Botnet’lerin iç yüzü

Botnet’lerin iç yüzü

Kendi işini kendin gör

Bir botnet yöneticisi olmak çok pahalıya patlamıyor. “Piyasa” temel alındığında, yaklaşık 500 avroya gerekli yazılımları temin etmek mümkün. Tıpkı yasal yazılımlarda olduğu gibi bu alanda da daima geliştiricilerin emeğinden faydalanan ve “çakma” sürümler satanlar oluyor.

“Korsana karşı savaş” ekseninde trojan ve benzeri kötü yazılım geliştiricilerinin işi, yasal meslektaşlarına nazaran çok daha zor. Bunun nedeni, büyük şirketlerdeki benzer teknik kaynaklara sahip olmamaları ve (belki de en önemlisi) kendilerini kollayacak bir kanundan mahrum olmaları. En son istedikleri şey takip edilmek; bu yüzden etkinleştirme sunucusu işletmeleri söz konusu bile değil (en azından bu işi üstlenecek dinamik botnet misali bir şeyin nasıl kullanılacağını bulmalarına kadar).

Güvenlik firması Symantec’e göre bu problemin çözümü, “tüketicileri” antivirüs şirketlerine satmakla tehdit etmek. Konuyu açacak olursak, eğer Zeus Trojan’ın değiştirilmiş bir sürümünü satın alır ve tekrar satarsanız veya ters mühendislik yapmaya kalkışırsanız lisans anlaşmasını ihlal etmiş oluyorsunuz. Bu gibi bir durumda, kurnaz geliştiriciler trojan kopyanızı güvenlik firmalarına göndererek kullanışsız hâle gelmesine neden oluyorlar. Symantec, Zeus Son Kullanıcı Lisans Anlaşması’nın aşağıdaki şu ikazına dikkat çekiyor: “Anlaşma ihlali ve tespit edilme durumlarında istemci tüm teknik desteği kaybeder. İlaveten, programınızın ikili kodu hemen antivirüs şirketlerine gönderilir.”

Anlaşılıyor ki bu yaklaşım da pek işe yaramamış. Bu yazılımın kopyaları, sürülüşlerinin hemen ardından internet forumlarında takas ediliyordu ve yıllar sonra bu hâlâ aynı şekilde devam ediyor.

Ortalama bir çaylak suçlu bu yazılımın bir kopyasını ele geçirdiğinde kendi kötü niyetli yazılımını inşa edebiliyor. Sağ köşede bulunan resim, bu işlemin bir bölümünü sergiliyor. Gördüğünüz gibi bu, oldukça basit birkaç tıklamadan öte bir şey değil.

Ayarları değiştirerek Zeus Trojan’ı yapılandırmak çok da zor değil. Zeus Builder arayüzü, kullanıcılara farklı yapılandırmalar kurma olanağı sağlıyor.

Geriye yatırım gerektiren tek bir aşama kalıyor, o da trojan’ı dağıtmaya yardım edecek birine ödeme yapmak. Muhtemelen bu aşamada yazılım, ikna edici e-postalara ekleniyor, paravan sitelerde depolanıyor ve insanları bu sitelere yönlendirecek bir spam kampanyası başlatılıyor. Bu alanda gelişen yeraltı ekonomisi sayesinde, dijital suç kariyeri yolunda ilerleyenler artık kodlama, dağıtım ve kontrol gibi görevlerle uğraşmak gibi bir zorunlulukla yükümlü değiller. Daha kolayını düşlemek zor… Gene de bazıları (genellikle ekstra kazanç için) bu görevleri yerine getirmede istekli ve ehliyetli olabiliyorlar.

Daha teknik bir yöntem, kullanıcıları virüslü web sitelerine yönlendirmekten geçiyor. Bu sayede kullanılan “drive-by” indirme teknikleriyle kötü niyetli yazılımlar ziyaretçilerin bilgisayarına sezdirmeden kuruluyor. Bu yöntemin işleyebilmesi için kullanıcının bilgisayarında güvenlik kusuru barından yazılım bulunması gerekiyor. Eğer web tarayıcınızın veya Adobe Reader, Adobe Flash ya da QuickTime gibi çevrimiçi aparatların eski bir sürümünü kullanıyorsanız, en basitiyle bir web sitesini tarayıcınızda açmanız bile sisteminizin “teslim olması” için yeterli olabiliyor. Çoğu durumda bilgisayarınızın hack edildiğinden haberiniz bile olmuyor.

Gizli yazılım sisteme nasıl bulaşırsa bulaşsın, yerleştiği sistemden kişisel verileri toplamaya başlıyor ve internetteki bir veya birden fazla sunucuya gönderiyor. Sinsi yazılım kişisel verileri toplamak için bilgisayarın sabit diskindeki “log” dosyalarını, parola dosyalarını ve popüler hesap paketleriyle uyumlu formattaki dosyaları tarıyor. Ayrıca bu truva atları genellikle parolaları, kredi kartı numaralarını ve diğer hassas bilgileri açık bir şekilde ele veren tuş darbelerinin de takibini yapıyor.

