Botnetler Yürüyüşe mi Geçti?


Zombiler sadece korku filmlerinde yer almıyor. Günümüzde Internet”te sadist hükümdarları tarafından zarar vermek üzere yönlendirilen ve “botnets” adını alan yüz binlerce zombi dolaşmakta.

Hasar tipik olarak Dağıtık Servis Reddi (Distributed Denial of Service — DDoS) tipindeki saldırıları içermekte ancak aynı zamanda diğer bilgisayarları taramak ve kişisel bilgileri ele geçirmek için de kullanılabilir.

Zombileri öldürmek, onları ölümsüzler makamından indirmek ve botnet”leri ezip geçmek kolay bir uğraş değil, ancak gayretli araştırmacılarının sayesinde artık yapılabilmekte.

Massachussets Lexington merkezli Arbor Networks firması söylencedeki gibi gümüş kurşunu botnet”lerin kalbine saplayan firmalardan birisi. Şirket yakın bir tarihte, Hollanda merkezli siteleri vurmakta olan bir botnet”in etkisiz hale getirilmesinde katkıda bulundu.

Arbor Networks”ün yazılım ve güvenlik mühendisi Jose Nazario, Şubat”ın sonlarında bir önceki geceki bir dizi botnet saldırı raporlarının arasından özellikle bir tanesine ait bir raporun kendilerine ulaştırıldığını söyledi. Arbor Networks o ana dek birkaç aydan beri aktif bir şekilde botnet aktivitelerini takip etmekteydi.

Nazario internetnews.com”a “Bunu, saldırı kaynaklarını saptamak, diğer firmalarla birlikte botnet”leri yakalamak ve genel anlamda Internet güvenliğinin seviyesini yükseltmek adına yapıyoruz,” dedi.

Arbor Networks botnet takibine, kullanmakta olduğu IRC networküne ve oluşturulan kayıtlara giriş hakkı elde ederek başladı.

Arbor bu noktayı yakaladığında, botnet yazarları, bağlanmış olan makinelere başka bir yazılım parçası indirmelerini ve IRC bot networkünü terk etmelerini söylemekle meşguldüler. Görünüşe göre bilgisayarlar yeni bir networke “güdülmekteydiler”.

Nazario “Botnet operatörlerinin orijinal networkün ortaya çıkarıldığının farkında olduklarından ve yeni bir network oluşturmakla meşgül olduklarından şüphelenmekteyiz,” diyor. “Böylesi ”gütme” teknikleri botnet dünyasında çok da sıra dışı durumlar değil; operatörler networklerini korumak ve yakalanmayı engellemek için makineleri yeni sağlayıcılar, yeni kanallar etrafında topluyorlar.”

Yeni botnet”in şifresi 1 Mart 2006”da “kırıldı” ve Hollanda menşeli geniş-bant sitelere karşı yapılan pek çok DDoS atağı ile ilişkilendirildi. Arbor Networks ,2 Mart”ta Hollanda Bilgisayar Acil Yanıt Takımı (Dutch Computer Emergency Response Team — CERT) ile ilişkiye geçerek topladığı bilgileri sundu ve botnet”in etkisiz hale getirilmesini mimkün kıldı.

Nazario botnet”in etkisiz hale getirilmesinin göreceli olarak kolay olduğunu ifade etti.

Arbor Networks”ün elinde sağlam aktivite kayıtları vardı ve bunları daha sonra Hollanda”da bulunan güvenlik bilincine sahip bir ISP ile paylaşacak olan Hollanda CERT yetkililerine bir vaka dosyası olarak gönderdiler. ISP sözü geçen networkü anında kapattı ve botnet”e katılmış olan kullanıcıların bilgisayar sistemlerinin temizlenmesine yardımcı oldu.

Nazario “Özetle, böyle bilgili ve işbirliğine yatkın insanlarla bir arada çalışarak, bu botnet”i kapatmanın aslında oldukça basit bir olay olduğunu fark ettik,” diyor.

Ayrıca FaceTime Security Labs da botnet avcılığı yapmakta ve yakın bir tarihte zombiler ordusunda neredeyse 150,000 ekli kullanııcyı barındıran bir botnet keşfettiler.

FaceTime”ın güvenlik araştırma yöneticisi Chris Boyd internetnews.com”a “RinCe olarak bilinen bir bireyden bir ihbar aldık,” diyor. “Onun yardımlarıyla bu grupların aktivitelerini oldukça ayrıntılı bir biçimde haritalandırmayı başardık. Bu noktadan sonra, olay tüm dosyaların analiz edildiği, doğru bağlantıların kurulduğu, bulaşmış sağlayıcıların bulunduğu ve daha fazla bilginin toplandığı bir vakaya dönüştü.”

FaceTime”ın tespit ettiği botnet”lerden birisi iddialara göre finansal bilgilere ulaşmak amacıyla kullanıcıların sistemlerini taramaktaydı. Hızlı Mesajlaşma (IM) da FaceTime tarafından tanımlanan botnet ataklarının kendi çıkarına kullandığı yöntemlerden birisi.

