Bu İçerikte Bahsedilen Konular
Botnet (Robot Ağı), DDoS saldırısı sırasında olduğu gibi tek bir hedefe veya e-posta kimlik avı saldırıları sırasında olduğu gibi birden çok hedefe koordineli saldırılar başlatmak için kullanılan kötü amaçlı yazılım bulaşmış cihazlardan oluşan ağı ifade eder. Bir botnet’teki tüm virüslü makineler, dünyanın herhangi bir yerinde bulunabilecek tek bir siber saldırgan tarafından uzaktan kontrol edilir.
Kötü amaçlı yazılım bulaşma yeteneğine sahip, internete açık herhangi bir cihaz, Nesnelerin İnterneti (IoT) cihazları, bilgisayarlar, sunucular ve hatta mobil cihazlar bir botnet’te kullanılabilir. Güvenliği ihlal edilmiş her cihazın bir botnet’e eklenmesi ile botnet saldırısının yoğunluğu ve yıkıcılığı artar. Yani bir botnet’teki virüslü cihazların sayısı ne kadar fazla olursa, siber saldırı o kadar yıkıcı olur.
Botnet Saldırısı Örnekleri
Botnet’ler yaygın olarak aşağıdaki siber saldırılar için kullanılır:
1. DDoS Saldırıları
DDoS saldırısı (Distributed Denial-of-service attack), bir web sunucusuna veya özel ağa çok sayıda bağlantı isteğini aşırı yüklemek ve çevrimdışına zorlamak için bir botnet’in kullanılmasıdır. DoS saldırısı (Denial-of-service attack), güvenliği ihlal edilmiş tek bir cihaz tarafından yürütülür. DDoS saldırıları ise hasarı en üst düzeye çıkarmak için güvenliği ihlal edilmiş birden çok cihazla yürütülür.
DDoS saldırıları bazen rekabet avantajı sağlamak amacıyla web sitesi satışlarını bozmak için başlatılır. Ransomware (fidye yazılımları) gibi, DDoS saldırıları da kurbanın siber saldırıyı durdurmak için ödeme yapmaya zorlandığı bir şantaj içerir. Sebebi ne olursa olsun, tüm DDoS biçimleri dünyanın genelinde suçtur.
Gerçekleşen bir DDoS saldırısının göstergesi olabilecek iki işaret vardır:
- Web siteniz alışılmadık şekilde yavaş yükleniyorsa, bunun nedeni web sunucunuzun saldırı altında olması olabilir. Web siteniz sonunda tamamen yüklenmeyi durdurursa ve bunun yerine bir ‘503 hizmeti kullanılamıyor‘ hatası görüntülerse, durum böyle olabilir.
- Web sitenizi yüklemeye çalıştığınızda ‘503 hizmeti kullanılamıyor’ hatası görüyorsanız benzer bir durum söz konusudur. Diğer web siteleri kusursuz yükleniyorsa ancak web sitenizi yüklemeye çalıştığınızda bir ‘503 hizmeti kullanılamıyor’ mesajı görüyorsanız, web sunucunuz web sitenizi yükleyemiyor demektir. Bu, bir DDoS saldırısının amaçlanan sonucudur.
DDOS saldırıları nelerdir ve bu saldırılardan nasıl korunabilirsiniz öğrenmek ister misiniz? Hemen buradaki blog yazımızı inceleyin ve cevabını öğrenin.
2. Kimlik Avı Saldırıları (Phishing)
Kimlik avı saldırısı, siber suçluların hassas verilere erişmek için özel kimlik bilgilerini çalmak amacıyla virüslü bağlantılar içeren görünüşte zararsız e-postalar göndermesidir. Bir botnet, alıcıların e-posta hilesine kapılma şansını artırmak için büyük ölçekli bir kimlik avı saldırısı başlatabilir. Böyle bir duruma sahip herhangi bir e-posta alırsanız, onlarla etkileşime geçmemelisiniz. Bir phishing saldırısının kurbanı olduğunuzu düşünüyorsanız, her durumu ilgili makama bildirebilirsiniz.
Phishing ya da oltalama saldırısı hakkındaki detaylı bilgilere buradan ulaşabilirsiniz.
3. Finansal Veri İhlalleri
Finansal botnet’ler kurumları kredi kartı numaraları gibi hassas finansal bilgileri ihlal etmek için hedefe koyar. Zeus botnet, çok karmaşık bir finansal botnet türüdür. Kötü amaçlı GameOver Zeus yazılımı, kimlik avı e-postaları yoluyla yayılır. Etkilenen bilgisayarlar, daha sonra fonları suç hesaplarına yönlendirmek için kullanılan bankacılık kimlik bilgileri için kullanılır.
