Botnet, bir DDoS saldırısı veya örneğin e-posta kimlik avı saldırılarında olduğu gibi çeşitli hedeflere karşı tek veya tek bir hedefe koordineli saldırılar gerçekleştiren kötü amaçlı yazılım bulaşmış bir grup bilgisayarı tanımlamak için kullanılan bir terimdir. Bir botnet'e bulaşan bilgisayarlar, gezegenin herhangi bir yerinde bulunabilen bireysel bir siber suçlu tarafından çalıştırılır.
İnternete bağlı herhangi bir cihaz, bilgisayarlar, sunucular gibi Nesnelerin İnterneti (IoT) cihazları, hatta kötü amaçlı yazılımları sürdürebilen mobil cihazlar bile Botnet'lerde kullanılabilir. Güvenliği ihlal edilmiş bir cihaz botnet'e, botnet tarafından yapılan saldırının şiddetini ve yıkıcılığını her eklediğinde. Bir Botnet'te virüs bulaşan cihaz sayısı ne kadar fazlaysa, siber saldırı o kadar şiddetli olur.
Botnet saldırı örnekleri genellikle aşağıdaki siber saldırıları gerçekleştirmek için kullanılır:
1. DDoS Saldırıları
"DDoS" terimi, bir DDoS saldırısına atıfta bulunur (Dağıtılmış Hizmet Reddi saldırısı), bir web sitesi sunucusuna yapılan çok sayıda bağlantıyı aşırı yüklemek ve engellemek için botnet'lerin kullanılmasıdır. Özel ağ olarak da bilinir. Bir DoS saldırısı (Hizmet Reddi saldırısı), güvenliği ihlal edilmiş tek bir cihazla yürütülür. Ancak DDoS saldırıları, hasarı artırmak için güvenliği ihlal edilmiş birden fazla cihazla gerçekleştirilir.
DDoS saldırıları, bir avantaj elde etmek için web sitelerindeki satışları kesintiye uğratmak için kullanılabilir. Fidye yazılımında (fidye yazılımı) olduğu gibi, DDoS saldırıları, saldırıyı durdurma maliyetini karşılamak için kurbanın gerekli olduğu bir şantaj sürecini içerir. Sebep ne olursa olsun, tüm DDoS türleri dünya çapında suçludur.
İki gösterge, bir DDoS saldırısının devam ettiğini gösterebilir:
Siteniz aşırı yavaş yükleniyorsa, bunun nedeni sunucunuza saldırı olması olabilir. Siteniz sonunda tamamen yüklenmeyi durdurduğunda ve "503 hizmet kullanılamıyor hatası görüntülendiğinde böyle olabilir.
Sitenizi yüklemeye çalıştığınızda bir '503 hizmeti kullanılamıyor' mesajıyla karşılaştığınızda benzer durumlar oluşabilir. Ancak diğer web siteleri mükemmel çalışıyorsa sitenizi yüklemeye çalıştığınızda '503 hizmet kullanılamıyor mesajı' şeklinde bir hata mesajı alıyorsunuz, web sunucusu sitenizi yükleyemeyebilir. Bu bir DDoS saldırısının beklenen sonucudur.
2. Kimlik Avı Saldırıları
Bir kimlik avı saldırısı, siber suçluların hassas bilgilere erişmek için özel parolalar elde etmek için virüslü bağlantılar içeren masum e-postalar gönderdiğinde meydana gelir. Botnet'ler, kurbanların e-postalarıyla dolandırılma olasılığını artırmak için büyük bir kimlik avı saldırısı başlatabilir. Bu tür bir durumla ilgili herhangi bir e-posta alırsanız, bu e-postalarla iletişime geçmeyin. Kimlik avı dolandırıcılığının kurbanı olduğunuzu düşünüyorsanız, herhangi bir olayı ilgili makama bildirebilirsiniz.
3. Finansal Veri İhlalleri
Finansal botnetler, bankaları banka ve kredi kartı bilgileri gibi hassas finansal verileri çalmak için hedefler. Zeus botnet karmaşık bir finansal botnettir. GameOver Zeus yazılımı olarak bilinen kötü amaçlı yazılım, kimlik avı e-postası yoluyla yayılır. Etkilenen bilgisayarlar, daha sonra suç hesaplarına para aktarmak için kullanılan banka kimlik bilgilerini almak için kullanılır.
GameOver botnet'i devre dışı bırakmak kolay bir iş değil çünkü botnet, eşler arası bir komut ve kontrol sistemi üzerine kuruludur. Bu şekilde, sabit bir siteden değil, güvenliği ihlal edilmiş ve botnet'in bir parçası olan diğer cihazlardan gönderilen virüslü tüm bilgisayarlara kötü niyetli talimatlar iletilir. GameOver Zeus botnetinin 100 milyon dolardan fazla kayıptan sorumlu olduğu tahmin ediliyor.
GameOver Zeus zararlı yazılımlarından nasıl kurtulacağınız konusunda Siber güvenlik teknik ekip üyelerinden yardım almanız mümkündür. Aşağıdaki belirtilerden herhangi birini yaşıyorsanız, sisteminize Zeus kötü amaçlı yazılımı bulaşmış olabilir:
İmleciniz bağımsızdır.
