Botnet Analysis: ম্যালওয়্যার আক্রান্ত ডিভাইস দিয়ে কীভাবে Botnet নেটওয়ার্ক তৈরি হয়?

প্রতিটি Botnet একটি নির্দিষ্ট জীবনচক্র অনুসরণ করে। প্রথম পর্যায় হলো Infection, যেখানে আক্রমণকারী একটি ম্যালওয়্যার (যাকে Bot বা Zombie বলা হয়) লক্ষ্য ডিভাইসে স্থাপন করে। এটি হতে পারে ফিশিং ইমেইল, ড্রাইভ-বাই ডাউনলোড, দুর্বল পাসওয়ার্ড ব্রুট-ফোর্স, অথবা অজানা দুর্বলতার শোষণের মাধ্যমে। Mirai Botnet-এর ক্ষেত্রে ডিফল্ট IoT ক্রেডেনশিয়াল ব্যবহার করেই লক্ষ লক্ষ ডিভাইস সংক্রমিত হয়েছিল।

দ্বিতীয় পর্যায় হলো Rallying বা Connection, যেখানে সংক্রমিত Bot তার Command and Control (C2) সার্ভারের সাথে যোগাযোগ স্থাপন করে। তৃতীয় পর্যায় হলো Activation, যেখানে Botmaster নির্দিষ্ট আদেশ পাঠিয়ে Bot-দের কাজে লাগায়। চতুর্থ ও শেষ পর্যায় হলো Maintenance, যেখানে Botnet নিজেকে আপডেট, লুকানো এবং বিস্তৃত করতে থাকে।

Botnet-এর কার্যকারিতা মূলত নির্ভর করে এর C2 আর্কিটেকচারের ওপর। প্রাথমিক Botnet, যেমন Agobot বা SDBot, Internet Relay Chat (IRC) প্রোটোকল ব্যবহার করত। প্রতিটি Bot একটি নির্দিষ্ট IRC চ্যানেলে যোগ দিত এবং Botmaster সেই চ্যানেলে কমান্ড পোস্ট করত। এই পদ্ধতি সহজ হলেও কেন্দ্রীয় IRC সার্ভার বন্ধ করে দিলেই পুরো Botnet অকেজো হয়ে যেত।

পরবর্তীতে আক্রমণকারীরা HTTP-ভিত্তিক C2-এর দিকে ঝোঁকেন। Zeus এবং SpyEye-এর মতো ব্যাংকিং ট্রোজান HTTP/HTTPS-এর মাধ্যমে নিয়মিত C2 সার্ভারকে পোল করত। এই পদ্ধতি বৈধ ওয়েব ট্রাফিকের মধ্যে সহজে মিশে যেত। তবে এখানেও একটি কেন্দ্রীয় ব্যর্থতা বিন্দু রয়ে যায়।

আধুনিক Botnet-গুলো Peer-to-Peer (P2P) আর্কিটেকচার গ্রহণ করেছে, যেখানে কোনো কেন্দ্রীয় সার্ভার নেই। Gameover Zeus, Sality, এবং Storm Botnet এই পদ্ধতি ব্যবহার করত। প্রতিটি Bot অন্য Bot-এর সাথে সরাসরি যোগাযোগ করে এবং কমান্ড একটি Bot থেকে আরেকটিতে রিলে হয়। এই কাঠামো ভেঙে ফেলা প্রায় অসম্ভব।

আরেকটি উন্নত কৌশল হলো Domain Generation Algorithm (DGA)। এখানে Bot প্রতিদিন বা প্রতি ঘণ্টায় হাজার হাজার ডোমেইন নাম তৈরি করে এবং প্রতিটির সাথে সংযোগের চেষ্টা করে। Botmaster আগে থেকেই জানে কোন ডোমেইন কবে তৈরি হবে এবং সেটি রেজিস্টার করে রাখে। Conficker এই পদ্ধতি ব্যবহার করে প্রতিদিন ৫০,০০০ ডোমেইন জেনারেট করত।

Mirai হলো IoT Botnet-এর সবচেয়ে কুখ্যাত উদাহরণ। ২০১৬ সালে এটি Dyn DNS-এর বিরুদ্ধে ১.২ Tbps DDoS আক্রমণ চালিয়ে Twitter, Netflix, Reddit-সহ অনেক বড় ওয়েবসাইট অফলাইনে নিয়ে গিয়েছিল। Mirai-এর সোর্স কোড প্রকাশের পর এর অসংখ্য ভ্যারিয়েন্ট তৈরি হয়েছে, যেমন Satori, Okiru, এবং Mozi।

Emotet একসময় বিশ্বের সবচেয়ে বিপজ্জনক Botnet হিসেবে বিবেচিত হতো। এটি প্রাথমিকভাবে একটি ব্যাংকিং ট্রোজান হিসেবে শুরু হলেও পরে একটি "Malware-as-a-Service" প্ল্যাটফর্মে রূপান্তরিত হয়, যা TrickBot এবং Ryuk Ransomware-এর জন্য ডেলিভারি ভেহিকল হিসেবে কাজ করত। ২০২১ সালে আন্তর্জাতিক আইন প্রয়োগকারী সংস্থার সমন্বিত অভিযানে এটি নিষ্ক্রিয় করা হয়।

TrickBot, Qakbot (QBot), এবং IcedID আধুনিক যুগের সবচেয়ে সক্রিয় Botnet পরিবার। এরা সাধারণত প্রাথমিক অ্যাক্সেস প্রদান করে, যা পরে Ransomware গোষ্ঠীর কাছে বিক্রি করা হয়। Necurs Botnet একসময় বিশ্বের সবচেয়ে বড় স্প্যাম Botnet ছিল, যা প্রতিদিন কোটি কোটি স্প্যাম ইমেইল পাঠাত।

