhỏ hơn cólẽ đã là công việc của những người nội bộ bêntrong mà, thay vì lây nhiễm độc hại cho các máy tính,thì đã lại sử dụng phần mềm bot như một công cụquản trị từ xa.

Trongnhững trường hợp khác, những người chủ bot dườngnhư đặc biệt tập trung vào các dữ liệu bên trong mạngcủa các công ty, âm thầm giám sát các hoạt động củacông ty cho tới khi bọn tội phạm có thể xác định đượccác nhân viên chủ chốt để làm tổn thương hoặc chocác dữ liệu chủ chốt để ăn cắp.

“Kếtquả là các botnet nhỏ nhất này trốn được một cáchcó hiệu quả sự dò tìm và không lộ bởi việc nằmngoài rada an ninh và dựa vào những chủ botnet mà họ cómột sự hiểu biết tốt về cách mà các hoạt động củadoanh nghiệp từ bên trong”, Ollmann đã viết. “Như vậy,chúng có thể là gây hại nhiều nhất cho doanh nghiệp vềlâu dài”.

Whilebig botnets get the lion's share of attention in the media, smallerbotnets of less than 100 machines are the rule among most compromisecorporate networks, according to a research released last week bysecurity firm Damballa.

Thecompany analyzed 600 botnets that it encountered in enterprisenetworks in a three-month period, and found that the majority -- 57percent -- were smaller than 100 nodes. Most of the smaller networksconsisted of customized code cre-ated using one of the do-it-yourselfmalware kits available online.

"Itlooks to me as though these small botnets are highly-targeted atparticular enterprises -- or enterprise vertical sector(s) --typically requiring a sizable degree of familiarity with the breachedenterprise itself," Gunter Ollmann, vice president of researchfor Damballa, wrote in ablog post.

Botnetshave become a key tools in cybercriminals scheme to illegally bilkInternet users of their data or money. The botnets that infectgeneral Internet users tend to grow quickly: The network of computersinfected by theConficker worm, for example, likely peaked at more than 10million compromised systems. In March, one botmaster wassentenced to four years in prison for creating a bot net ofseveral hundred thousand computers.

InDamballa's analysis, the firm found that some smaller botnets werelikely the work of insiders who, rather than maliciously infectingmachines, were using the bot software as a remote administrationtool. In other cases, the bot masters appear to be specificallytargeting the data inside the corporate network, quietly monitoringthe company's operations until the criminals can identify keyemployees to compromise or key data to steal.

"Thenet result is that these smallest botnets efficiently evade detectionand (dis)closure by staying below the security radar and relying uponbotnet masters that have a good understanding of how the enterprisefunctions internally," Ollmann wrote. "As such, they'reprobably the most damaging to the enterprise in the long term."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com