Suçlu bu yolla sadece kişisel bilgilere erişmekle kalmıyor, ayrıca sistemi uzaktan kontrol edebiliyor. Ele geçirilen sistemler, suçluların çıkarları doğrultusunda tüm ileri teknikler kullanılarak müşterek çalıştırılabiliyorlar. Böylece diğer bilgisayarlara veya ağlara karşı saldırılar düzenleyebiliyor ya da dev bir şer ağı haline gelip otomatik bir şekilde servis sağlayıcıların karşı girişimlerinin önüne geçiyorlar. Kötü niyetli web sitelerine dönüşebiliyorlar, spam ve arama motoru hileleriyle linkleri dağıtarak bu sitelere trafik akışı yaratıyorlar ve üstüne online reklam verme sistemlerini dolandırarak gelir üretiyorlar.

Botnet kavram olarak yeni olsa da öz itibarıyla, enfekte olmuş bilgisayar sürüleri ve sonraları “zombi” gibi adlandırmalarla 2000’lerin başından bu yana gerçekliğini koruyor. Başlangıçta genellikle, sürüler halindeki PC’lerin tek bir hedefe veri göndermesi mantığıyla çalışan dağıtık hizmet reddi (DDoS) saldırılarında kullanıldılar. Çoğu internete yavaş bir çevirmeli bağlantıyla bağlı olsa da, tüm bu bilgisayarlar aynı anda yarattıkları kümülatif etki sayesinde hızlı web sitelerini bile nakavt edebiliyorlardı. Raporlara göre DDoS saldırıları daha çok bahis şirketleri başta olmak üzere çeşitli ticari kuruluşlara şantaj yapmak için kullanılıyordu. Örneğin bir suçlu, bir bahis şirketini belli bir miktarda fidye ödememesi durumunda sitesinin en işlek yarış dönemlerinde çalışamaz hâle getirmekle tehdit ediyordu.

Son on yıl içerisinde, başkalarının bilgisayarlarını yasa dışı bir şekilde kontrol altına alan suçlular, ileriye dönük aktiviteler için botnet kullanımının faydalarını keşfetmeye başladılar. Çalıntı bilgi ve bunları ele geçirmeye yarayan araçların ticareti, çevrimiçi bir yeraltı ekonomisi oluşturdu.

En azından standart güvenlik önlemlerini almakta fayda var: Zeus’un da arasında bulunduğu her çeşit kötü niyetli yazılımın bulaşma riskini azaltmak için işletim sisteminizi ve antivirüs yazılımınızı güncel tutun.

Zeus neden bu kadar önemli?

Zeus raporunda her 200 PC’den birine Zeus Trojan’ın bulaştığı belirtiliyor. PrevX CEO’su Mel Morris’e göre hâlâ buz dağının tepesini görüyoruz ve Zeus’un kapsama alanı da sanıldığından daha geniş. PrevX’in verilerine göre 5 binden fazla Zeus sunucusu bulunuyor ve bunların her biri bin ile 100 bin arasında değişen özel olarak ele geçirilmiş PC’leri yönlendiriyor. Bu hesap neredeyse yarım milyar PC’ye denk geliyor ki, bu oran, Gartner analizlerine göre 2010 yılında satılması beklenen toplam PC sayısından daha fazla. En düşük ihtimalle bile, her bir trojan için, her an yönlendirilmeyi bekleyen en azından 5 milyon Windows PC’nin varlığından söz ediliyor. Unutulmaması gereken bir diğer nokta da Zeus’un tek botnet olmadığı. Bu gerçek, dünyadaki enfekte bilgisayarların tahmini sayısını artırmak dışında başka anlama gelmiyor.

Zeus’un yaygınlığının en büyük nedeni, bir botnet oluşturmak için gerekli yazılımın kolay bir şekilde erişilir olması. PrevX ve diğer güvenlik firmaları, bu truva atının değiştirilmiş bir sürümünü satın almanın kolaylığı üzerinde duruyorlar. Bazı suçlular diğerlerine yazılımlarını dağıtmak üzere yardım etmede uzmanlaşırken, bazıları da kendi botnet’lerini zaman aralıklarıyla kiraya veriyorlar. Symantec, Zeus’un saçtığı tehdidin boyutunu, “Zeus: Botların Efendisi” başlığı altındaki özel bir raporda açıklıyor. Raporda, “Bir botnet paketi olan Zeus, 700 dolardan başlayan fiyatıyla satın alınabilirken, ücretsiz bir şekilde de elde edilebiliyor. Botlar dünya çapına yayılıyor ve ele geçirilen korumasız bilgisayarlarda tutarlı bir şekilde varlıklarını koruyorlar.”

