Botnet là gì và hậu quả khi máy tính của chúng ta nhiễm botnet có lẽ mình sẽ không viết nữa. Chúng ta chỉ cần hiểu 2 đặc tính của botnet để phòng chống và ngăn chặn nó:
– Botnet có tính lây lan mạnh bằng cách gửi rất nhiều kết nối tới các IP có cùng mạng LAN hoặc Internet.
– Botnet sẽ đọc các cookie + password có trên trình duyệt, tự động gửi các file kết quả đến các server telegram, email.
1/Kiểm tra máy có các kết nối hoặc file có kết nối chạy ngầm
Chú ý trước khi thực hiện tắt tất cả các chương trình đang chạy trên máy tính, kể cả bộ gõ.
Cách 1: Bật CMD chạy lệnh: netstat -f
Vào check-host.net để kểm tra các ip được kết nối, chú ý nhà cung cấp nếu không phải của microsoft thì có thể bạn đang dính botnet
Cách 2: Sâu hơn bạn có thể sử dụng Microsoft network monitor
Microsoft Network Monitor 3.4 ( cài đặt xong khởi động lại máy mới có thể ấn start)
https://www.microsoft.com/en-us/download/details.aspx?id=4865
Sau khi start hãy chú ý các file chạy .exe không có logo của bất kỳ phần mềm nào bạn đã cài trên máy, kiểm tra kết nối TPC nó gửi ra ngoài với IP nào, nếu nghi ngờ hãy dùng check-host để kiểm tra ip.
TÓM LẠI: Hãy chú ý các file .exe không có icon, có số lượng gửi kết nối ra ngoài với số lượng nhiều với các ip của máy cùng mạng lan và ip được kết nối ra ngoài internet đến từ các nhà cung cấp không phải của microsoft.
2/ Quét các file chạy ngầm không xác định trong hệ thống của bạn
https://download.sysinternals.com/files/Autoruns.zip
Sau khi giải nén chạy file: Chuột phải vào file Autoruns64.exe chọn Run as Administrator
Trong bảng điều khiển chọn Options => scan options => check virustotal.com => Chọn rescan
Chọn vào tất cả các file có cột Publisher “Not Verified” có mầu đỏ + mầu vàng + Virus Total báo đỏ => Ctrl + D hoặc chuột phải chọn Delete
Chạy quét rootkit toàn máy thêm lần nữa với Gmer:
3/ Chặn gửi file báo cáo về telegram và gửi email ra ngoài
Chặn gửi về telegram
Sử dụng notepad với chuột phải chọn open with administrator
Open file theo đường dẫn: c:\Windows\System32\Drivers\etc\hosts
Thêm dòng
127.0.0.1 api.telegram.org
Chặn gửi email từ máy bằng firewall
Bật windows defender firewall with advanced security ==> chọn Outbound Rules ==> chọn new rule ==> chọn port => chọn TCP và điền port 25, 587 ==> Chọn block connection ==> next và đặt tên là block send email ==> finish
4/ Xóa các trình duyệt được cài đặt mặc định
Các trình duyệt cài đặt mặc định thường để lại dấu vết URL trên hệ thống của bạn, từ đó botnet sẽ sử dụng để lấy cookie hoặc pass lưu trên trình duyệt. Vì vậy chúng ta hãy sử dụng các trình duyệt portable và để ở ổ chứa dữ liệu khác không phải ổ C.
https://portableapps.com/apps/internet/firefox_portable
https://portableapps.com/apps/internet/google_chrome_portable
Cài thêm các tiện ích bảo vệ cho trình duyệt:
Malwarebytes Brower Guard
Firefox
https://addons.mozilla.org/en-US/firefox/addon/malwarebytes/
Chrome
Dùng Addons quản lý Account & password thay vì lưu trực tiếp vào trình duyệt
Firefox
https://addons.mozilla.org/en-US/firefox/addon/bitwarden-password-manager
Chrome
5/ Bảo mật cho hệ điều hành windows
Setting => Privacy => Chọn Background Apps => Bỏ chọn hết các app bạn thấy không cần thiết chạy ngầm
Setting => Privacy => File System => Allow apps to access your file system => OFF
Nếu bạn đã làm đến bước này, máy tính của bạn đã sạch botnet nhưng để phòng tránh tái nhiễm bạn hãy nhớ luôn bật antivirus, không mở các file exe mà không scan nó, không cài đặt các extension không rõ nguồn gốc. Đặc biệt hãy thường xuyên thực hiện bước 2 trong quy trình này để kiểm tra các file chạy ngầm bất thường có trên máy của bạn.
KHÓA HỌC MFA T10