Botnet, IM yoluyla transfer edilen enfekte bir dosya aracılığı ile yeni zombiler yaratabilmekte.

Boyd durumu “Bir kez bir uç kullanıcıyı enfekte hale getirdiklerinde, Famtech tarafından üretilen ve ticari olarak kullanımdaki bir uygulama olan Uzaktan Yönetim Servisi”ni (Remote Administration Service) konuşlandırıyorlar,” diye açıklıyor. “Bir kez yerleşik hale geldiğinde, bu durum kullanıcıdan gizleniyor ve makine enfekte hale geliyor. Saldırganlar PC aracılığı ile hemen hemen istedikleri her şeyi yapabilmekteler.”

“Saldırganlar ne yapmakta oldukları konusunda oldukça zeki olduklarından, kurban hiçbir zaman enfekte olduğunu fark edemiyor.”

Arbor Networks”ün yok ettiği botnet”te de aynı farkındalıktan yoksun olma durumu yaygındı.

Nazario “Kullanıcıların, bilgisayarlarının enfekte olduğunun ve bir botnet tarafınca kullanıldığının ve de kendi bilgisayarlarının bu saldırılarda aktif rol oynadığının farkında oldukları konusunda elimizde hiçbir kanıt yok,” diyor.

Arbor Networks tarafından yakalanan Hollanda”daki bostnet IM-replikasyonlu zombilerden farklı bir biçimde oluşturulmuştu. Nazario”ya göre botnet genel olarak istismar edilen Windows açıklarını tarayan bir yazılım kullanılarak oluşturulmuştu. Bu açıklar arasında, diğer saldırılarda kullanılan açıkların yanı sıra birkaç yıl öncesine kadar Sasser ve Blaster kurtçuklarının kullandığı açıklar ve geçen yıl Zotob kurtçuğunun kullandığı açık yer almaktaydı.

Zombi botnetler yakalanabilir ve bazı durumlarda yok edilebilirlerse de bir güvenlik tehdidi olarak kalıcı bir biçimde temizlenmeleri pek mümkün değildir.

FaceTime”dan Boyd “Birisini yakalayıp kapatsanız bile, onun yerine hemen bir yenisi bitecektir,” diyor. “Ancak pek çok Botnet”in betik olarak ortalıkta dolanan küçük çocuklar gibi olduğu, taşınan yükün özel olarak kötü amaçlı yazılmadığı veya aptalca şeyler yapıp kendi kendilerine sonlandıkları göz önüne alınırsa, o kadar da zararlı değildirler. ”

Boyd “En büyük sorun şifre hırsızlığı, kredi kart hırsızlığı gibi ciddi hasarlar veren Botnet”lerin varlıklarını sürdürmeleri,” diye ekliyor.

“Bunlar asıl sorunlu bölgelerdir ve istismarlar daha sofistike hale geldikçe bu problemleri engellemek daha da zor bir hale gelecektir.”

Botnet”ler ve onlara bağlı zombilerden oluşan orduları modern network dünyasının bir gerçeği olarak yaşamlarını sürdüreceğe benziyor.

Nazario “Bu durumun tamamen ortadan kaldırılabileceğini düşünmüyorum, en azından günümüz teknolojisi ile,” diyor. “Bilgisayarların birlikte bir network üzerinde çalıştığı ve yazılımların noksanlarının bulunduğu tahmin edilebilir gelecekte de uzaktan yapılan saldırılar başarılı olmaya ve böyle tehditler var olmaya devam edeceklerdir.”

Eğer PC”nizin zombiler dünyasına katılmasını istemiyorsanız kendinizi korumak için atabileceğiniz bazı adımlar mevcut. Boyd kullanıcılara en son yamaları sürekli yüklü bulundurmalarını, iyi bir güvenlik duvarı, anti-virüs ve anti-spam koruması kullanmalarını tavsiye etmekte.

“Ve asla ama asla kaynağını sorgulamadan körü körüne bir linki tıklamayın. Pek çok defa karşılaştığımız üzere, tek bir yanlış tıklama ölümcül olabilir.”

Kaynak: turk.internet.com

Yazar notu: Burada anlatılanlar daha çok Spyware, Worm ve Trojan tipi “botlar(programcıklar)” için geçerli. Genelde eggdroplarla kurulan botnetler kötü amaçlara hizmet etmiyor. Ancak unutmamak gerekir ki eggdroplarla kurulan botnetler de bu tür eylemlerde bulunabilir. O yüzden kurduğunuz botnetin güvenliğini sürekli kontrol edin veya girmeyi düşündüğünüz botneti iyice araştırın. Eğer gereken dikkati göstermezseniz bir bakmışsınız sizin sağa sola virüs yaymaya çalışıyor…

VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)
Be Sociable, Share!

, , , , , ,

  1. Henüz hiç yorum yok.
(yayınlanmayacak)


SetTextSize SetPageWidth