Ağ, eşler arası bir komut ve kontrol altyapısı üzerine kurulduğu için GameOver botnet’i kapatmak, pek kolay değildir. Bu düzenlemeyle, virüslü her bilgisayara sabit bir yerden değil, botnet üzerindeki güvenliği ihlal edilmiş diğer cihazlardan kötü amaçlı talimatlar gönderilir. Günümüzde GameOver Zeus botnetinin 100 milyon dolardan fazla kayıptan sorumlu olduğu tahmin ediliyor.
GameOver Zeus kötü amaçlı yazılımının nasıl kaldırılacağına ilişkin Natro teknik ekibinden destek alabilirsiniz. Aşağıdaki belirtilerden herhangi biriyle karşılaşırsanız, bilgisayarınıza Zeus kötü amaçlı yazılımı bulaşmış olabilir:
- İmleciniz bağımsız olarak hareket eder.
- Bilgisayarınız normalden önemli ölçüde daha yavaştır.
- Banka ekstrelerinizde şüpheli finansal aktiviteler vardır.
- Masaüstünüzde metin tabanlı sohbet pencereleri vardır.
4. Hedeflenen İzinsiz Girişler
Hedeflenen izinsiz giriş, veri ihlallerini gerçekleştirmek için botnet’lerin kullanılmasıdır. Bu saldırılar sırasında, bir ağın belirli bir noktası hedeflenir ve saldırıya uğrar. Böylece saldırganlar hassas kaynaklara daha derinden girebilir.
Hedeflenen izinsiz girişin bir işareti, aynı IP adresinden tek bir sunucu bağlantı noktasına yapılan birden çok bağlantı isteğidir ve bu aynı zamanda bir DDoS saldırısının işaretidir. Web sunucusu günlüklerine manuel olarak başvurmak yerine, bu siber saldırılar hassas kaynakların etrafına stratejik olarak yerleştirilmiş honeytokens (bal belirteçleri) ile daha verimli bir şekilde tespit edilebilir.
Botnetler Nasıl Çalışır?
Belirli bir kötü amaçlı yazılım bulaşmış internete açık cihazlar birbirine bağlandığında bir botnet oluşturulur. Bilgisayarlar, bir botnet’teki birincil cihazlardır ve onlara bulaşan kötü amaçlı yazılım, bir kimlik avı e-postasından, güvenliği ihlal edilmiş bir web sitesinden veya bir tıklama sahtekarlığı kampanyasından enjekte edilir.
PC’ler, botnet kötü amaçlı yazılımlarının birincil bilgisayar hedefleridir. Mac’lerin, tehlikeye girme şansları önemli ölçüde daha düşüktür. IoT cihazları da bot olabilir. 2016 yılının sonlarında, Mirai olarak bilinen kötü amaçlı yazılım, 600.000 Linux CCTV kamerasına bulaştı. Mirai botnet o kadar büyük bir DDoS saldırısı başlattı ki, Amerika’nın doğu kısmında ciddi internet kesintisine neden oldu. Bu durum, botnet saldırılarının günümüzde nasıl bir tehdit oluşturduğuna dair çarpıcı bir örnektir.
Virüs bulaştığında, güvenliği ihlal edilen her cihaz, botnet saldırılarını düzenleme hedefiyle tehdit aktörleri tarafından uzaktan kontrol edilebilmeleri için, “Komuta ve Kontrol Sunucuları” olarak bilinen suç sunucularına gizlice bağlanır.
Siber suçlular, botnet’lerine iki teknik düzenlemeyle bağlanabilir:
- İstemci-Sunucu Modeli: En yaygın botnet düzenlemesidir. Virüs bulaşan her cihaz, iki iletişim protokolünden biri olan IRC (İnternet Aktarım Sohbeti) veya HTTP (Köprü Metni Aktarım Protokolü) aracılığıyla botnet’e komutlar veren bir suçlu Komuta ve Kontrol sunucusuna (C&C sunucusu) bağlanır.
- P2P Modeli: İstemci-sunucu botnet modelinin aksine, P2P botnet modeli merkezi değildir, yani komut talimatları tek bir statik kaynaktan gönderilmez. Bunun yerine, güvenliği ihlal edilen her cihaz, ağdaki diğer botlara talimat gönderebilir. Yukarıda adı geçen kötü amaçlı Zeus yazılımı işte bu modelde çalışır.
Botnet kötü amaçlı yazılımı, siber savunma veya insan engelleriyle uğraşmak zorunda kalmadan yeni botların anında faaliyete geçmesi için savunmasız uç noktalara sahip cihazları keşfetmek üzere tasarlanmıştır. Hızlı otonom genişleme, botnet kampanyalarının temel amacıdır. Botnet saldırısıyla ilgili en endişe verici şey, kurbanların genellikle cihazlarının güvenliğinin ihlal edildiğinin farkında olmamasıdır. Bir botnet saldırısı uzun yıllar boyunca fark edilmeden faaliyet gösterebilir.
