NetForumlari Nacizane Paylasim Platformu - Tekil Mesaj gösterimi

**LeySs** · 31-07-07, 03:59

Botnet Botnet Saldırıları. Botnetten haksız para kazanma diyoruz ama botnet nedir?
Kaynak; Tacettin Karadeniz.. Yani Alıntıdır..
IRC(Internet Relay Chat) sadece kisilerin bir araya toplanip konustuklari iletisim aglari konumundan çikip Bilgisayarlarin kontrollerinin saglandigi
ortam olarak ön plana çikmaya basladi. Bot, genel olarak IRC ortamlarinda kullanilan bir terim. Bot, kendisine tanimlanan komutlari belirli bir
çerçevede gerçeklestiren bir programdir. Böylece IRC ortamindaki kanallar, botlar vasitasiyla kontrolü saglanir.
Son zamanlarda Bot kavrami daha çok saldiri amaçli kullanilan sistemler için kullanilmaya baslandi. Bu tür bilgisayarlarin çogunlugunu internet
kullanicilarina ait sistemler olusturmaktadir. Bir internet kullanicisinin sisteminde kurulu olan Windows isletim sisteminde güncel yamalar kurulu
degil ise bu sistemin uzaktan kontrolü kaçinilmaz olur. Uzaktan kontrolu saglayip, belirli bir IRC agina baglanip bir kanalda toplanmasini saglayan
çesitli tehlikeli uygulamalar vardir. Bu tür tehlikeli programciklarin çogu güncel sistem açiklarini bünyesinde bulundurur ve tarama modu ile
IP(Internet Protocol) adreslerine göre tarama gerçeklestirirler.
Tipik bir BOTNET döngüsü: http://www.sohbetmatrax.com/resim1.jpg
Amaç:
BotNet sahibi bir saldirgan ayni anda 4-5 bilgisayari kontrol edebilecegi gibi binlerce bilgisayarida kontrol edebilir.
Tehlikeli botlarin kullanim amaçlari:
DDoS seklinde saldirilar gerçeklestirme ,SPAM ve kullanicilarin bilgisayarlarini etkileyecek zararli programlari dagitmak ,Network trafigini
kontrol etme(sniffer) …
Bir çati altina toplanmis sistemler(kullanicinin haberi olmadan sisteme sizan tehlikeli yazilim[bot] sistemi bir IRC sunucusuna baglar) genellikle
baska bir sisteme saldiri amaciyla kullanilir. Güvenlik açigi olan bir sistem(güncel yamalardan yoksun) internet ortamina girdiginde baska bir makine
tarafindan algilandiginda(bu islemi Bot yaziliminin otomatik IP tarama fonksiyonu gerçeklestirir) sistem kullanicinin haberi olmadan kontrol altina alinir.
Böylece bot ve güvenlik açiklari olan sistemler arasinda bir diyalog baslar. Hepsinin koordinasyonunu saglayan, Bot yazilimini düzenleyip IRC ortaminda
toplanmasini ayarlayan kisidir.Bazı sunucular bu iş için daha önceden hazırlanmıştır.Yani; Bot, güvenlik açigi tespit ettigi sisteme atak yaparak sistemin bir sunucudan
dosya(bu bot yada baska zararli dosya olabilir) çekip otomatik olarak çalismasini saglar. Bu sunucu, bu isin gerçeklesmesi için daha önceden
ayarlanmistir..Bu açiklarin çogu isletim sistemlerinin zaaflarindan yararlanilarak ortaya çikarilmistir.
Atak yapilan portlarin basinda 139. / 135. / 445. portlar gelmektedir. Bir çok saldiri bu port üzerine gerçeklesmekte
Örnek :http://www.sohbetmatrax.com/resim2.jpg
Takip:
IRC agina baglanarak bir BOTNET bünyesine katilan bir sistemin isleyisinde yavaslama meydana gelme olasiligi çoktur. Sistemin yavaslamasinda
en büyük rolü, otomatik ip tarama islemi esnasinda gerçeklesir. BOTNET kurallarini kabul eden bir bilgisayar, yerel agin(LAN) bir parçasi ise
sistemde bulunan bu tehlikeli bot yerel agida etkileyecektir(Tara --> Güvenlik açigi varsa ne türde bir açik var? --> BOTNET).
Bu nedenle yerel agdaki dosya paylasimlarina dikkat etmek gerekir. Yerel agda zayif sifre politikasi, botlar için mükemmel bir seçimdir.
Saldirganlar sistemleri neden IRC üzerinden kontrol yolunu seçerler?
