Theo số lượng thống kê mới nhất từ Symantec cho thấy 10 mạng botnet sau đây đang được đánh giá là nguy hiểm và đáng sợ nhất đối với người dùng mạng.

Mô hình hoạt động của mạng botnet:

- Giai đoạn 1 mô tả tin tặc phát tán mã độc (virus, malware, trojan...) để thu về các chiến lợi phẩm là những chiếc PC "ma", tạo thành 1 mạng botnet.

- Giai đoạn 2 là dùng mạng botnet tạo ra tiền như gửi thư rác đến người dùng internet (Nguồn: BBC)

Thống kê cho thấy số lượng thư rác hiện nay có đến 80% được xuất phát từ 10 mạng botnet này với số lượng lên đến 135 tỷ thư rác (spam) trong một ngày và số lượng liên quan đến việc phát tán spam cũng lên đến con số 5 triệu máy.

Grum (Tedroo)

Grum là tương lai dành cho các mạng botnet rải thư rác. Chúng hoạt động một cách lén lút theo chế độ ẩn mình của rootkit, lây nhiễm vào khóa registry AutoRun để đảm bảo rằng nó luôn luôn được kích hoạt. Botnet này hiện đang nhận được sự quan tâm đặc biệt từ các nhà nghiên cứu. Số lượng chương trình phát tán của Grum hiện là 600.000 nhưng nó chiếm đến 25% lượng thư rác trong một ngày, tức phát tán đến 40 tỷ thư rác mỗi ngày.

Bobax (Kraken/Oderoor/Hacktool.spammer)

Bobax là một mạng botnet mới được xác định liên quan đến botnet Kraken nổi tiếng trước đó. Gần đây, Kraken được cải tiến thành Bobax bằng cách chuyển đổi lệnh và kiểm soát lưu lượng truy cập đến giao thức HTTP nhằm gây khó khăn cho người dùng.

Thống kê hiện tại, số chương trình phát tán của Bobax chỉ chiếm 100.000 nhưng nó lại phát tán đến 27 tỷ thư rác trong một ngày, chiếm 15% lượng thư rác. Như vậy, nghĩa là trong mỗi phút nó có thể tạo ra 1400 thư rác.

Pushdo (Cutwail/PANDEX)

Mạng Botnet là một mạng lưới các máy tính bị nhiễm mã độc do hacker nắm quyền kiểm soát mà nạn nhân không hề hay biết.

Các hacker sẽ tận dụng khai thác các "máy tính ma" (zombie) trong mạng botnet của mình để phục vụ cho việc rải thư rác, lây nhiễm mã độc... nhằm trục lợi.

Được khởi đầu với tên gọi Storm vào năm 2007, cho đến nay Pushdo vẫn phát triển khá mạnh mẽ và đã tạo ra khoảng 19 tỷ thư rác mỗi ngày và sở hữu 500.000 "máy tính ma" (bị điều khiển do nhiễm mã độc).

Pushdo là dạng mã độc downloader vốn giành quyền truy xuất vào máy tính nạn nhân và tải về phần mềm gửi thư rác Cutwail.

Mạng botnet này liên quan đến các đợt rải thư rác về dược phẩm, sòng bạc trực tuyến và bao gồm hoạt động lừa đảo cũng như tạo các liên kết đến các trang web chứa phần mềm độc hại.

Rustock (Costrat)

Rustock được biết đến vào năm 2008 nhưng nhanh chóng bị loại bỏ khi "lò phát tán thư rác" McColo bị phá sập hoàn toàn. Sau một thời gian im hơi lặng tiếng đã quay trở lại và trở thành một trong những mạng botnet lớn nhất với gần 2 triệu "máy tính ma" làm công cụ phục vụ mục đích tấn công.

Rustock còn được biết đến qua dạng rải thư rác sử dụng các tập tin hình ảnh nhằm qua mặt các trình lọc bảo vệ. Rustock thường xuyên mở các đợt rải thảm thư rác quảng cáo thuốc y dược hay gửi tin nhắn rác vào mạng xã hội Twitter với lượng thư rác chiếm khoảng 17 tỷ mỗi ngày.

Bagle (Beagle/Mitglieder/Lodeight)

Mạng botnet Bagle ra đời từ năm 2004 nhưng đến tận 2 năm trước đây thì kẻ tạo ra Bagle mới bắt đầu đưa mạng botnet Bagle vào khai thác kiếm lợi nhuận. Hiện Bagle có đến 500.000 "máy tính ma" với số lượng thư rác mỗi ngày tung lên mạng Internet là 14 tỷ.

Mega-D (Ozdok)

Vào tháng 11-2009, các nhà nghiên cứu tại FireEye đã phá vỡ được mạng botnet này bằng các dòng lệnh cũng như kiểm soát các tên miền trước các vị chủ nhân của botnet. Thế nhưng sau đó Mega-D được tái cấu trúc để có thể liên tục tạo ra các tên miền mới giúp chủ nhân nó có thể kiểm soát lại hoạt động của mình.

Trong số 10 botnet hàng đầu thì Mega-D là mạng botnet nhỏ nhất với lượng "thành viên" chỉ có 50.000. Tuy với số lượng "nô lệ" ít ỏi nhưng Mega-D có thể phát tán đến 11 tỷ thư rác mỗi ngày. Nếu xét về lượng thư rác mỗi phút thì Mega-D chỉ xếp sau Bobax mà thôi.

Maazben

Maazben được phát hiện và ngăn chặn từ tháng 6-2009. Mặc dù Maazben có số lượng "máy tính ma" là 300.000 nhưng so với các botnet khác thì nó cung cấp lượng thư spam mỗi ngày không cao, chỉ đạt con số 500 triệu thư.

Xarvester (Rlsloup/Pixoliz)

Xarvester được hình thành kể từ khi McColo bị chấm dứt. Các nhà nghiên cứu phát hiện ra Xarvester có các điểm tương đồng với botnet khét tiếng Srizbi.

Thống kê hiện nay thì Xarvester chứa 60.000 "thành viên" với lượng thư rác phát tán khắp Internet là khoảng 2.5 tỷ mỗi ngày.

Donbot (Buzus)

Đây là một trong những botnet đầu tiên sử dụng dịch vụ rút ngắn địa chỉ URL, một trong những cách tốt nhất để chúng có thể ẩn các liên kết độc hại trong thư rác nhằm lừa người dùng nhấp vào liên kết độc hại đó. Donbot có khoảng 100.000 "thành viên" với lượng thư rác mỗi ngày tung ra khoảng 800 triệu.

Gheg (Tofsee/Mondera)

Ba điểm nổi bật về mạng botnet thứ 10 đó là: 85% lượng thư rác xuất phát từ Nam Triều Tiên, Gheg là một trong số ít mạng botnet mã hóa lưu lượng băng thông bằng câu lệnh và điều khiển các máy chủ bằng kết nối không theo chuẩn SSL. Điều thứ 3 là cách mà Gheg lựa chọn proxy để gửi thư rác hay thậm chí nó còn có thể gửi thư rác vào máy tính của nạn nhân thông qua máy chủ email của nhà cung cấp Internet.

Gheg hiện có 60.000 "máy tính ma" với khoảng 400 triệu thư rác phát tán mỗi ngày.

Theo TTO (TechRepublic)



Bình luận

  • TTCN (0)