Evet, gözden çıkarılacak birkaç yüz dolara herkes çevrimiçi suç dünyasına etkili bir giriş yapabiliyor. Bunu bir teşvik olarak algılamayın; burada edineceğiniz bilgilerin sunulma amacı, daha çok, güvenliğimizi tehdit eden böyle tehlikelere karşı korunmanızda fayda sağlayacak kapsamlı bir izlenim elde etmek. Örneğin, Google’da bir “Zeus user’s guide bot” araması yapın, kötü niyetli yazılım kullanımı hakkında iyi yazılmış pek çok rehber için linklerle karşılaşacaksınız. Fakat bu aramayı yapmadan önce merakınızın pahalıya patlayabileceğini aklınızdan çıkarmayın. Bu tür içeriği sunan sitelerin güvenliğine de kimse garanti veremez.

Zeus kontrol paneli

Peki güncel bir anti virüs yazılımıyla bu tehlikeden ne kadar uzağız? Sıkça söylediğimiz gibi; güvenlik yazılımı, güvenliğe katkı amacını güdüyor, güvenliği garantilemeyi değil. Zeus Trojan’ın sağlayıcıları çabalarının büyük bir kısmını antivirüs yazılımlarından saklanma yollarını araştırarak harcıyorlar. PrevX’in raporuna göre, “Her ne kadar Zeus birtakım gelişkin özelliklere sahip olsa da, bulaşma esnasında anti virüs korumalarını atlatması, başarısı için en önemli aşamayı teşkil ediyor. Bulaşmadan sonra geçen görece uzun bir sürenin ardından (genellikle güvenlik firmaları arasında gerçekleşen numune paylaşımyla) çoğu Zeus truva atı sonunda tespit ediliyor. Zeus’un sistemdeki bu gizli varlığı ve sessiz müdahalesi, aynı zamanda kullanıcının sahte bir güvenlik hissine kapılmasıyla da sonuçlanıyor. Bu his, özellikle de temiz çıkan virüs taramalarıyla güçleniyor. Çoğu vakada Zeus truva atı günlerce, haftalarca, hatta aylarca aktif kalabiliyor.”

McAfee’nin güvenlik stratejisi yönetmeni Greg Day, Zeus’un antivirüs yazılımını aldatmada başarılı olduğunu kabul ediyor: “Teknik anlamda en karmaşık botnet’le karşı karşıya olmasak da, aralarında en üretkeni olduğu kesin. Antivirüsten kaçmada başarılı olmasının nedeni tespit edilecek çok şeyi olmaması. Bu, bir web sitesine yönlendiren basit bir betik… Yazılımı indiren drive-by saldırısı, truva atının arkasındaki farklı işlevsellik parçalarını çekiyor ve uygulamaya sokuyor. Çok ince bir veri tabakası oluşuyor ve kalan parçaları çekmeye devam ediyor. Çok sayıda varyasyon bulunuyor.”

Diğer bir deyişle, bilgisayarınız bulaşıcı bir siteden bir sayfa yüklediğinde, başta çok ufak ve cüzi gözüken bir kod parçasını indiriyor. Bu o kadar ufak boyutta bir veri ki, antivirüs yazılımı zararlı olup olmadığı konusunda karar vermek için delil yetersizliği çekiyor. Kurulduğunda ise, diğer kod parçalarını indirmeye başlıyor ve daha işlevsel bir zararlı yazılım olma doğrultusunda kendini yapılandırıyor.

Durumun ciddiyetini artıran şey, truva atının kurulur kurulmaz bilgi hırsızlığına başlaması. “Buna tüm tarayıcı önbelleği içeriği ve korumalı depolama alanları dâhil bulunuyor. Çoğu durumda Zeus’un zaferini pekiştiren tonlarca kullanıcı adı, parolalar, tarayıcı geçmişi ve kopyalanabilecek kadar kişisel veri bu ilk aşamada elde ediliyor.” Klavye tuşlamalarını ‘dinlemesi’ ve hatta kurban yeni mesajlarını kontrol ettiği sırada ağdan doğruca POP3 e-posta parolalarını elde etmesi, truva atını her an tehlikeli kılan unsurlardan.

2 yorum

  1. Serhan

    Aslında botnet’i ilk olarak botnet’i barındıran host firmasından başlamak lazım.Çünkü botnet bir host tarafından barındılır ve dos komut sistemi ile işler.

  2. Bence

    O dediğin aslında sadece bir güvenlik önlemi, şuan bir açık ile veyahut iyi gizlediğim “kötü niyetli” bir yazılımı; masaüstümden veya mail ile vs kontrol edilebilir.

Yorum yazın