Zac Amos, Özellik Editörü, ReHack
Her gün yeni saldırı türleri ortaya çıktığı için siber suçlulara ayak uydurmak tam zamanlı bir iştir. Siber güvenlik analistleri, klasik fidye yazılımı ve kimlik avı düzenleri arasında botnet saldırılarını dikkate almalıdır.
Bu siber güvenlik tehditleri ne kadar yeni ve yaygın ve şirketlere ve bireylere yönelik tehlike açısından diğer yöntemlerle nasıl rekabet ediyor? Siber tehditlerin yeniliği ne olursa olsun, önlemeyi güçlendirmenin ve ihlallere hazırlanmanın her zaman yolları vardır.
Botnet Saldırıları Nedir?
Bilgisayar korsanları, botnet olarak bilinen, internete bağlı virüslü cihaz grupları oluşturur. Komuta ve kontrol (C&C) yazılımını kullanarak bu makinelerin bot çalıştırmasını sağlayabilirler ve ağları etkilemek için fidye yazılımlarından dağıtılmış hizmet reddi saldırılarına (DDoS) kadar her şeyi gerçekleştirirler. 2004’teki ilk botnet saldırılarından biri olan Bagle’den bu yana, botnet’ler bulaşmayı başlatmak için internet aktarma kanalı (IRC) protokollerinden yararlandı.
Bot ağları faaliyetlerini birkaç şekilde gizlemek için geliştikçe mimari gelişti. Bilgisayar korsanları bunu tipik internet kullanımı olarak gizlediği için IRC yerine sahte IP adresleri ve HTTP protokolleri kullanmaya başladılar. Bu istemci tabanlı sistem, emir vermek için çobana bağlı bir sunucuya bağlı olmaya dayandığından riskliydi.
Botlar bir müşteriye bağlı olmak yerine görevleri gerçekleştirmek için birbirleriyle iletişim kurabildikleri için, bu endişe eşler arası (P2P) botnet’lerle ortadan kalkar. Bu merkezi olmayan yapı, onları tespit etmeyi daha zor hale getirir.
Bir botnet oluşturmak, bilgisayar korsanları için avantajlıdır, çünkü bu gruplar birden fazla şekilde karlıdır. Bot çobanı – botnet’in arkasındaki bilgisayar korsanı – potansiyel olarak kazançlı saldırılar başlatabilir ve ağı diğer siber suçlulara istedikleri amaçlarla kullanmaları için kiralayabilir. Botnet, tespit edilmeden uzun süre çalışır durumda kalabilir, bu nedenle diğerleri bir bilgisayar korsanının kurduğu ağda değer bulabilir.
Nasıl Çalışırlar?
Bot ağları, birçok saldırının yaptığı gibi başlar – bir güvenlik açığı bulurlar. Amaç, hedef bilmeden bu maruziyetten yararlanmaktır. Önce bazı analistlerin zombi ordusu dediği şeyi yaratarak başlarlar. Botnet’in ilk amacı, spam ve truva atları gibi herhangi bir yöntemle virüslü cihaz sayısını artırmaktır. Ardından çoban, verileri çalmak veya kötü amaçlı yazılım yüklemek için komutları başlatabilir.
Popüler bot ağları on yılı aşkın bir süredir gelişiyor. En iyi bilinenlerden biri Zeus veya Zbot olarak adlandırılır. 2009’da ağında 3,6 milyondan fazla cihaz vardı, ancak sonunda, gizli kalmak için yeniden markalaşmak ve merkezi olmayan bir mimariye geçmek zorunda kaldı.
Bir diğeri, IoT bağlantılı cihazların güvenlik açıklarını ortaya çıkaran Mirai. Mirai, tuğla oluşturma saldırıları gerçekleştirmek için sensörleri ve güvenlik sistemlerini ele geçirerek bir cihazın donanım yazılımını sildi. Botnet saldırılarının erişilebilirliğini göstermek için üniversite öğrencileri, bir Fortune 100 şirketi değil, popüler internet oyunu Minecraft’ı hacklemek için Mirai’yi yarattı. Bir Minecraft sunucusunun ayda ne kadar kazanabileceğini gördüler ve maalesef ters giden bir yan iş olarak bundan yararlanmaya karar verdiler.
