Mirai Bot Teknik Analizi

December 31, 2016 Leave a Comment

MIRAI Bot Nedir Ve Neden Bu Kadar Önemlidir?

İnternete bağlı nesneleri, yani DVR, IP tabanlı kamera, uydu alıcısı, ev tipi küçük yönlendirici cihazlar (ADSL router modem)  gibi aygıtları hedef alan bir zararlı bot yazılımıdır.

Bugüne kadar büyük ölçekli bir çok DDoS ile karşılaşıldı, 2000-2010 yılları arasında internet üzerinde çok hızlı yayılan ve çok hasar veren bir çok zararlı yazılımla karşılaşıldı. Fakat bunların hiç birisi kullandığımız kişisel bilgisayarlar yerine özel olarak internete bağlı nesneleri, farklı işlemci mimarisine sahip  ağa bağlı cihazlarını hedef alarak yayılmamıştı. Bu özelliğiyle Mirai istisnai bir konuma sahip belki de benzer saldırıların öncüsü. Bu istisnai durumu ve 21 Ekim’de başlayan saldırıların en yaygın kullanılan internet servislerini aksatması Mirai Bot’u bir anda tüm dünyanın gündemine taşıdı.

Hangi Zayıflığı Kullanır?

Mirai, internete bağlı nesnelerin çoğunun güvenlik tedbirleri göz önünde bulundurulmadan üretilmesi, varsayılan kullanıcı adı/parolalar ile internete bağlanması ve bu cihazları kullanan ev kullanıcılarının bir çoğunun bu cihazların güvenliğini sağlamak konusunda herhangi bir bilgisi olmamasından yola çıkarak internet üzerindeki bu cihazları hedef almaktadır. Temel olarak sistemleri ele geçirmek için kullandığı güvenlik zafiyetine “Zayıf veya varsayılan kullanıcı adı/parola” diyebiliriz.

Mirai, kendi içerisinde 61 zayıf ve standart kullanıcı adı/parola barındırır ve internet üzerinde bu zayıf parolaları kullanan cihazları bularak bu cihazları ele geçirir.

Read more of this post

Filed under blog Tagged with , , , , ,

Türkiye’nin Botnet Durumu

October 5, 2016 Leave a Comment

 

Türkiye’nin EMEA bölgesinde botnet barındırma sıralamasında ilk sırada olduğunu gösteren bir rapor yayınlandı. Şehirler sıralamasında ise İstanbul ve Ankara en fazla botnet bulunan ilk iki şehir.

turkey-botnet

Kaynak: Symantec EMEA DDoS Report

Saldırganların botnet kullanım amaçları ve yöntemlerini daha iyi anlamamız gerekiyor. Son zamanlarda çok bahsettiğimiz hedefli saldırılardan öncesinde saldırganlar da yaygın bir kitleye ulaşmayı hedefliyorlardı.

Botnet’ler eskiden beri sadece DDoS saldırıları için kullanılmıyorlar. Bulaşılan sistemdeki kredi kartı bilgilerini, e-posta hesap bilgilerini veya saldırgan için yararlı olabilecek çeşitli verileri almak için de kullanılmaktalar.

Son yıllarda çoğunlukla hedefli saldırıların engellenmesindeki zorluğu aşmayı belki de bir teknik bir becerinin göstergesi ve rekabet gördüğümüz için çok odaklandık ama geleneksel tehditler de yakamızı bırakmış değil. Teknikler geleneksel olsa da, yeni altın madeni bulaşılan sistemdeki bilgi olduğu için, saldırganlar da “serpme” yaptıktan sonra bulaşılan sistemleri tek tek inceliyorlar. Bu sistemlerin bir banka çalışanının veya kamu görevlisinin bilgisayarı olup olmadığını, sistemlerde kaldıraç olarak kullanabilecekleri herhangi bir bilgi kırıntısı bulunup bulunmadığına bakıyorlar. Eğer bulaştığı sistem “kayda değer bilgiler” barındırıyorsa veya yayılmaya değer bir ağa bağlıysa; bu sistemlerle özel olarak ilgilenmeye içeride yayılmaya başlıyorlar. Buraya kadar hedefli olmayan ve rastgele yayılan saldırganın adımları bu aşamadan sonra gelişmiş hedefli saldırılardaki “kill-chain” dediğimiz ölüm zincirinin devamı oluyor.

 

Hedefli Saldiri Zinciri

 

Botnet’lerin/zararlı yazılımların sadece DDoS saldırıları sayesinde oluşturdukları etkileri çeşitli küresel şirketlerin hizmet veremez hale gelmesinde uzaktan görmüştük. Rusya ile yaşanan uçak krizinin hemen akabinde de DDoS saldırılarının bankalarımız ve kamu sistemlerimizdeki etkisini kendi ülkemizde yaşamış olduk. Bu esnada ortaya çıkan bazı veriler, DDoS saldırılarını gerçekleştiren botnet’lerin ciddi bir kısmının da Türkiye’de konuşlanmış olduğuydu; yani içeriden vurulduk.