• Rahat baglanti
• Kolay yönetim
Saldirganin BOTNETine katilan makine uzaktan kolay kontrol edilecegi için bu sistem üzerinde çalisan kullanici kolay takip edilebilir. Kullanici
hangi dosya üzerinde çalisiyor, kullaniciya ait sifrelerin alinmasi gibi islemlerde gerçeklestirebilir. Ayrica saldirgan, bilgisayarin teknik özelliklerini
tek bir komutla ögrenebilir. Bir çok kullanici, bilgisayarlarinin bir BotNetin parçasi oldugunun farkina degil. Bilgisayar sahipleri çogunlukla güncel
yamalardan habersiz internete baglanir ve sistemine entegre olan bir bot vasitasiyla kontrolün baskasinda oldugundan habersiz islemlerini
gerçeklestirmeye çalisir. Sisteme iliskin yeni bir güvenlik açigi ortaya çiktiktan sonra bu istismari kullanan bir botta internette kurban aramaya çikar.
Botlarin kullanim sekilleri birbirine çok benzer. Sistem, IRC agina baglanip kanala girdiginde(bu kanal genellikle sifrelidir) komutlarla yönetilir.
Bu botlarda komutlar birbirine çok yakindir.
Örnegin:
.login $iFRe
[MAIN]: Password accepted.
.capture screen C:\ekran.jpg
[CAPTURE]: Screen capture saved to: C:\ekran.jpg.
.execute 1 notepad.exe
[SHELL]: File opened: notepad.exe
.netinfo
[NETINFO]: [Type]: LAN (LAN Connection). [IP Address]: 192.168.1.32. [Hostname]: herakleia.localhost.

Botlarin yayilmasi için kullanilan bazi portlar:
Plug'n'Play - TCP/445, TCP/139
RPC-DCOM - TCP/135, TCP/445, TCP/1025
LSASS - TCP/445
Arkeia - TCP/617
Veritas - TCP/6101
Veritas - TCP/10000
WINS - TCP/42
Arcserve - TCP/41523
NetBackup - TCP/13701
WebDaV - TCP/80
DameWare - TCP/6129
MyDoom-Backdoor - TCP/3127
Bagle-Backdoor - TCP/2745
IIS 5.x SSL - TCP/443
Sistemi tehlikeye düsüren ve botlarin kullandigi güvenlik açiklarina iliskin bazi güvenlik yamalari:
MS03-007 {Unchecked Buffer In Windows Component Could Cause Server Compromise}
http://www.microsoft.com/technet/sec.../MS03-007.mspx
MS03-026 {Buffer Overrun In RPC Interface Could Allow Code Execution}
http://www.microsoft.com/technet/sec.../MS03-026.mspx
MS04-011 {Security Update for Microsoft Windows}
http://www.microsoft.com/technet/sec.../MS04-011.mspx
MS04-045 { Vulnerability in WINS Could Allow Remote Code Execution}
http://www.microsoft.com/technet/sec.../MS04-045.mspx
MS01-059 {Unchecked Buffer in Universal Plug and Play can Lead to System Compromise}
http://www.microsoft.com/technet/sec.../ms01-059.mspx
En çok kullanilan bot örnekleri:
_ Agobot
_ Phatbot
_ Forbot
_ XtremBot
_ SDBot
_ RBot
_ UrBot
_ UrXBot
_ GT-Bot
Yapilan bu ataklarin çogu güncel sistem açiklarini barindiran botlarin olusturdugu saldirilardir.
Bazi botlar sistemde çesitli servisleri açtiktan sonra(ftp, http, tftp) güvenlik açiklarini tespit ettikleri sisteme bu servisler araciligi dosyayi
aktarir.

http://www.sohbetmatrax.com/resim3.jpg
(botun aktif olduğu sistemden dosya çekimi)
http://www.sohbetmatrax.com/resim4.jpg
(Bilgisayarin IRC agina baglantisi )
http://www.sohbetmatrax.com/resim5.jpg
Botun kanala baglanti asamasi. Bot kanala sifresiz giremez(/JOIN ##kanal## SIFRE).
http://www.sohbetmatrax.com/resim6.jpg
(Bot sahipleri diger kullanicilarin bot kanallarina girmemesi için kanal için sifre tanimlarlar.)