Yeni faaliyete alınan botlar, bir P2P botnet’indeki güvenliği ihlal edilmiş başka bir cihaz olan veya bir istemci-sunucu botnet’indeki merkezi komut sunucusu olan bir bot yöneticisinden komutlar alana kadar hareketsiz kalır. Etkinleştirildiğinde bile, botnet’ler gözle görülür bir belirti olmadan çalışır. Her bot, kurbanın bant genişliğinin yalnızca küçük bir bölümünü belirli bir hedefe yönlendirir. Bu işlem, meşru bilgisayar görevlerinin arkasına gizlenerek arka planda sessizce gerçekleşir. Her bot yalnızca küçük bir miktarda işlemci bant genişliğine sahip olduğundan, bir siber saldırı başlatmak için gereken gerekli derecede kötü niyetli trafiği elde etmek için botnet’lerin çok büyük olması gerekir.
Botnet Saldırısına Karşı Ne Yapmak Gerekir?
Bilgisayarınız bir botnet’e dahil edilmişse, yapılacak ilk şey, internet bağlantınızı keserek botnet iletişim kanalını kesmek olmalıdır. Botnet kötü amaçlı yazılımı, bilgisayarınızdaki Wi-Fi anahtarını değiştirmenizi engelliyorsa, yönlendiricinizin fişini çekin. Bu yapıldıktan sonra, işletim sisteminizin temiz bir sürümünü yeniden yüklemek için Natro teknik destek ekibine başvurabilir, ayrıca siber saldırıyı emniyet güçlerine bildirebilirsiniz. Cihazlarınıza botnet kötü amaçlı yazılım bulaşmasını önlemek için bu önlemleri alabilirsiniz:
Kullanılmayan Bağlantı Noktalarını Kapatın veya Filtreleyin
Açık bir bağlantı noktası, siber suçluların botnet kötü amaçlı yazılımlarını enjekte etmek için kullanılabilecek uygulama güvenlik açıklarını belirlemesine olanak sağlayabilir. Bunu önlemek için, tüm gereksiz bağlantı noktalarının ya tamamen kapatıldığından ya da filtrelendiğinden emin olun. Siber suçluların açık portlarınız hakkında toplayabileceği istihbaratın seviyesini belirlemek için ücretsiz açık port tarayıcıları kullanabilirsiniz.
Segmentasyon Uygulayın
Segmentasyon, botnet kötü amaçlı yazılımlarının ağınızın diğer alanlarına yayılmasını önlemek için savunmasız cihazlar etrafında bir güvenlik şemsiyesi oluşturur. Bu ağ güvenlik kontrolü, özellikle IoT cihazları için önemlidir.
Tüm IoT Cihazlarını ve Bilgisayar Programlarını Güncel Tutun
Yazılım güncellemeleri, botnet kötü amaçlı yazılımlarını ve casus yazılımları enjekte etmek için kullanılan güvenlik açıklarını giderir. Düzenli yazılım güncellemeleri ve ürün yazılımı güncellemeleri, tüm uzak cihazları ve IoT cihazlarını korumalı tutar. En son güvenlik güncellemelerini gözden kaçırmamak için web tarayıcınız ve işletim sisteminiz için otomatik yamaları etkinleştirmelisiniz.
Antivirüs Yazılımı Kullanın
Birçok antivirüs yazılımı, Zeus ve diğer kötü amaçlı yazılım türlerini algılayabilir. Virüsten koruma programınızın en son tehditleri algılayabildiğinden emin olmak için onu güncel tutmalısınız. Botnet saldırısında mobil cihazlar da kullanılabilir. Virüsten koruma yazılımınızın Android ve iOS cihazlarını da koruyabildiğinden emin olun.
Güvenlik Duvarı Kullanın
Güvenlik duvarı güvenlik kontrolleri, cihazlarınızla botnet iletişimini algılayıp keser ve kaynaklarınızın siber suçlar için kullanılmasını engeller.
Güçlü Oturum Açma Kimlik Bilgileri Oluşturun
Botnet kötü amaçlı yazılım savunmasının en iyi biçimi, siber suçluları özel ağınızdan uzak tutmaktır. Güçlü kullanıcı kimlik bilgileri, bilgisayar korsanlarının oturum açma güvenliğini aşma yöntemleri aracılığıyla erişim elde etmesini önleyecektir.
Çok Faktörlü Kimlik Doğrulamayı Kullanın
Çok Faktörlü Kimlik Doğrulama (MFA), bir siber suçlunun dış güvenlik kontrollerinizden birini aşması durumunda özel ağınızda ek bir karmaşıklık yaratır. En yüksek güvenlik seviyesi için, MFA farklı cihazlara yayılmalı ve asla tek bir sistemde kullanılmamalıdır.
Siber saldırılara karşı en etkili savunma yöntemi önleyici tedbirler almaktır. Natro, tüm web siteleriniz için etkili siber güvenlik çözümleri sunar. Siz de hemen şimdi Natro kalitesi ile siber güvenliğinizi bir adım öne taşıyın.
