GreyNoise đã phát hiện một biến thể botnet scraper chưa từng được ghi nhận trước đây, bao gồm hơn 3.600 địa chỉ IP riêng biệt trên toàn cầu. Khám phá này đánh dấu một phát triển quan trọng trong lĩnh vực an ninh mạng.
Đặc điểm Hoạt động của Botnet
Botnet này được quan sát lần đầu vào ngày 19 tháng 4 năm 2025, thể hiện một dấu hiệu hành vi đặc trưng nổi bật. Điều đáng chú ý là botnet này sử dụng chuỗi user-agent đơn giản và dễ dàng giả mạo: “Hello-World/1.0”. Sự lựa chọn user-agent này cho phép botnet hòa nhập vào lưu lượng truy cập web thông thường, làm suy yếu các phương pháp phát hiện truyền thống dựa vào định danh bề ngoài. Mặc dù có vẻ ngoài đơn giản, dấu hiệu hành vi của botnet là phức tạp và độc đáo, giúp nó phân biệt với các hoạt động độc hại khác.
Mô hình lưu lượng truy cập của botnet cho thấy một phương pháp tiếp cận có hệ thống. Các yêu cầu GET được phân phối đều đặn trên các cổng từ 80 đến 85. Các hệ thống bị nhắm mục tiêu chủ yếu nằm ở Hoa Kỳ và Vương quốc Anh, cho thấy mục tiêu tập trung vào các khu vực địa lý cụ thể để thu thập dữ liệu hoặc thực hiện các hoạt động cạo dữ liệu khác.
Phương pháp Phát hiện Dựa trên Hành vi: JA4+
Không giống như các phương pháp phát hiện truyền thống dựa vào các định danh dễ dàng thay đổi như user-agent, các nhà phân tích của GreyNoise đã tận dụng bộ chữ ký JA4+ tiên tiến để tạo ra một chữ ký tổng hợp (meta-signature) dựa trên hành vi mạng của botnet. Cách tiếp cận này mang lại khả năng phát hiện mạnh mẽ hơn nhiều so với việc chỉ dựa vào các chuỗi định danh đơn thuần.
Bộ chữ ký JA4+ bao gồm các dấu vân tay hành vi quan trọng:
- JA4H: Dấu vân tay này thu thập cấu trúc và thứ tự của các trường tiêu đề HTTP. Bằng cách phân tích cách các tiêu đề HTTP được sắp xếp và trình bày, JA4H có thể tạo ra một định danh duy nhất cho các kết nối. Nó ghi lại các thuộc tính cấu trúc của luồng dữ liệu HTTP, từ đó tạo ra một dấu vân tay duy nhất mà không phụ thuộc vào nội dung tải trọng.
- JA4T: Dấu vân tay này mã hóa các sắc thái của quá trình thiết lập kết nối TCP. Nó phân tích các đặc điểm của bắt tay TCP (TCP handshake), bao gồm các tùy chọn TCP được sử dụng, thứ tự của chúng, và các giá trị ban đầu trong gói SYN. Điều này giúp tạo ra một chữ ký đặc biệt dựa trên cách một máy khách bắt đầu kết nối.
Kết hợp, các dấu hiệu hành vi này hình thành một định danh toàn cầu độc nhất cho biến thể botnet này. Điều này làm cho việc né tránh hoặc giả mạo trở nên cực kỳ khó khăn. Ngay cả khi user-agent bị thay đổi hoặc giả mạo, hành vi mạng cơ bản của botnet vẫn duy trì tính nhất quán, cho phép phát hiện liên tục. Sự phụ thuộc vào dấu vân tay dựa trên hành vi của botnet này cho phép nó tồn tại ngay cả khi bị giám sát chặt chẽ, đặt ra thách thức đáng kể cho các biện pháp bảo mật thông thường.
Phân tích Địa lý và Quy mô Cơ sở hạ tầng
Phân tích địa lý cơ sở hạ tầng của botnet cho thấy một bức tranh đáng lo ngại với sự tập trung đáng kể ở Đài Loan. Cụ thể, 1.934 địa chỉ IP, chiếm 54% tổng số IP được phát hiện, có nguồn gốc từ Đài Loan. Sự hiện diện áp đảo của các địa chỉ IP Đài Loan gợi ý các vấn đề hệ thống tiềm ẩn, chẳng hạn như sự thỏa hiệp rộng rãi của một công nghệ hoặc dịch vụ phổ biến trong khu vực, hoặc việc phơi nhiễm cục bộ với một lỗ hổng chung đang thúc đẩy sự tập trung này.