http://www.sohbetmatrax.com/resim7.jpg
(Bilgisayarlar kanala girdikten sonra çesitli komutlarla yönlendirilirler)
http://www.sohbetmatrax.com/resim8.jpg
(Bot yüklü olan bilgisayara web üzerinden bir dosya yüklenmesi saglanabilir. )
http://www.sohbetmatrax.com/resim9.jpg
(Saldiri esnasinda tespit edilen bir paket. Amaç; güvenlik açigi olan sisteme web üzerinden dosya yüklemek)
http://www.sohbetmatrax.com/resim10.jpg
(Bot, Bilgisayari IRC agina baglarken otomatik olarak Nick atar)
http://www.sohbetmatrax.com/resim11.jpg
(Snort uygulamasi algilanan ataktan 2 örnek)

Sonuç:
BOTNET kontrolünü saglan bir saldirgan ayni anda bilgisayarlari kontrol ederek istedigi internet adresine DDoS saldirisi gerçeklestirebilmektedir.
BOTNET sahipleri kendi aralarinda yada çesitli kisilere para karsiliginda makinelerin toplandigi kanallari kiralayabilir. Hatta kullandigi tehlikeli bot
programini bir ücret karsiliginda satma yolunu tercih etmektedir.
Dikkat edilmesi gereken husular:
- Antivirüs kullanin. Kullandiginiz antivirüs yazilimini güncellemeyi unutmayin.
- E-Posta ile gelen dosyalara devamli süphe ile yaklasin. Dosya uzantisi .pif, .scr, .bat , .exe , .zip , .rar ise dikkatli olun(tanidiginizdan gelen bir dosya
olsa dahi süpheden vazgeçmeyin).
- IRC ortaminda sohbet ederken dikkatli olun. Bu sohbet ortaminda size verilen internet adreslerine girmeyin(bu adresler genellikle otomatik olarak
IRCde kisilere gönderilir).
- Dosya paylasim programi(p2p) kullanarak bilgisayariniza çektiginiz dosyalara dikkat edin.
Son olarak dikkat etmeniz gereken nokta;
Klasör seçeneklerindeki Görünüm bölümünde bulunan “Bilinen dosya türleri için uzantilari gizle” seçenegi aktif olmasin. Böylece dosya uzantilarini
görürsünüz. Bu da sizin ne tür dosyalarla ugrastiginizi anlaminiza yardimci olur. E-Posta ile gelen dosya .doc gibi görünür ama gerçekte
“Belge.doc .exe” olabilir.

alıntıdır.

31-07-07, 03:59	#1
LeySs Üyelik tarihi: Jul 2007 Mesajlar: 10 Konular: 10 Aldığı Teşekkür : 0 NF Puanı : 10 NF Seviyesi :	Botnet Nedir? Ne amaçla kullanılır? Botnet Botnet Saldırıları. Botnetten haksız para kazanma diyoruz ama botnet nedir? Kaynak; Tacettin Karadeniz.. Yani Alıntıdır.. IRC(Internet Relay Chat) sadece kisilerin bir araya toplanip konustuklari iletisim aglari konumundan çikip Bilgisayarlarin kontrollerinin saglandigi ortam olarak ön plana çikmaya basladi. Bot, genel olarak IRC ortamlarinda kullanilan bir terim. Bot, kendisine tanimlanan komutlari belirli bir çerçevede gerçeklestiren bir programdir. Böylece IRC ortamindaki kanallar, botlar vasitasiyla kontrolü saglanir. Son zamanlarda Bot kavrami daha çok saldiri amaçli kullanilan sistemler için kullanilmaya baslandi. Bu tür bilgisayarlarin çogunlugunu internet kullanicilarina ait sistemler olusturmaktadir. Bir internet kullanicisinin sisteminde kurulu olan Windows isletim sisteminde güncel yamalar kurulu degil ise bu sistemin uzaktan kontrolü kaçinilmaz olur. Uzaktan kontrolu saglayip, belirli bir IRC agina baglanip bir kanalda toplanmasini saglayan çesitli tehlikeli uygulamalar vardir. Bu tür tehlikeli programciklarin çogu güncel sistem açiklarini bünyesinde bulundurur ve tarama modu ile IP(Internet Protocol) adreslerine göre tarama gerçeklestirirler. Tipik bir BOTNET döngüsü: http://www.sohbetmatrax.com/resim1.jpg Amaç: BotNet sahibi bir saldirgan ayni anda 4-5 bilgisayari kontrol edebilecegi gibi binlerce bilgisayarida kontrol edebilir. Tehlikeli botlarin kullanim amaçlari: DDoS seklinde saldirilar