Botnet Botnet Saldırıları. Botnetten haksız para kazanma diyoruz ama botnet nedir?
Kaynak; Tacettin Karadeniz.. Yani Alıntıdır..
IRC(Internet Relay Chat) sadece kisilerin bir araya toplanip konustuklari iletisim aglari konumundan çikip Bilgisayarlarin kontrollerinin saglandigi
ortam olarak ön plana çikmaya basladi. Bot genel olarak IRC ortamlarinda kullanilan bir terim. Bot kendisine tanimlanan komutlari belirli bir
çerçevede gerçeklestiren bir programdir. Böylece IRC ortamindaki kanallar botlar vasitasiyla kontrolü saglanir.
Son zamanlarda Bot kavrami daha çok saldiri amaçli kullanilan sistemler için kullanilmaya baslandi. Bu tür bilgisayarlarin çogunlugunu internet
kullanicilarina ait sistemler olusturmaktadir. Bir internet kullanicisinin sisteminde kurulu olan Windows isletim sisteminde güncel yamalar kurulu
degil ise bu sistemin uzaktan kontrolü kaçinilmaz olur. Uzaktan kontrolu saglayip belirli bir IRC agina baglanip bir kanalda toplanmasini saglayan
çesitli tehlikeli uygulamalar vardir. Bu tür tehlikeli programciklarin çogu güncel sistem açiklarini bünyesinde bulundurur ve tarama modu ile
IP(Internet Protocol) adreslerine göre tarama gerçeklestirirler.
Tipik bir BOTNET döngüsü: [Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
Amaç:
BotNet sahibi bir saldirgan ayni anda 4-5 bilgisayari kontrol edebilecegi gibi binlerce bilgisayarida kontrol edebilir.
Tehlikeli botlarin kullanim amaçlari:
DDoS seklinde saldirilar gerçeklestirme SPAM ve kullanicilarin bilgisayarlarini etkileyecek zararli programlari dagitmak Network trafigini
kontrol etme(sniffer) …
Bir çati altina toplanmis sistemler(kullanicinin haberi olmadan sisteme sizan tehlikeli yazilim[bot] sistemi bir IRC sunucusuna baglar) genellikle
baska bir sisteme saldiri amaciyla kullanilir. Güvenlik açigi olan bir sistem(güncel yamalardan yoksun) internet ortamina girdiginde baska bir makine
tarafindan algilandiginda(bu islemi Bot yaziliminin otomatik IP tarama fonksiyonu gerçeklestirir) sistem kullanicinin haberi olmadan kontrol altina alinir.
Böylece bot ve güvenlik açiklari olan sistemler arasinda bir diyalog baslar. Hepsinin koordinasyonunu saglayan Bot yazilimini düzenleyip IRC ortaminda
toplanmasini ayarlayan kisidir.Bazı sunucular bu iş için daha önceden hazırlanmıştır.Yani; Bot güvenlik açigi tespit ettigi sisteme atak yaparak sistemin bir sunucudan
dosya(bu bot yada baska zararli dosya olabilir) çekip otomatik olarak çalismasini saglar. Bu sunucu bu isin gerçeklesmesi için daha önceden
ayarlanmistir..Bu açiklarin çogu isletim sistemlerinin zaaflarindan yararlanilarak ortaya çikarilmistir.
Atak yapilan portlarin basinda 139. / 135. / 445. portlar gelmektedir. Bir çok saldiri bu port üzerine gerçeklesmekte
Örnek :[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
Takip:
IRC agina baglanarak bir BOTNET bünyesine katilan bir sistemin isleyisinde yavaslama meydana gelme olasiligi çoktur. Sistemin yavaslamasinda
en büyük rolü otomatik ip tarama islemi esnasinda gerçeklesir. BOTNET kurallarini kabul eden bir bilgisayar yerel agin(LAN) bir parçasi ise
sistemde bulunan bu tehlikeli bot yerel agida etkileyecektir(Tara --> Güvenlik açigi varsa ne türde bir açik var? --> BOTNET).
Bu nedenle yerel agdaki dosya paylasimlarina dikkat etmek gerekir. Yerel agda zayif sifre politikasi botlar için mükemmel bir seçimdir.
Saldirganlar sistemleri neden IRC üzerinden kontrol yolunu seçerler?
• Rahat baglanti
• Kolay yönetim
Saldirganin BOTNETine katilan makine uzaktan kolay kontrol edilecegi için bu sistem üzerinde çalisan kullanici kolay takip edilebilir. Kullanici
hangi dosya üzerinde çalisiyor kullaniciya ait sifrelerin alinmasi gibi islemlerde gerçeklestirebilir. Ayrica saldirgan bilgisayarin teknik özelliklerini
tek bir komutla ögrenebilir. Bir çok kullanici bilgisayarlarinin bir BotNetin parçasi oldugunun farkina degil. Bilgisayar sahipleri çogunlukla güncel
yamalardan habersiz internete baglanir ve sistemine entegre olan bir bot vasitasiyla kontrolün baskasinda oldugundan habersiz islemlerini
gerçeklestirmeye çalisir. Sisteme iliskin yeni bir güvenlik açigi ortaya çiktiktan sonra bu istismari kullanan bir botta internette kurban aramaya çikar.
Botlarin kullanim sekilleri birbirine çok benzer. Sistem IRC agina baglanip kanala girdiginde(bu kanal genellikle sifrelidir) komutlarla yönetilir.
Bu botlarda komutlar birbirine çok yakindir.
Örnegin:
.login $iFRe
[MAIN]: Password accepted.
.capture screen C:\ekran.jpg
[CAPTURE]: Screen capture saved to: C:\ekran.jpg.
.execute 1 notepad.exe
[SHELL]: File opened: notepad.exe
.netinfo
[NETINFO]: [Type]: LAN (LAN Connection). [IP Address]: 192.168.1.32. [Hostname]: herakleia.localhost.