Các cụm IP đáng chú ý khác bao gồm:
- Nhật Bản: 315 IP (9%)
- Bulgaria: 265 IP (7%)
- Pháp: 111 IP (3%)
Trong tổng số các địa chỉ IP được phát hiện, GreyNoise đã phân loại 1.359 IP (38%) là độc hại và 122 IP (3%) là đáng ngờ. Phần lớn các IP, 2.114 IP (59%), không có mối liên hệ với các hoạt động độc hại đã biết khác. Điều đáng chú ý là chỉ có duy nhất một địa chỉ IP được xác định là vô hại, nhấn mạnh bản chất chủ yếu gây hại của mạng lưới này.
Tác động và Khuyến nghị cho Đơn vị Bảo mật
Phạm vi toàn cầu và khả năng tạo dấu vân tay tinh vi của botnet này đặt ra thách thức lớn cho các biện pháp an ninh truyền thống. Do chữ ký dựa trên hành vi, botnet có khả năng tồn tại ngay cả khi bị giám sát, điều này có ý nghĩa sâu sắc đối với các nhà bảo vệ an ninh mạng.
GreyNoise khuyến nghị các hành động ngay lập tức để đối phó với mối đe dọa này:
- Chặn các địa chỉ IP đã xác định: Các tổ chức nên chặn tất cả các địa chỉ IP được xác định liên quan đến botnet này để ngăn chặn các hoạt động cạo dữ liệu tự động, vốn có thể làm tổn hại đến tính toàn vẹn của dữ liệu hoặc hiệu suất hệ thống. Việc chủ động chặn các Indicators of Compromise (IOCs) này là bước phòng thủ cơ bản để giảm thiểu rủi ro.
- Giám sát lưu lượng truy cập nội bộ: Ngoài các biện pháp phản ứng, các nhà bảo vệ nên chủ động giám sát lưu lượng truy cập nội bộ để tìm kiếm bất kỳ giao tiếp nào đến hoặc từ các địa chỉ IP này. Sự hiện diện của các giao tiếp như vậy có thể chỉ ra sự xâm nhập sâu hơn hoặc các thiết bị đã bị thỏa hiệp trong mạng lưới của họ, đòi hỏi điều tra và ứng phó sự cố ngay lập tức.
- Theo dõi các chữ ký JA4+ tương tự: Việc theo dõi các chữ ký JA4+ tương tự có thể giúp phát hiện các biến thể liên quan hoặc các chiến dịch rộng hơn, cung cấp lợi thế chiến lược chống lại các mối đe dọa đang phát triển. Việc xây dựng các quy tắc phát hiện dựa trên JA4+ trong các hệ thống giám sát an ninh (như SIEM hoặc IDS/IPS) có thể nâng cao khả năng phòng thủ.
Người dùng GreyNoise có thể truy cập thông tin chi tiết thông qua công cụ Visualizer hoặc API để luôn đi trước các hoạt động của botnet này.
Khi các botnet scraper ngày càng trở nên phức tạp, pha trộn vẻ ngoài đơn giản với các mẫu hành vi phức tạp, việc dựa vào các kỹ thuật tạo dấu vân tay tiên tiến như JA4+ trở nên không thể thiếu. Khám phá này không chỉ làm nổi bật sự khéo léo bền bỉ của tội phạm mạng mà còn nhấn mạnh nhu cầu cấp thiết về khả năng phát hiện dựa trên hành vi trong việc bảo vệ các hệ sinh thái kỹ thuật số, đặc biệt đối với các mục tiêu có giá trị cao ở Hoa Kỳ và Vương quốc Anh.
Với hơn một nửa cơ sở hạ tầng của botnet gắn liền với các mạng lưới Đài Loan, sự hợp tác và cảnh giác quốc tế sẽ là chìa khóa để giải tỏa mối đe dọa này và ngăn chặn việc khai thác thêm các lỗ hổng khu vực.