gerçeklestirme ,SPAM ve kullanicilarin bilgisayarlarini etkileyecek zararli programlari dagitmak ,Network trafigini kontrol etme(sniffer) … Bir çati altina toplanmis sistemler(kullanicinin haberi olmadan sisteme sizan tehlikeli yazilim[bot] sistemi bir IRC sunucusuna baglar) genellikle baska bir sisteme saldiri amaciyla kullanilir. Güvenlik açigi olan bir sistem(güncel yamalardan yoksun) internet ortamina girdiginde baska bir makine tarafindan algilandiginda(bu islemi Bot yaziliminin otomatik IP tarama fonksiyonu gerçeklestirir) sistem kullanicinin haberi olmadan kontrol altina alinir. Böylece bot ve güvenlik açiklari olan sistemler arasinda bir diyalog baslar. Hepsinin koordinasyonunu saglayan, Bot yazilimini düzenleyip IRC ortaminda toplanmasini ayarlayan kisidir.Bazı sunucular bu iş için daha önceden hazırlanmıştır.Yani; Bot, güvenlik açigi tespit ettigi sisteme atak yaparak sistemin bir sunucudan dosya(bu bot yada baska zararli dosya olabilir) çekip otomatik olarak çalismasini saglar. Bu sunucu, bu isin gerçeklesmesi için daha önceden ayarlanmistir..Bu açiklarin çogu isletim sistemlerinin zaaflarindan yararlanilarak ortaya çikarilmistir. Atak yapilan portlarin basinda 139. / 135. / 445. portlar gelmektedir. Bir çok saldiri bu port üzerine gerçeklesmekte Örnek :http://www.sohbetmatrax.com/resim2.jpg Takip: IRC agina baglanarak bir BOTNET bünyesine katilan bir sistemin isleyisinde yavaslama meydana gelme olasiligi çoktur. Sistemin yavaslamasinda en büyük rolü, otomatik ip tarama islemi esnasinda gerçeklesir. BOTNET kurallarini kabul eden bir bilgisayar, yerel agin(LAN) bir parçasi ise sistemde bulunan bu tehlikeli bot yerel agida etkileyecektir(Tara --> Güvenlik açigi varsa ne türde bir açik var? --> BOTNET). Bu nedenle yerel agdaki dosya paylasimlarina dikkat etmek gerekir. Yerel agda zayif sifre politikasi, botlar için mükemmel bir seçimdir. Saldirganlar sistemleri neden IRC üzerinden kontrol yolunu seçerler? • Rahat baglanti • Kolay yönetim Saldirganin BOTNETine katilan makine uzaktan kolay kontrol edilecegi için bu sistem üzerinde çalisan kullanici kolay takip edilebilir. Kullanici hangi dosya üzerinde çalisiyor, kullaniciya ait sifrelerin alinmasi gibi islemlerde gerçeklestirebilir. Ayrica saldirgan, bilgisayarin teknik özelliklerini tek bir komutla ögrenebilir. Bir çok kullanici, bilgisayarlarinin bir BotNetin parçasi oldugunun farkina degil. Bilgisayar sahipleri çogunlukla güncel yamalardan habersiz internete baglanir ve sistemine entegre olan bir bot vasitasiyla kontrolün baskasinda oldugundan habersiz islemlerini gerçeklestirmeye çalisir. Sisteme iliskin yeni bir güvenlik açigi ortaya çiktiktan sonra bu istismari kullanan bir botta internette kurban aramaya çikar. Botlarin kullanim sekilleri birbirine çok benzer. Sistem, IRC agina baglanip kanala girdiginde(bu kanal genellikle sifrelidir) komutlarla yönetilir. Bu botlarda komutlar birbirine çok yakindir. Örnegin: .login $iFRe [MAIN]: Password accepted. .capture screen C:\ekran.jpg [CAPTURE]: Screen capture saved to: C:\ekran.jpg. .execute 1 notepad.exe [SHELL]: File opened: notepad.exe .netinfo [NETINFO]: [Type]: LAN (LAN Connection). [IP Address]: 192.168.1.32. [Hostname]: herakleia.localhost. Botlarin yayilmasi için kullanilan bazi portlar: Plug'n'Play - TCP/445, TCP/139 RPC-DCOM - TCP/135, TCP/445, TCP/1025 LSASS - TCP/445 Arkeia - TCP/617 Veritas - TCP/6101 Veritas - TCP/10000 WINS - TCP/42 Arcserve - TCP/41523 NetBackup - TCP/13701 WebDaV - TCP/80 