• C&C sunucusu tarafından kontrol edilen malware bulaşmış cihazlara Zombi denilmektedir. Bu cihazların kullanıcıları, verilerinin internet yoluyla başka bir bilgisayara gönderildiğinden haberleri yoktur. Bu cihazları “Botnet” olarak da adlandırabiliriz. Botnet, robot ve network kelimelerinin birleşiminden ortaya çıkarılmış bir isimdir.

Aşağıda ki grafikte C&C sunucularının nasıl çalıştığını kolayca anlayabiliriz:

• Genel anlamda 2 farklı Botnet yapısı bulunmaktadır. Bunlar Centralized ve Decentralized yapılarıdır. Centralized en yaygın ve kullanılan Botnet yapısıdır. Bu yapı kendi arasında yandaki resimde görüldüğü gibi 3 farklı yapıda oluşturulabilir. Internet Relay Chat (IRC) protokolünü kullanılarak C&C sunucu ile Botnet bilgisayar arasında iletişim sağlanır. Botnet bilgisayarlar aralarındaki iletişimi “Chat” sunucularını kullanarak sağlarlar. Basit ve düşük band genişliği iletişim metotları kullanırlar. Decentralized veya Peer-to-Peer (P2P) olarak da bilinen diğer Botnet yapısıdır.

Yukarıda ki resimde görüldüğü üzere, bu yapıda C&C sunucusu için merkezi bir nokta yoktur. Botnet ağı içerisindeki herhangi bir host C&C sunucusu ve Zombi bilgisayar olarak kullanılabilir. Bu sayede C&C sunucu iletişiminin fark edilmesi önlenir ve C&C başarısızlıkları en aza indirilmiş olur. Böylece bir Zombi host saptandığında aradaki boşluk Botnet ağında bulunan diğer hostlar tarafından sekteye uğramadan devam ettirilebilmektedir.

• IBM QRadar SIEM ürünü çeşitli birçok C&C server offenseleri üretebilmektedir. Ortaya çıkan bu offenseleri inceleyip muhtemel saldırının gerçek olup olmadığına karar verebiliriz. Bu sayede olası bir Botnet bilgisayarı tespit edebilir veya Botnet bilgisayarlardan gelen trafiği saptayabiliriz. IBM QRadar SIEM ürününün üretmiş olduğu örnek bir offense’i inceleyelim.

1. IBM QRadar üzerinde oluşturulan olay örgüsüne verilen isim
2. Olayın kısa bir açıklaması
3. Oluşan offense’in ağ içerisindeki etkisi (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir). Örnek olarak eğer ki tehdit açık bir porta doğru ise relevance değeri yüksek olacaktır.
4. Tehdit seviyesi (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir)
5. Oluşan tehdidin doğruluğu (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir). Aynı zamanda birden fazla log kaynağı aynı offense’i üretirse credibility yüksek olacaktır.
6. Trafiği oluşturan kaynak cihaza giriş yapmış kullanıcının adı
7. Trafiği oluşturan kaynak cihazın IP adresi
8. Trafiğin kaynaktan çıkarak muhtemel C&C sunucusuna gitmek istediği IP adresi
9. Kaynak cihazın adı
10. Trafiği oluşturan kaynak cihazın port numarası
11. Kaynak cihazın erişmek istediği IP adresinin port numarası
12. Kaynak cihazın MAC adresi
13. Log’un içerisindeki ham veriler. Buradaki ham veriler pars edilerek bahsi geçen alanlarda gösterilmektedir.

• IBM QRadar SIEM ürünü içerisinde IBM tarafından oluşturulan kurallar vardır. Offense’ler ürün içerisinde gelen Log’ların parslanmasından sonra bir Event QID ve Low Level Category dediğimiz değerlerle eşlenip eşlenmediğine bakarak üretilir. Bu EventQID ve Low Level Category değerleri QRadar cihazının yapmış olduğu korelasyonlar sayesinde atanır.

• Bu örnek, bir botnet’in oluşturulması ve kötü niyetli kazanç için nasıl kullanıldığını göstermektedir.

1. Bir bilgisayar korsanı, kimine göre yükü kötü niyetli bir uygulama olan bir bot için ya bir Truva oluşturur ya da bunu exploit kit ile kullanıcıların bilgisayarlarına virüs bulaştırmak için kullanır.
2. Belirli bir komuta ve kontrol sunucusuna bulaşmış bilgisayar kayıtlarına ilişkin botlar (Bu bot ustasının çevrimiçi etkin olan bot günlüklerini tutmasını sağlar).
3. Bir botnet kaynak yaratıcısı (Bot master) daha sonra tuş vuruşlarını toplamak veya çevrimiçi kimlik bilgilerini çalmak ve yakalama biçimini kullanmak için botlar kullanabilir ve bir hizmet olarak DDoS ve/veya istenmeyen posta için botnet kiraya verilebilir ya da bir kâr amacıyla çevrimiçi kullanılabilir.
4. Botların nitelik ve yeteneğine göre değerler artar ya da azalır.

Botnet’ler sizi nasıl etkileyebilir?

• Siber suçlu genellikle Dağıtılmış Hizmet Reddi (DDoS) saldırısı, geniş ölçekli bir spam kampanyası veya diğer türlerde siber saldırılar düzenleme kapasitesine sahip geniş bir “zombi ağı” veya “bot ağının” sahibi gibi davranabilmek için binlerce, on binlerce, hatta milyonlarca bilgisayara virüs yaymayı ve bu bilgisayarların kontrolünü ele geçirmeyi amaçlar.
• Bazı durumlarda, siber suçlular zombi makinelerden oluşan geniş bir ağ kurup bu zombi ağına erişimi kiralayarak veya peşin ödemeyle diğer suçlulara satar. Spam gönderenler büyük ölçekli bir spam kampanyası yürütmek için bir ağı kiralayabilir veya satın alabilir.

• Bazı botnet yöneticileri sadece destekleme ve geliştirme konusunda uzmanlaşmıştır. Suçlulara zararlı programlar kiralayarak kötü emellerine ulaşmalarını kolaylaştırır. Botnet’i kullanmanın en yaygın dört yolu şunlardı:

• 1)DDoS:
• Botnet’i kullanın en yaygın yolu DDoS saldırısı düzenlemektir. Kısaca botnet ordusu sunucuyu lüzumsuz taleplerle doldurur. Bu taleplerle dolan sunucu işlemleri gerçekleştirememeye başlar var kullanılmaz hale gelir. Botnet ordusunda ne kadar bağlı cihaz varsa, DDoS saldırısı da o kadar güçlü olur. Garip olan, neredeyse internete bağlı olan her cihaz bu saldırılarda kullanılabilir. Hatta interneti tam anlamıyla kullanmadığını düşünüğünüz gizli kameralar, wi-fi yazıcılar da botnet’in parçası haline gelip saldırılara katılabilirler. Bugün internete bağlanabilen milyonlarca cihaz var ama yakında bu sayı milyarlara yükselecek. Hepsi çok iyi korunuyor olmayacak ve kaçınılmaz şekilde birçoğu botnet’in parçası haline gelecek. Büyük botnet orduları gerçekten büyük işler başarabilir. Mesela yaklaşık bir ay önce siber suçlular 80’den fazla büyük internet servisine (İnternet servis sağlayıcıları, Twitter, Amazon, PayPal ve Netflix dahil) saldırı düzenlediler.

• 2)Spam:
• Eğer spam fitreniz yoksa ya da doğru çalışmıyorsa, spam maillerinin mail kutunuzu nasıl dolduracağını tahmin edemezsiniz. Peki spam kampanyalarında zombi ordusunu nasıl kullandıklarını biliyor musunuz? Suçluların botnetlerinin IP’lerini ve e-maillerini engelleyen özel kuruluşların ve sağlayıcıları aşması lazım. Bir bilgisayara bi zararlı yazılım bulaştığı zaman siber suçlular mail göndermek için bilgisayar sahibinin mail adresini kullanır. Ek olarak mail adresinizi sonraki işlerinde de kullanmak için ellerindeki veri tabanına eklerler.

• 3)Veri hırsızlığı
• Tabi, kişi listeleri her hacklenmiş cihazdan çalınabilecek şeyler değillerdir. Bilgisayara bulaşan zararlı yazılımlar bilgisayara başka ek özellikler ekleyebilir. Bazen mobil cihazlardan ve bilgisayarlardan internet bankacılığı parolalarını çalarlar. Bazı Trojanlar ziyaret ettiğiniz bankacılık sitelerini değiştirerek kredi kartı ve PIN kodu gibi bilgilerinizi çalmaya çalışır.

• 4)Orduya adam toplama
• Botnetler ayrıca Trojan, virüs bulaştırmak, başka cihazları da botnet’e dahil etmek için başka cihazların açıklarını ararlar. Botnet’ler sık sık onları yaratan zararlının adını almakla birlikte, birden fazla botnet genellikle aynı kötü amaçlı yazılımı kullanmaktadır, ancak farklı kişiler tarafından işletilebilmektedir.
• Bir botnet kaynak yaratıcısı (bir “bot herder” ya da “bot master” olarak da bilinir) suç amaçlı genellikle IRC yoluyla uzaktan kontrol grubu ile birlikte hareket eder.
• Bu sunucu komut ve kontrol (C&C – Command-and-Control) sunucusu olarak da bilinir. Gerçi ender görülen bazı daha deneyimli botnet operatörleri program mimarisini komut protokollerine odaklar. Bu protokoller, bir sunucu programı, çalışması için bir istemci programı ve kurbanın makinesine kaynak sürümünü gömen programı içerir. Bunlar botnet algılaması ile içeri sokulmaya karşı gizli ve korumalı benzersiz bir şifreleme şemasını kullanarak bir ağ üzerinden iletişim kurar.

• Bot genellikle gizli çalışır ve gizli bir kanalı kullanan (örneğin RFC 1459 (IRC) ölçütü, Twitter veya IM) komut ve kontrol sunucusuyla iletişim kurar. Genellikle, faili çeşitli araçları kullanarak birden fazla sistemi tehlikeye atmıştır (exploit, bellek taşması ve ayrıca RPC’ye bakınız). Yeni botlar otomatik olarak çevreyi tarayabilir ve güvenlik açıklarını ve zayıf şifreleri kullanarak kendilerini yayarlar.
• Gerçek botnet toplulukları genellikle nadiren yüksek komuta hiyerarşileri ile geliştirmiş ve bir veya birkaç denetleyiciden oluşmakta ve bireysel peer-to-peer ilişkilerine dayalıdırlar.
• Botnet mimarisi zamanla gelişmiş ve tüm botnet’ler komuta ve kontrol için aynı topolojiyi sergilemişlerdir. Ancak, bazı topolojiler üçüncü şahıslara botnet pazarlanabilirliğini sınırlamaktadır. Normal botnet topolojileri yıldız, hiyerarşik ve rastgele çoklu sunucuları vardır.

Karşı önlemler:

• Karşı önlemler Botnet’lerin coğrafi dağılımda, her işe ayrı onarılması/tespit edilmesi/kafeslenmesi gerektiği anlamına gelir ve bu filtreleme yararlarını sınırlar. Bazı botnet’ler DynDns.org, No-IP.com gibi barındırma hizmetlerinden ücretsiz DNS kullanabilir ve Afraid.org, botları barındıran bir IRC sunucusunda doğru bir alt alan’a işaret edecektir. Bu ücretsiz DNS servisleri kendilerine yapılan saldırılarda ana bilgisayar yok edilirken, onlara (genellikle sabit kodlu botnet çalıştırılamaz) kaynak noktası sağlar. Bu tür hizmetlerin kaldırılması bütün bir botneti sekteye uğratabilir.
• Bazı botnet’ler tanınmış protokollerin özel sürümlerini devreye sokarlar. Uygulama farklılıkları Botnet’lerin tespiti için de kullanılabilir. Örneğin, Mega-D Botnet’in istenmeyen posta sınama yeteneği için biraz değiştirilmiş SMTP protokolü uygulaması bulunmaktadır. Mega-D, SMTP sunucusunu düşürerek aynı SMTP sunucusuna güvenmekte olan botlara karşı tüm katışıksız havuzu devre dışı bırakır.

• Bilgisayar ve ağ güvenliği şirketleri botnet’lere karşı yazılımlar yayımlamıştır. Norton AntiBot tüketicilere yöneliktir, ama çoğu hedef işletmeler ve/veya İSS’lere de yöneliktir. Ana bilgisayar tabanlı teknikler geleneksel anti-virüs yazılımlarını bypass eder ve bot davranışını sezgisel olarak belirlemeye çalışır. Ağ tabanlı yaklaşımlar yukarıda açıklanan teknikleri kullanma eğilimindedir; Komuta ve kontrol (C&C) sunucuları ve boşa yönlendirme ile DNS girdileri kapatılır, ya da tamamen IRC sunucuları kapatılır. BotHunter ağ trafiğini çözümleyen ve kötü niyetli süreçlerin karakteristik desenlerini karşılaştırarak bir ağ içinde botnet etkinliği algılayan ABD Ordusu Araştırma Ofisi desteğiyle geliştirilen bir yazılımdır.
• Bazı botnet’lerin tespitinde, araştırmacı IP adresi ile bir DDoS saldırısına karşı belki reaksiyona girebilir ve onlar araştırma girişimlerine karşı tepki yeteneğine sahiptirler.
• Sandia Ulusal Laboratuvarları araştırmacıları aynı anda bir milyon Linux çekirdeğini çalıştırarak Botnet’lerin davranışlarını analiz etmekte bir botnet’e benzer bir ölçekte bir 4,480 düğümlü yüksek performanslı bilgisayar kümesinde sanal makinelere izin verir ve çok büyük bir ağı taklit ederek onların yollarını, botnet’lerin çalışma prensiplerini deneyle durdurmak için izlemektedir.

Nasıl güvende kalınır?

• Bu basit kurallar size bulaşma şansını düşürecektir.

1. Tüm yönlendiricilerinizin (router), web kameralarınızın, yazıcılarınızın, akıllı ev aletlerinizin ve diğer bağlı cihazlarınızın varsayılan parolalarını değiştirin.
2. Bilgisayarınızda bulunan işletim sistemini ve programlarınızı güncel tutun.
3. Bilgisayarınızdan yönetici hesabını kullanmayın. Mobil cihazlarınızda kök dizin erişimini sürekli kapalı tutun ya da hiç kullanmayın – emin olun daha iyi olacak.
4. Üçüncü parti internet sitelerinden bir şeyler indirirken çok dikkatli olun (özellikle korsan içerik indiriyorsanız). Suçlular genellikle bu tarz programları oyun ve program torrentlerine yüklerler.
5. Torrentten ya da başka bir yerden içerik indirecekseniz (kesinlikle önermiyoruz), tüm dosyaları önce iyi bir anti virüs programı ile tarayın.
6. Eğer bu tarz şeylerden uzak duruyorsanız bile güçlü bir güvenlik çözümü yükleyin ve bilgisayarınızı güvende tutun.

Kaynakça:

• https://www.academia.edu/1153260/bots_and_botnet
• https://www.academia.edu/15043975/Your_botnet_is_my_botnet
• https://www.academia.edu/31976986/A_Review_Paper_on_Botnet_and_Botnet_Detection_techniques
• https://www.academia.edu/11455330/A_Survey_of_Botnet_and_Botnet_Detection
• https://www.kaspersky.com.tr/blog/botnets-explained/2806/
• https://www.kaspersky.com.tr/resource-center/threats/botnet-attacks
• https://www.paranfil.com/ddos-nedir/
• https://blog.isimtescil.net/botnet-nedir-2/
• https://wmaraci.com/blog/dos-ddos-ve-botnet-saldirilari-nedir-nasil-gerceklestirilir-ve-onlenir-176
• https://www.biznet.com.tr/command-and-control-cc-server/
• https://tr.wikipedia.org/wiki/Botnet
• https://www.sans.org/reading-room/whitepapers/malicious/paper/1299
• https://www.zdnet.com/article/botnet-size-may-be-exaggerated-says-enisa/
• http://www.spider.io/blog/2013/03/chameleon-botnet/
• https://www.zdnet.com/article/research-small-diy-botnets-prevalent-in-enterprise-networks/