Botlarin yayilmasi için kullanilan bazi portlar:
Plug'n'Play - TCP/445 TCP/139
RPC-DCOM - TCP/135 TCP/445 TCP/1025
LSASS - TCP/445
Arkeia - TCP/617
Veritas - TCP/6101
Veritas - TCP/10000
WINS - TCP/42
Arcserve - TCP/41523
NetBackup - TCP/13701
WebDaV - TCP/80
DameWare - TCP/6129
MyDoom-Backdoor - TCP/3127
Bagle-Backdoor - TCP/2745
IIS 5.x SSL - TCP/443
Sistemi tehlikeye düsüren ve botlarin kullandigi güvenlik açiklarina iliskin bazi güvenlik yamalari:
MS03-007 {Unchecked Buffer In Windows Component Could Cause Server Compromise}
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
MS03-026 {Buffer Overrun In RPC Interface Could Allow Code Execution}
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
MS04-011 {Security Update for Microsoft Windows}
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
MS04-045 { Vulnerability in WINS Could Allow Remote Code Execution}
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
MS01-059 {Unchecked Buffer in Universal Plug and Play can Lead to System Compromise}
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
En çok kullanilan bot örnekleri:
_ Agobot
_ Phatbot
_ Forbot
_ XtremBot
_ SDBot
_ RBot
_ UrBot
_ UrXBot
_ GT-Bot
Yapilan bu ataklarin çogu güncel sistem açiklarini barindiran botlarin olusturdugu saldirilardir.
Bazi botlar sistemde çesitli servisleri açtiktan sonra(ftp http tftp) güvenlik açiklarini tespit ettikleri sisteme bu servisler araciligi dosyayi
aktarir.

[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(botun aktif olduğu sistemden dosya çekimi)
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(Bilgisayarin IRC agina baglantisi )
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
Botun kanala baglanti asamasi. Bot kanala sifresiz giremez(/JOIN ##kanal## SIFRE).
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(Bot sahipleri diger kullanicilarin bot kanallarina girmemesi için kanal için sifre tanimlarlar.)
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(Bilgisayarlar kanala girdikten sonra çesitli komutlarla yönlendirilirler)
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(Bot yüklü olan bilgisayara web üzerinden bir dosya yüklenmesi saglanabilir. )
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(Saldiri esnasinda tespit edilen bir paket. Amaç; güvenlik açigi olan sisteme web üzerinden dosya yüklemek)
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(Bot Bilgisayari IRC agina baglarken otomatik olarak Nick atar)
[Linkleri sadece kayıtlı üyeler görebilir Kayıt olmak için buraya tıklayın]
(Snort uygulamasi algilanan ataktan 2 örnek)

Sonuç:
BOTNET kontrolünü saglan bir saldirgan ayni anda bilgisayarlari kontrol ederek istedigi internet adresine DDoS saldirisi gerçeklestirebilmektedir.
BOTNET sahipleri kendi aralarinda yada çesitli kisilere para karsiliginda makinelerin toplandigi kanallari kiralayabilir. Hatta kullandigi tehlikeli bot
programini bir ücret karsiliginda satma yolunu tercih etmektedir.
Dikkat edilmesi gereken husular:
- Antivirüs kullanin. Kullandiginiz antivirüs yazilimini güncellemeyi unutmayin.
- E-Posta ile gelen dosyalara devamli süphe ile yaklasin. Dosya uzantisi .pif .scr .bat .exe .zip .rar ise dikkatli olun(tanidiginizdan gelen bir dosya
olsa dahi süpheden vazgeçmeyin).
- IRC ortaminda sohbet ederken dikkatli olun. Bu sohbet ortaminda size verilen internet adreslerine girmeyin(bu adresler genellikle otomatik olarak
IRCde kisilere gönderilir).
- Dosya paylasim programi(p2p) kullanarak bilgisayariniza çektiginiz dosyalara dikkat edin.
Son olarak dikkat etmeniz gereken nokta;
Klasör seçeneklerindeki Görünüm bölümünde bulunan “Bilinen dosya türleri için uzantilari gizle” seçenegi aktif olmasin. Böylece dosya uzantilarini
görürsünüz. Bu da sizin ne tür dosyalarla ugrastiginizi anlaminiza yardimci olur. E-Posta ile gelen dosya .doc gibi görünür ama gerçekte
“Belge.doc .exe” olabilir.

_______________________