DameWare - TCP/6129 MyDoom-Backdoor - TCP/3127 Bagle-Backdoor - TCP/2745 IIS 5.x SSL - TCP/443 Sistemi tehlikeye düsüren ve botlarin kullandigi güvenlik açiklarina iliskin bazi güvenlik yamalari: MS03-007 {Unchecked Buffer In Windows Component Could Cause Server Compromise} http://www.microsoft.com/technet/sec.../MS03-007.mspx MS03-026 {Buffer Overrun In RPC Interface Could Allow Code Execution} http://www.microsoft.com/technet/sec.../MS03-026.mspx MS04-011 {Security Update for Microsoft Windows} http://www.microsoft.com/technet/sec.../MS04-011.mspx MS04-045 { Vulnerability in WINS Could Allow Remote Code Execution} http://www.microsoft.com/technet/sec.../MS04-045.mspx MS01-059 {Unchecked Buffer in Universal Plug and Play can Lead to System Compromise} http://www.microsoft.com/technet/sec.../ms01-059.mspx En çok kullanilan bot örnekleri: _ Agobot _ Phatbot _ Forbot _ XtremBot _ SDBot _ RBot _ UrBot _ UrXBot _ GT-Bot Yapilan bu ataklarin çogu güncel sistem açiklarini barindiran botlarin olusturdugu saldirilardir. Bazi botlar sistemde çesitli servisleri açtiktan sonra(ftp, http, tftp) güvenlik açiklarini tespit ettikleri sisteme bu servisler araciligi dosyayi aktarir. http://www.sohbetmatrax.com/resim3.jpg (botun aktif olduğu sistemden dosya çekimi) http://www.sohbetmatrax.com/resim4.jpg (Bilgisayarin IRC agina baglantisi ) http://www.sohbetmatrax.com/resim5.jpg Botun kanala baglanti asamasi. Bot kanala sifresiz giremez(/JOIN ##kanal## SIFRE). http://www.sohbetmatrax.com/resim6.jpg (Bot sahipleri diger kullanicilarin bot kanallarina girmemesi için kanal için sifre tanimlarlar.) http://www.sohbetmatrax.com/resim7.jpg (Bilgisayarlar kanala girdikten sonra çesitli komutlarla yönlendirilirler) http://www.sohbetmatrax.com/resim8.jpg (Bot yüklü olan bilgisayara web üzerinden bir dosya yüklenmesi saglanabilir. ) http://www.sohbetmatrax.com/resim9.jpg (Saldiri esnasinda tespit edilen bir paket. Amaç; güvenlik açigi olan sisteme web üzerinden dosya yüklemek) http://www.sohbetmatrax.com/resim10.jpg (Bot, Bilgisayari IRC agina baglarken otomatik olarak Nick atar) http://www.sohbetmatrax.com/resim11.jpg (Snort uygulamasi algilanan ataktan 2 örnek) Sonuç: BOTNET kontrolünü saglan bir saldirgan ayni anda bilgisayarlari kontrol ederek istedigi internet adresine DDoS saldirisi gerçeklestirebilmektedir. BOTNET sahipleri kendi aralarinda yada çesitli kisilere para karsiliginda makinelerin toplandigi kanallari kiralayabilir. Hatta kullandigi tehlikeli bot programini bir ücret karsiliginda satma yolunu tercih etmektedir. Dikkat edilmesi gereken husular: - Antivirüs kullanin. Kullandiginiz antivirüs yazilimini güncellemeyi unutmayin. - E-Posta ile gelen dosyalara devamli süphe ile yaklasin. Dosya uzantisi .pif, .scr, .bat , .exe , .zip , .rar ise dikkatli olun(tanidiginizdan gelen bir dosya olsa dahi süpheden vazgeçmeyin). - IRC ortaminda sohbet ederken dikkatli olun. Bu sohbet ortaminda size verilen internet adreslerine girmeyin(bu adresler genellikle otomatik olarak IRCde kisilere gönderilir). - Dosya paylasim programi(p2p) kullanarak bilgisayariniza çektiginiz dosyalara dikkat edin. Son olarak dikkat etmeniz gereken nokta; Klasör seçeneklerindeki Görünüm bölümünde bulunan “Bilinen dosya türleri için uzantilari gizle” seçenegi aktif olmasin. Böylece dosya uzantilarini görürsünüz. Bu da sizin ne tür dosyalarla ugrastiginizi anlaminiza yardimci olur. E-Posta ile gelen dosya .doc gibi görünür ama gerçekte “Belge.doc .exe” olabilir. alıntıdır.