Botnet’ler, internetin başlangıcından bu yana önemli ölçüde gelişen, güvenliği ihlal edilmiş cihazların ağlarıdır. Tehdit aktörleri, bu cihazları kötü amaçlı faaliyetler için kullanarak uzaktan kontrol etmek için güvenlik açıklarından yararlanır.
Bu faaliyetler, spam göndermekten yıkıcı dağıtılmış hizmet reddi (DDoS) saldırıları başlatmaya kadar uzanır; çünkü botnet’lerin merkezi olmayan doğası, savunuculara önemli zorluklar sunar.
Tehdit aktörleri, güvenliği ihlal edilmiş çok sayıda cihazdan saldırılar düzenleyerek hedefleri alt eder ve saldırının kaynağının tespit edilmesini ve engellenmesini zorlaştırarak kökenlerini maskeler.
Kötü niyetli botnet’ler çok çeşitli siber saldırılar düzenler ve yoğun trafiğe sahip hedefleri felce uğratarak yıkıcı DDoS saldırıları başlatır. Gelen kutularını doldurarak ve veri hırsızlığı için güvenlik açıklarından yararlanarak spam ve kimlik avı kampanyalarına öncülük ediyorlar.
Kimlik bilgisi doldurma ve veri hırsızlığı işlemleri otomatikleştirilmiştir; bu da zayıf kimlik bilgilerinin kullanılmasına ve hassas bilgilerin dışarı sızmasına olanak tanır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Cryptojacking, yasadışı kripto para birimi madenciliği için güvenliği ihlal edilmiş cihazlardan yararlanır. Botnet’ler ayrıca proxy görevi görür, saldırganın kökenlerini maskeler ve hileli reklam geliri sağlayan tıklama sahtekarlığı gerçekleştirir.
Kasım ayı sonlarında yapılan bir malspam kampanyası, nakliye faturası görünümündeki kötü amaçlı zip dosyalarını dağıtarak DHL’in kimliğine büründü. “Fatura 123.zip” veya “Takip 456.zip” gibi tutarlı dosya adları içeren e-postalar, alıcıları ekleri açmaya teşvik etti.
Bu, potansiyel olarak veri sızıntısına, sistem güvenliğinin aşılmasına veya diğer kötü amaçlı etkinliklere yol açabilecek bir kötü amaçlı yazılım bulaşmasını tetikledi. Bu spam e-postaların on binlercesinin analizi, karmaşık ve potansiyel olarak yaygın bir saldırıyı ortaya çıkardı.
JavaScript dosyası gizlenmiştir ve 62.133.60’ta barındırılan kötü amaçlı bir komut ve kontrol (C2) sunucusuna giden bağlantı kuran bir PowerShell betiğini indirip yürütmek üzere tasarlanmıştır.[.]137, Global Bağlantı Çözümleri (AS215540) ile ilişkili bir IP adresidir.
Botnet, uzaktan erişim elde etmek için muhtemelen önceden bilinen bir kusurdan yararlanan yönlendiricilerdeki bir güvenlik açığından yararlanıyor. Bir aktör, güvenliği ihlal edilen her cihaza, onu bir SOCKS proxy’sine dönüştürerek bir komut dosyası yükler.
Diğer kötü niyetli aktörlerin, DDoS saldırıları, veri hırsızlığı, kimlik avı kampanyaları ve kötü amaçlı yazılım dağıtımı dahil olmak üzere çeşitli kötü amaçlı faaliyetler için botnet’ten yararlanmasına olanak tanır.
Infoblox’a göre, bu proxy’lerin yaygın kullanımı, saldırıların kaynağını maskeleyerek ve saldırganlara anonimlik sağlayarak botnet’in etkisini önemli ölçüde artırıyor.
Alan adlarının SPF kayıtlarındaki yanlış yapılandırma, malspam aktörlerinin e-posta güvenlik önlemlerini (yani bir alan adı için e-posta göndermeye yetkili sunucuları tanımlayan bir DNS kaydını) atlamasına olanak tanıdı.
Düzgün yapılandırılmış bir SPF kaydı, yetkili sunucuları belirtir ve yetkisiz sunuculardan gelen e-postaları reddeder.
Bununla birlikte, yanlış yapılandırılmış SPF kaydının sonunda ‘+tümü’ ifadesi yer alıyordu; bu da herhangi bir sunucunun alan adı adına e-posta göndermesine izin veriyordu ve SPF kaydının amacını boşa çıkarıyordu.
Malspam kampanyası, 20.000 alan adından sahte e-postalar göndermek için SOCKS4 aktarıcıları olarak çalışan 13.000’den fazla ele geçirilmiş MikroTik cihazından yararlandı. Tehdit aktörleri, yanlış yapılandırılmış DNS SPF kayıtlarından yararlanarak e-posta korumalarını atlattı.
Cihaz erişilebilirliğinin ve uygun DNS yapılandırmalarının düzenli olarak denetlenmesi ve malspam’in ötesinde çeşitli kötü amaçlı etkinlikleri kolaylaştırabilecek bu gelişen botnet’in oluşturduğu risklerin azaltılması da dahil olmak üzere sağlam güvenlik önlemlerine yönelik kritik ihtiyacın altını çiziyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri