Rik Ferguson

Botnet’lerin Tarihi II

Bu makale, botnetlerin zaman içindeki gelişimini anlatan üç serilik yazının ikincisidir. İlkine bir önceki blogumdan ulaşabilirsiniz.

Organize Suç
Suç dünyasının botnetlerin sunduğu imkanları farkederek bu konuyla ilgilenmeye başlaması 2003 yılına denk geliyor. Yeni yüzyılın başladında SPAM hala büyük oranda “evde yapılan” bir işti. Büyük miktarda SPAM gönderimi yapmak için adanmış sunuculara gerek duyuluyordu. Bagle, Bobax ve Mytob tüm bu süreci değiştirdi. Bagle ve Bobax ilk SPAM botnetleriydi ve Mytob da daha eski toplu mail gönderim worm’ları MyDoom ve Sdbot’un bir karışımıydı. Bu yeni yaklaşım suçlulara kurban PC’ler üzerinden SPAM yapmaya ve iyice agresifleşmeye başlayan yasal takipten kaçınmaya imkan veren geniş botnetler oluşturma imkanı sağladı.

O zamandan itibaren pek çok botnetin yükselişine ve düşüşüne sahne olduk; en eski spam botneleri, yukarda da belirttiğim gibi Bagle ve Bobax’ı. Bunlardan Bobax, 2008’deki McColo’nun çöküşüyle çok büyük yara aldı. Şu anda çok popüler olan ZeuS suç ailesinin geçmişi ise 2006 yılında çıkan RuStock’a dayanıyor. RuStock başka bir spam botnetiydi ve ZeuS ise bir bilgi hızsızlığı aracı. O yıldan itibaren ZeuS, muhtemelen en yaygın kullanılan bilgi hırsızlığı aracı haline geldi. ZeuS’un yaratıcısı düzenli olarak araç kitinin yeni versiyonlarını oluşturuyor, beta testini yapıyor ve yayınlıyor. Tüm bunları yaparken de araç kitine yeni yeni özellikler ekliyor veya mevcut özellikleri iyileştiriyor.

Bu yeni sürümler çok yüksek fiyatlarla satışa çıkartılırken eski sürümler de ücretsiz olarak dağıtılıyor. Fakat genelde bu eski sürümler, suçluların içine gizlediği arka kapılar da içeriyor ve hırsızlar aynı zamanda kurban haline geliyor. Bu ücretsiz suç araçlarının bolluğu, sibersuç dünyasına girmek için gerekli olan maliyet engelinin küçülmesine ve online suç dünyasında daha fazla suç baronu oluşmasına olanak tanıdı. ZeuS, bu konudaki tek araç değil, daha pek çoğu internetin koridorlarında geziniyor ve hatta birbirleriyle rakabet halindeler. Üstelik uzman olmayan kullanıcılar için işaretle ve tıkla gibi çok basit kontroller sayesinde etki altındaki tüm bilgisayarlar kolaylıkla yönetilebiliyor.

2007 yılı, Cutwail ve Srizbi ile birlikte meşhur Storm botnetinin de doğum yılı oldu. Aynı yıl Asprox da sahneye çıktı. Unutmayın ki bunlar, dışardaki bir kaç bin botnetden sadece bir kaçı. Şu anda Shadowserver Foundation adlı kurum 6 bin farklı komut ve kontrol (Command & Control – C&C) sunucusunu takip ediyor ki bu rakam tüm botnetleri ifade etmiyor. Trend Micro her an SPAM gönderimi için kullanılan on milyonlarca virüs bulaşmış bilgisayarı takip ediyor ve bu rakama bilgi hırsızlığı, DdoS veya diğer tür suçlar için kullanılan bilgisayarlar dahil değil.
 
Karşı Atak
Komut ve yönetim altyapıslarını önemli kısmını elinde bulunduran suç servis sağlayıcılarına yönelik olarak geçmişte pek çok başarılı koordine girişim oldu; 2008’de Intercage/Atrivo  neredeyse Mega-D botnet’i yok ediyordu ama haftalar içerisinde intikam ateşiyle yanarak geri döndü. Yukarıda McColo’nun çöküşünden bahsetmiştim. McColo her türlü suç işinde parmağı olan bir yapıydı ve diğer aktivitelerin yanı sıra Srizbi, yeniden ayağa kaldırılmış Mega-D, RuStock, Asprox, Bobax, Gheg ve Cutewail için C&C sunucularının barındırmasını yapıyordu. 2008 Kasım ayında McColo internetten çekilince dünya genelindeki SPAM aktiviteleri yüzde 80 düştü. Fakat ne yazık ki 2009’un Ocak ayında SPAM trafiği önceki seviyesine yeniden ulaştı. 2009 Haziran’ında ISP 3FN, Federal Ticaret Komisyonu tarafından kapatıldı. 3FN bazı Cutewail C&C sunucularını barındırıyordu ve o Cuma Cutwail öldü. Ama sonraki Pazartesi tüm gücüyle yeniden canlandı. Tarih bize gösteriyor ki bu dünyada suçluların öylece bırakıp gidemeyecekleri kadar büyük paralar dönüyor.

Kamu ve özel kurumlar botnetlere karşı toplu bir atak gerçekleştiriyor olsalar da suç evrimi hiç duraklamıyor. Yeni teknolojiler ortaya çıktıkça suçlular kazançlarını korumak, ölçeklenebilirliklerini ve esnekliklerini artırmak veya daha etkin kamuflaj için bu yeni teknolojileri kendilerine adapte ediyorlar.

Başlangıçta Komut ve Kontrol (Command & Control – C&C) IP adresleri bot içerisine yazılmıştı. Bu sayede tanımlama ve nihai dağıtım malware araştırmacıları tarafından çok daha basitçe yapılabiliyordu ama kötü adamlar her zaman hatalarından ders alır. Mesela Cutwail, alternatif olarak yedek bağlantılar içeriyor. Her bot, Command ve Control sunucuları için günlük olarak kriptolu alternatif alan adları üretiyor. Suçlular tabiki hangi gün hangi alan adının üretileceğini bildikleri için alternatif komut kanalını kolaylıkla aktif hale getirebiliyorlar. Benzer teknikler Conficker’ın ardındaki suçlular tarafından da kullanılıyor. Conficker her gün 50 bin alternatif isim üretiyor. Güvenlik endüstrisi tüm bu isimlere erişimi engellemek durumunda ama suçlular önceden bu bilgiye sahip oldukları için sorun yaşamıyorlar. İki yıl önce ortaya çıkığından bugüne yaklaşık 6 milyon bilgisayar Conficker tarafından ele geçirildi. Bu bilgisayarlar SPAM’a ek olarak bilgi hırsızlığı gibi pek çok suç için de kullanılabiliyorlar.
 
Botnetler pek çok yoğun kullanımlı yazılım dağıtım ağlarına da sızmış ve bu ağları suç çalışmaları için kullanır durumdalar. Suçlulular, bu tehlikeli bilgisayarlara binlik paketler şeklinde erişip yeni malwareler yüklemek için önemli paralar ödüyorlar. Mesela bir SPAM botu, ikinci olarak beraberinde bir data hırsızlığı malware’i de taşıyabiliyor. Sahte antivirüs yazılımları ve fidyeci yazılımlar (bilgisayarınızdaki dosyaları şifreleyen ve geri açmak için sizden fidye isteyen yazılımlar) da virüs bulaşmış bilgisayarlardan uzun vadede daha fazla faydalanmanın diğer yolları. Ama genelde pek çok suçlu, kazançlarını SPAM, DdoS ve bilgi hırsızlığı gibi konulara girmeden sadece botnetlerine erişimden sağlıyor.
 

Botnetlerin tarihi – Bölüm I

Bu makale, botnet’lerin evrimi ve içerdikleri tehditler hakkında planladığım üç yazılık serinin ilkini oluşturuyor.

Hikayemizin kahramlarıyla tanışmamız Melissa ile başlıyor, ardından yaklaşmakta olan savaşın öncüsü ILOVEYOU gözüküyor ufukta, fakat daha pek çok sinsi düşman çitin altından sürünüp bize ulaşmaya çalışıyor.

Sub7 ve Pretty Park, sırasıyla bir Trojan ve bir solucanın Malware’in çığı başlatan kartopunu yuvarlamasıyla başladı tüm herşey. Her ikisi de hayatımıza kötü niyetli komutları almak için IRC kanalını dinleyen ‘kurban’ makine konseptini hayatımıza soktu. Bu iki malware (her ne kadar tanımlama Sub7’nin yaratıcısı “mobman” tarafından Uzaktan Yönetim Aracı olarak değiştirilse de)ilk kez 1999 yılında ortaya çıktı ve o günden beri gelişimini sürdürüyor.

Botnet’in zaman çizelgesinde pek çok dikkate değer nokta bulunuyor. GTbot olarak da bilinen Global Threat botu, ilk olarak 2000 yılında ortaya çıktı. GTbot, IRC taleplerine bağlı olarak özel scriptleri çalıştırabilen mIRC istemcisi tabanlı bir bottu. Ayrıca GTbot, TCP ve UDP soketlerine erişim yeteneğine de sahipti ve bu GTbot’u Denial of Service saldırıları için ideal kılıyordu. Bazı saldırılar ise Sub7 tarafından ele geçirilmiş bilgisayarları tarayıp onları GTbot’a güncelliyordu.

2002, SDBot ve Agobot’un çıkmasıyla birlikte botnet teknolojisinde bir dizi dikkate değer gelişmenin gerçekleştiği bir yıl oldu. SDBot, C++ ile yazılmış tek bir basit kütüphaneydi. Yaratıcısının “ürünü” ticarileştirmesi sayesinde kaynak kodu çok yaygınlaştı ve SDBot’dan sonra çıkan pek çok bot bu kodu kapsadı veya SDBot’dan çeşitli fikirler aldılar. Aynı yıl Agobot tarafından pek çok savunma yaklaşımının yerle bir edildiği bir yıl oldu. Agobot, sırayla farklı seviyelerde saldırılar düzenleyen modüler bir yapıyı ortaya koydu. İlk saldırı bir arka kapı açıyor, ikinci saldırı bilgisayardaki antivirüs yazılımı devre dışı bırakıyor ve üçüncü saldırı güvenlik sağlayıcısının websitesine erişiyor. Tüm bu teknikler, geçmişte malware’ler ile ilgilenmiş kişilere tanıdık gelecektir. Bu erken botlar, uzaktan yönetim ve bilgi hırsızlığına odaklanmıştı fakat modülarizasyon yolundaki ilerlemeler ve açık kaynak kodları bu botların türevlerinin sayılarında ve fonksiyonelitelerinde büyük bir patlamaya neden oldu.
Malware yazarları kademeli olarak fidye için bilgileri şifreleme, HTTP ve SOCKS proxilerinin ileriki bağlantılar için kendilerine izin vermesi veya yasadışı içeriği FTP sunucularda depolamak gibi özellikleri kullanmaya başladılar.

Kendinden önce gelen SDbot ‘un bir türevi olan Spybot, 2003’de çıktığında o gün için yenilikçi sayılan klavye loglama, veri ambarcılığı (data mining) ve SPIM (Anlık ileti spami – Instan Messaging Spam) gibi fonksiyonları içeriyordu. Aynı yıl SOCSK porxy, DDoS ve bilgi hızsızlığı araçları da içeren Rbot’un yükselişine tanık oldu. Rbot aynı zamanda tespit edilmeyi engellemek için sıkıştırma ve şifreleme teknikleri kullanan ilk bot ailesiydi. 2003 ilk peer-to-peer botnet Sinit’in de ortaya çıktığı yıl olarak önemli.

Yılın ileriki dönemlerinde bu peer-to-peer yapıyla birlikte çalışabilecek yeni Agrobot modülleri de çıktı. Sonraki yıl Polybot olarak bilinen bir Agobot türevi görünümünü mümkün olduğunca sık değiştirerek yakalanmaktan kaçınmak için polimorfizm (çok biçimlik) özelliğini kullanmaya başladı.

Zaman içerisinde botnetler, kullandığı protokoller ağ trafiğinde kolaylıkla tanımlanabilen ve firewall’lar nadiren açık olan portu kullanan orjinial IRC Komut ve Kontrol kanalından çok daha farklı yönlere evrildi. IRC yerine botlar HTTP, ICMP ve SSL portları ve bazen de özel portlar üzerinden haberleşmeye başladılar. Ayrıca peer-to-peer iletişimi benimsemeye ve daha iyi hale getirmeye de devam ettiler. 5 yıllık süredeteki tüm bu değişimler kendisini Conficker adı ve zamanında çok meşhur olan yeni bir botnet’de gösterdi.

Devamı gelecek yazıda...
 

Takip Edin

 

Turhost