Botnet Nedir, Ne İşe Yarar? Botnet Saldırıları Nasıl Engellenir?

Botnet nedir ve ne işe yarar?
Binlerce hatta milyonlarca cihazı kontrol altında tutabilmek, siber suçluların zararlıları yaymasını ve kolayca DDoS saldırıları yapabilmesini sağlıyor.

Botnet, siber suçluların ele geçirdiği ve internete bağlanabilen her türlü cihazların koleksiyonu olarak tanımlanabilir. Botnetler, siber saldırı gücünü katlıyor ve hedeflerin daha kolay ele geçirilmesini sağlıyor. Botnetler, ağırlıklı olarak DDoS saldırılarında kullanılırken; spam e-posta gönderimi, casusluk veya bilgi hırsızlığı gibi işler için de kullanılmaktadır. Saldırganlar bir cihazı ele geçirdikten sonra, o cihazla aynı ağda bulunan diğer tüm cihazlar da tehlike altında kalmaktadır.

Botnet saldırıları oldukça yıkıcı olabilmektedir. Geçen yıl, yapılan “Mirai” Botnet saldırısı, internetin en büyük oyuncularını hedef almış; Twitter, Netflix, CNN ve banka siteleri gibi birçok önemli sitenin ulaşılamaz duruma gelmesine neden olmuştu. Bu saldırıda, güvenli olmayan IoT (Internet of Things / Nesnelerin İnterneti) cihazları hedef alınmıştı. Bu cihazlara zararlı yazılım bulaştırıldıktan sonra ise DYN firmasının DNS hizmeti verdiği sunuculara, DDoS saldırısı gerçekleştirilmişti.

Endüstri ise yaşanan bu olaydan sonra, yeniden bu tip bir olayın yaşanmaması için önlemler almaya başladı. Cihaz üreticileri, telekom firmaları ve internet alt yapısı sağlayıcıları birlikte çalışarak cihazlardaki güvenlik açıklarının kapanmasını veya sistemden çıkmasını sağladılar… Tabii ki şaka yapıyoruz. Maalesef bu önlemlerin hiç biri alınmadı ve botnet etkisi altındaki cihazların sayısı artmaya devam ediyor.

Akamai firmasının yayımladığı internet güvenlik raporuna göre; botnetler, çalışır ve iyi durumda olmalarının yanı sıra, aynı zamanda daha akıllı ve savaşılması daha zor bir duruma geliyorlar. Örnek olarak, saldırganlar artık Fast Flux DNS sayesinde DNS bilgilerini o kadar hızlı değiştirebiliyorlar ki, savunmada olanlar bunları takip edip önlem almakta çok zorlanıyorlar.

Akamai; geçen seneki Mirai saldırısının bastırılmasında çalışmış olsa da, Mirai hala buralarda ve son çeyrekte 2 tane 100 Gbps bant genişliğini aşan saldırılar düzenlenmiş durumda. Yeni botnetler de kurulmaya devam ediyor.

Bu sonbaharda, Check Point firmasının araştırmacıları; “IoTroop” ve “Reaper” adını verdikleri yeni botnetler keşfettiler. Bu botnetler, diğer IoT cihazlarını Mirai’nin yaptığından çok daha hızlı bir yüzdeyle ele geçiriyor ve harekete geçirildiğinde tüm internet altyapısını çökertecek bir potansiyele ulaştığı tahmin ediliyor.

Mirai, varsayılan kullanıcı adı ve parola kullanan cihazları ele geçiriyordu. Reaper ise bunun çok ötesine geçiyor. En az 9 farklı açığı kullanarak yaklaşık 12 cihaz üreticisi hedef alıyor. Bu üreticiler arasında ise D-Link, Netgear ve Linksys gibi büyük oyuncular da yer alıyor. Aynı zamanda esnek bir yapıya sahip olan bu saldırı sayesinde saldırganlar botnet kodlarına çok kolay bir biçimde ulaşıp güncelleyebiliyor ve çok daha zararlı hale getirebiliyorlar.

Neden botnetleri durduramıyoruz?
Botnetler; çok dağınık bir yapıda olmaları, güvenli olmayan cihazların bu sisteme dahil olması, botnet ağındaki cihazların internet erişimine kapatılmasının imkansız olması ve bu ağların yaratıcılarının takip edilip bulunmalarının çok zor olmasından dolayı engellenememektedir.

Müşteriler, mağazaya bir güvenlik kamerası veya internete bağlı herhangi bir cihaz satın almaya gittiğinde; cihazın özelliklerini kontrol ederler, tanınmış markalara bakarlar ama en önemlisi fiyatına göre alım yaparlar. Güvenlik ise bu seçimde kendine çok zor yer bulur. Kudelski Security firmasının araştırma yöneticisi Ryan Spanier bu durumu şu şekilde açıklıyor: “IoT cihazları çok ucuz olmaları nedeniyle, bakım ve güncelleme ihtimalleri de bir o kadar düşük oluyor.”

İnsanlar uygun fiyatlı güvensiz cihazlar almaya devam ettikçe, güvenlik açığı bulunan cihazların sayısı da sürekli artmaya devam ediyor. Gartner araştırmasına göre yıl sonuna kadar 8.4 milyar internete bağlı cihaz kullanımda olacak. 2020’ye ulaştığımızda ise bu sayı iki katından fazlaya (yaklaşık olarak 20.4 milyar) çıkmış olacak.

Botnet Tespiti: Trafiği Hedef Almak

Botnetler genellikle bir merkezi komuta sisteminden kontrol edilmektedir. Teorik olarak bu sistemi (sunucu) devre dışı bırakmak, ardından trafiği takip ederek zararlı yazılım bulaşmış cihazlara ulaşarak bu cihazları temizlemek kesin çözüm yoludur. Ancak bu iş hiç ama hiç kolay değildir.

Botnetler çıkış noktalarını gizlemeye çalışırlar. Örnek olarak, Akamai tarafından takip edilen botnetlerden birinin Fortune 100 firmalarından birine ait olduğu ortaya çıktı. Bu da IP aldatması (IP Spoofing) yapıldığını gösteriyor.

Birçok durumda cihaz sahipleri, cihazlarının botnet ağına katıldığını fark edemiyor. Sebep olarak ise kendi ağlarındaki botnet trafiğini tespit edebilecek kadar güvenlik cihazına sahip olmadıkları gösteriliyor.

Kurumlar için ise ağlarındaki botnetleri tespit etmek öncelikli bir iş olmuyor ve güvenlik takımları kendi ağlarına yapılan saldırıları, kendi ağlarından yapılan saldırılara göre daha öncelikli tutuyorlar.

Botnet taramalarında düşük oranda da olsa başarı sağlanıyor.

Çok sayıda uluslararası kurum ve teknik yetenek gereken bir çalışma ile geçen ilkbaharda, “Waledac and Kelihos” botnetlerinin arkasındaki kişi, Peter “Severa” Levashov yakalandı ve bu botnet ağı kapatıldı. Ancak botnet ağının nasıl kurulduğuna bağlı olarak kapatma işleminin zorluğu değişiyor. Araştırmacılar, kriptografik ve diğer açıklardan faydalanarak kapatmaya çalışıyorlar ama bu ağların yaratıcıları yakalanmadıysa, sistemi düzeltip tekrar çalışır hale getirebiliyorlar. Bu bazen saatler içinde oluyor. Birkaç denemeden sonra herkes anlıyor ki, bu kişileri direk yakalamadan ağı da kapatmak pek mümkün olmuyor.

Son zamanlarda yaşanan güzel bir gelişme ise ESET ve Microsoft ortak çalışmasında 464 botnet ağını ve onunla ilişkili 1214 kontrol domain adresi ve 80 malware zararlı ailesi etkisiz hale getirildi. Bu kapatma sonucunda Belarus’ta bu ağla ilişkili biri yakalandı. ESET’in açıklamasına göre bu grup 2011’den beri aktifti. Andromeda, Gamarue ve Wauchos adı verilen hazır botnet araçlarını satan grup, toplamda ayda 1.1 milyon cihazın botnet ağına bulaşmasına neden oluyordu.

Kesin sonuçlar için uzun bir yol görünüyor.

Güvenlik uzmanları, soruna kesin çözüm için teknik bir çalışmadan çok global bir siber suç çözümü gelmesi gerektiğini düşünüyor. Güvenlik açıkları ve teşvikler devam ettiği sürece de botnet sorununun temelden çözülmesi mümkün görünmüyor.

Küresel bir siber suç uygulaması yanında, üreticiler için de bazı regülasyonların yapılması ve IOT cihazları için minimum güvenliğin şart koşulması gerekiyor. Tüm regülasyonların ise internet yasalarının yeterli olmadığı ve çok ucuza büyük miktarda üretim yapan ülkeleri de kapsaması gerektiği belirtiliyor.

Bazı ülkeler elinden geleni yapıp botnet büyümesini yavaşlatmış olsa bile botnetler büyümek için yine birçok ülke bulmaya devam ediyorlar. İnternetin global doğası düşünüldüğünde, botnet saldırılarının önümüzdeki yıllarda da dijital iş dünyasına ve online topluluğa tehdit olmaya devam edeceği öngörülüyor.