Botnet বিশ্লেষণ একটি বহুস্তরীয় প্রক্রিয়া। প্রথম স্তরে Static Analysis করা হয়, যেখানে Bot-এর বাইনারি IDA Pro, Ghidra বা Binary Ninja দিয়ে রিভার্স ইঞ্জিনিয়ারিং করা হয়। বিশ্লেষকরা C2 কমিউনিকেশন প্রোটোকল, এনক্রিপশন অ্যালগরিদম, এবং DGA-এর সিড ভ্যালু খুঁজে বের করেন।

দ্বিতীয় স্তরে Dynamic Analysis সম্পন্ন হয় একটি Sandbox পরিবেশে। Cuckoo Sandbox, Any.Run, এবং Joe Sandbox-এর মতো টুল Bot-এর আচরণ পর্যবেক্ষণ করে। নেটওয়ার্ক ট্রাফিক Wireshark বা tcpdump দিয়ে ক্যাপচার করা হয় এবং SSL/TLS এনক্রিপ্টেড ট্রাফিক ডিক্রিপ্ট করার জন্য মাঝে man-in-the-middle প্রক্সি স্থাপন করা হয়।

তৃতীয় স্তরে Sinkholing করা হয়। গবেষকরা DGA-এর মাধ্যমে তৈরি হওয়া ডোমেইনগুলো আগেভাগে রেজিস্টার করে নিজেদের সার্ভারে পয়েন্ট করেন। এর ফলে সংক্রমিত Bot-গুলো গবেষকের সার্ভারের সাথে যোগাযোগ করে এবং তাদের সংখ্যা, ভৌগোলিক বিতরণ ও আচরণ পরিমাপ করা যায়। Conficker Working Group এই পদ্ধতিতে কোটি কোটি সংক্রমিত মেশিনের ম্যাপ তৈরি করেছিল।

চতুর্থ স্তর হলো P2P Crawling, যা শুধু পিয়ার-টু-পিয়ার Botnet-এর ক্ষেত্রে প্রযোজ্য। গবেষকরা একটি কাস্টম ক্লায়েন্ট তৈরি করে Botnet-এর প্রোটোকল ইমিটেট করেন এবং নেটওয়ার্কে যোগ দিয়ে পিয়ার লিস্ট সংগ্রহ করেন।

Mirai-এর সোর্স কোড পরীক্ষা করলে দেখা যায় এটি কীভাবে IoT ডিভাইস স্ক্যান করে। scanner.c ফাইলে এটি SYN প্যাকেট পাঠিয়ে পোর্ট 23 (Telnet) ও 2323 খুলে আছে এমন IP খোঁজে। সংযোগ পেলে এটি ৬০টির বেশি ডিফল্ট ক্রেডেনশিয়ালের একটি তালিকা থেকে চেষ্টা করে—যেমন admin:admin, root:xc3511, root:vizxv। সফল লগইনের পর এটি ডিভাইসের আর্কিটেকচার (MIPS, ARM, x86) শনাক্ত করে এবং উপযুক্ত বাইনারি ডাউনলোড করে এক্সিকিউট করে। তারপর Bot তার LoadBot Server-এর সাথে TCP সংযোগ স্থাপন করে কমান্ডের অপেক্ষায় থাকে।

প্রতিষ্ঠানগত পর্যায়ে Botnet প্রতিরোধের প্রথম পদক্ষেপ হলো শক্তিশালী Egress Filtering। ফায়ারওয়ালে নিয়ম স্থাপন করতে হবে যাতে অভ্যন্তরীণ ডিভাইসগুলো শুধুমাত্র অনুমোদিত গন্তব্যে সংযোগ স্থাপন করতে পারে। DNS পর্যায়ে DNS Sinkhole এবং Threat Intelligence ফিড ব্যবহার করে পরিচিত C2 ডোমেইন ব্লক করতে হবে।

দ্বিতীয়ত, নেটওয়ার্ক বিহেভিয়ারাল অ্যানালিটিক্স টুল যেমন Darktrace, ExtraHop, বা Suricata IDS ব্যবহার করতে হবে। এগুলো অস্বাভাবিক ট্রাফিক প্যাটার্ন, যেমন বিপুল সংখ্যক DNS কোয়েরি (DGA-এর লক্ষণ) বা নিয়মিত বিরতিতে ছোট সাইজের HTTP রিকোয়েস্ট (Beaconing) শনাক্ত করতে পারে।

তৃতীয়ত, এন্ডপয়েন্ট স্তরে EDR সলিউশন স্থাপন করতে হবে যা Process Injection, Persistence Mechanism, এবং সন্দেহজনক নেটওয়ার্ক কানেকশন শনাক্ত করতে সক্ষম। চতুর্থত, IoT ডিভাইসের ডিফল্ট পাসওয়ার্ড পরিবর্তন এবং নিয়মিত ফার্মওয়্যার আপডেট অপরিহার্য।

ব্যক্তিগত পর্যায়ে ব্যবহারকারীদের সন্দেহজনক ইমেইল অ্যাটাচমেন্ট না খোলা, ক্র্যাকড সফটওয়্যার এড়িয়ে চলা, এবং অপারেটিং সিস্টেম ও অ্যাপ্লিকেশন আপডেট রাখা উচিত। Have I Been Pwned-এর মতো সাইটে নিজের ইমেইল চেক করে দেখা যায় কোনো ডেটা ব্রিচে তথ্য ফাঁস হয়েছে কিনা।