Botnet’ler/zararlı yazılımlar eliyle DDoS saldırısı yapabilme kabiliyetinin artık stratejik bir güç veya en hafif değerlendirmeyle siber operasyon kabiliyeti olarak tanımlandığı bir dönemdeyiz. Ofansif olarak bu güce sahip olmak gerektiği gibi, defansif olarak hem DDoS’la hem de bunun asıl kaynağı olan botnet’lerle mücadeleye yoğunluk vermemiz gerekiyor. Botnet’lerle mücadele edilmesi hem ülke içi ağlardan kaynaklanacak DDoS saldırılarının önüne geçecek hem de serpme saldırılarla kritik verilerin sızdırılmasını engelleyecektir.

EMEA botnet istatistiklerinde şehir sıralamasında Ankara’nın ikinci sırada olması kabul edilebilir bir durum değil. Ankara’daki sistemlerin büyük oranda kamu ve üniversite sistemleri olduğunu düşünürsek, botnet bulaşma adedinin EMEA’da ikinci sırada olması demek; kamu sistemlerimizin ve akademik ağlarımızın botnet’e dahil olmak bir yana; zararlı yazılım kaynadığını gösteriyor. Bu zararlı yazılımlarla bilgi çalma ve izleme operasyonları yapılabileceği, bulaşılan kurumlarda saldırganların yatay ve derinlemesine erişim elde etmeye devam edeceği de düşünülürse aslında siber casusluk için deney tahtası haline geldiğimiz değerlendirmesini yapmak isabetli olur.

Botnet ile mücadele etmek elbette kolay değil. Sadece ISP’lerle çözülebilecek bir konu da değil. Son kullanıcının bilinçlendirilmesi de bu işin bir bacağı, ISP’lerin zararlı yazılım yayılmasını engellemek için tehdit istihbaratı üretip, trafik analizi ve zararlı yazılım tespit sistemleri kullanmaları da bu bu işin bir bacağı. Çok boyutlu ve katmanlı yaklaşım gerektiriyor.

Telekom operatörleri seviyesinde DDoS ile mücadele etmek için güvenlik önlemleri alınsa da; ülke içerisindeki botnet’lerle, zararlı yazılımlarla mücadele etmedikçe hem ülke içinde kaynağı olan DDoS saldırılarına karşı anlamlı bir çözüm elde edemeyiz hem de siber espiyonaj için herhangi bir tedbir almamış oluruz.

Siber kabiliyetlerin caydırıcı güç olarak kullanıldığı, devletler arası ilişkilerde artan gerginlikte bir kademe olarak kullanıldığı çağdayız. Bunun kabiliyetin en görünüz yüzü DDoS, arkasındaki altyapı ise zararlı yazılımlarla oluşturulan botnet’ler. Hem kurumların hem de güvenlik çözümleri sağlayanların öncelikleri belirlerken bu konuya ağırlık vermesi gerekli.

 

 

Filed under blog Tagged with , , ,

SYN Flood Testleri

June 23, 2013 Leave a Comment

Bu aralar DoS/DDoS saldirilari cok ayaga dustu malum, o sebeple bir cok yonetici kendi sistemlerinin bu tip saldirilara karsi ne kadar dayanikli oldugunu test etmek istiyor.

Layer7/uygulama katmaninda yapilan flood saldirilari spoofed ip’lerle yapilamayacagi icin genellikle botnet’lerle gerceklestirilse de, hala en yaygin saldirilarin basinda SYN Flood saldirilari var. Cunku ;

1. uygulamasi cok kolay

2. etkisi yuksek.

Yillardir tabi bunun icin syncookie enable, tcp timeout suresini dusurme gibi bir cok optimizasyon yolu mevcut lakin PPS yukseldikce bildiginiz gibi ag girisindeki sistemler hatta bazen(cogunlukla) uygun olmayan veya duzgun ayarlanmamis IPS  ve Firewall sistemleri servis veremez duruma geliyor, beraberinde de agin tamamini erisilmez kiliyor.

SYN Flood saldirilarinda juno araci cok yaygin sekilde kullanilir. Hatta ben kendimi bildim bileli, henuz 2000 olmamisken dahi iRC network’lerine saldirmak icin bol bol kullandigimiz bir aracti 🙂

Simdi bunu kullanip kendi sistemlerini test etmek isteyen sistem yoneticileri, normal sekilde juno’yu kurduklarinda olculebilir bir test yapamazlar zira siz durdurana kadar calismaya devam eder. Istediginiz sayida paket gonderilmesi icin ben de opsiyonel bir parametre ekledim, boylelikle legal kullanima ve sistemleri test etmeye daha yatkin hale geldi. Hazir el atmisken ciktilarinda da biraz makyaj yaptim.

Syntax: ./juno <target ip> <target port> [packet count (optional)]

 

packet count icin bir deger vermezseniz yine eski usul siz kesene kadar calisiyor.

juno-new

Read more of this post

Filed under blog Tagged with , , ,