Diğer botnet’ler, şüphelenmeyen cihazlara saldırmaktan daha fazlasını yapmaya çalışır. Bot çobanları, özellikle fiyatlar sürekli değişken olduğundan, Sysrv gibi kripto para madenciliği yapmak için onları otomatikleştirebilir. Madenciliğe devam edebilirlerse, değişken fiyatlara rağmen çobanlara istikrar sağlar. Bu, özellikle kripto para biriminin doğası anonim olduğu ve botnet’lere tanımlamaya karşı ekstra bir koruma katmanı sağladığı için sorunludur.
İnsanlar Hangi Korumaları Alabilir?
Teknoloji, dayanıklılıklarına rağmen bot ağlarına karşı savunmasız değildir. Bu özellikle doğrudur, çünkü botnet saldırılarının neredeyse tüm nedenleri – kimlik avı ve kaba kuvvet saldırıları dahil – analistlerin günlük olarak hazırlanmaları gereken sorunlardır. Hepsi dikkate alınır, dolayısıyla risk yönetimi programlarının ve iş sürekliliği planlarının bir parçasıdır. Bununla birlikte, hiç kimse siber saldırıların tarafsız doğasını göz ardı edemez – ister tek girişimci ister multimilyon dolarlık bir şirket olsun, herkes ve herkes hazırlıklı olmalıdır.
İdeal eylem, virüslü cihazları bağlayan sunucuyu kapatmaktır. Çobanlar birden fazla C&C sunucusuna sahipse bu etkili olmayabilir, ancak bir saldırı durumunda başlamak için harika bir yerdir. Bağlantının kesilmesi, ekiplerin tüm bulaşma örneklerini ortadan kaldırmak için gerekirse cihazları taramasına ve potansiyel olarak yeniden biçimlendirmesine izin verebilir.
Ancak korunmanın en iyi yolu önleyici tedbirlerdir. İnternete bağlı herhangi bir sayıda cihazı korumak için en iyi ipuçlarından bazıları şunlardır:
- Güvenlik duvarları ve virüsten koruma yazılımı dahil olmak üzere sistemleri ve programları güncel tutun
- Güçlü parola oluşturma ve e-posta yönetimi gibi en iyi siber güvenlik hijyeni konusunda eğitim alın
- Son trendler ve saldırı yöntemleri hakkında bilgi sahibi olun
- Sıfır güven altyapısı gibi erişim ve izinler için önlemler uygulayın
- Bir izinsiz giriş tespit sistemi (IDS) kurun
- İki faktörlü kimlik doğrulamayı etkinleştirin (2FA)
Siber Güvenlikte Botnet Saldırıları
Botnet saldırıları, diğer siber tehdit türleri kadar sık meydana gelmez, ancak genellikle başka türde bir kaynağın dış görünüşüne sahiptir. Kimlik avı e-postaları veya DDoS saldırıları gönderebilirler, dolayısıyla bunun bir botnet parçası olup olmadığını anlamak kolay değildir.
Neyse ki, botnet saldırılarına yanıt vermek veya bunlara karşı korunmak için yalnızca birkaç yeni önlemin uygulanması gerekiyor. En iyi koruma farkındalıktır; potansiyel bir tehdit olarak var olduklarını bilmek, gelecek için her tür cihaz için daha kapsamlı bir koruma planı oluşturmaya yardımcı olabilir.
yazar hakkında
Zac Amos, siber güvenlik ve teknoloji endüstrisini ele aldığı ReHack’te Özellik Editörüdür. İçeriğinin daha fazlası için onu takip edin twitter veya Linkedin.