Bilgisayarınız ortalamadan çok daha yavaştır.
Banka ekstrenizde bazı şüpheli finansal işlemler var.
Bilgisayarınızda metin içeren sohbet pencereleriniz var.
4. Hedeflenen İzinsiz Girişler
Hedefli izinsiz giriş, veri güvenliği ihlalleri oluşturmak için botnetlerin kullanılması anlamına gelir. Bu saldırılarda web sitesindeki tek bir nokta hedeflenir ve hedeflenir. Bu, saldırganların savunmasız kaynaklara daha derinden girebilecekleri anlamına gelir.
Hedeflenen izinsiz girişin bir göstergesi, bir IP adresinden aynı sunucu bağlantı noktasına birden çok bağlantının varlığıdır. Bu aynı zamanda bir DDoS saldırısının işareti olabilir. Web sunucularının günlüklerini manuel olarak aramak yerine, hassas kaynaklara yerleştirilen bal jetonları kullanılarak saldırılar daha etkili bir şekilde tespit edilebilir.
Botnet'ler Nasıl İşler?
İnternete bağlı ve aynı kötü amaçlı yazılımdan etkilenen cihazlar birbirine katıldığında Botnet'ler oluşturulur. Bilgisayarlar, bir botnet'te ki en önemli durum aygıttır. Onları etkileyen kötü amaçlı yazılım, kimlik avı e-postası veya güvenliği ihlal edilmiş bir web sitesi veya bir tıklama sahtekârlığı planı aracılığıyla yayılır.
PC'ler, botnet kötü amaçlı yazılımlarının ana bilgisayar hedefleridir. Mac'lerin tehlikeye girme olasılığı çok daha düşüktür. IoT cihazları ayrıca bot görevi görebilir. 2016'nın ikinci yarısında, Mirai olarak adlandırılan kötü amaçlı yazılım, 600.000'den fazla Linux CCTV kamera modelini etkiledi. Mirai botnet, Amerika'nın doğu kesiminde ciddi bir internet kesintisine neden olan muazzam bir DDoS saldırısı başlatmayı başardı. Bu, botnet saldırılarının internet için nasıl yakın bir tehdit oluşturabileceğinin açıklayıcı bir örneğidir.
Virüs bulaştığında, güvenliği ihlal edilen her cihaz, botnet saldırıları oluşturmak amacıyla tehdit aktörleri tarafından uzaktan yönetilmelerine izin vermek için "Komut ve Kontrol Sunucuları" adı altında belirtilen suç sunucularına bağlanabilir.
Siber suçlular, teknik dünyada iki düzenleme ile botnet'lere bağlanabilmektedir:
İstemci-Sunucu Modeli: Bu, en sık kullanılan botnet kurulumudur. Etkilenen her cihaz, iletişim için iki protokolden birini, IRC (İnternet Aktarım Sohbeti) veya HTTP (Köprü Metni Aktarım Protokolü) kullanarak botnet'e talimatlar veren cezai Komuta ve Kontrol sunucusuna (C&C sunucusu) bağlanır.
P2P Modeli: İstemci-sunucu iletişimine dayanan botnet modelinin aksine P2P modeli P2P botnet merkezi değildir, yani komutlar tek bir kaynaktan gönderilmez. Bunun yerine, etkilenen her cihaz, talimatları ağdaki botlara iletebilir. Bahsedilen Zeus kötü amaçlı yazılımı bu model kullanılarak oluşturulmuştur.
Botnet kötü amaçlı yazılımı, savunmasız uç noktaları olan cihazları tespit etmek için geliştirilmiştir. Bu şekilde, insan veya siber engellerle uğraşmak zorunda kalmadan yeni olan Botnet'ler hızlı bir şekilde oluşturulabilir. Otonom botların hızlı genişlemesi, botnet'lerin temel amacıdır. Botnet saldırılarının en endişe verici yönü, kurbanların çoğu zaman cihazlarının etkilendiğinin farkında olmamasıdır. Botnet saldırıları uzun süre fark edilmeden çalışabilir.
Yeni oluşturulan botlar, P2P botnet içinde güvenliği ihlal edilmiş bir cihaz olan botlar için bir yönetici tarafından veya istemci-sunucu olan asimetrik bir botnetin ana komut sunucusunun bir yöneticisi tarafından komuta edilinceye kadar etkin değildir. Etkinleştirildiğinde, botnet'ler belirgin bir belirti olmadan çalışır. Her bot, müşteri verilerinin yüzde bir kısmını kesin bir hedefe yönlendirebilir. Bu işlem, meşru bilgisayar görevlerinin arka planına gizlenmiş, perde arkasında gerçekleşir. Her bot önemsiz miktarda işlem bant genişliği ile sınırlı olduğundan, bir saldırı başlatmak için gereken kötü niyetli trafik hacmini işleyebilmek için botnet'lerin son derece büyük olması gerekir.
Botnet Saldırısına Karşı Ne Yapmalısınız?
Bilgisayarınızın çevrimiçi bir botnet'in parçası olması durumunda, ilk adım internet bağlantılarını keserek botnet'in iletişim kanalını kapatmaktır. Botnet kötü amaçlı yazılımı, bilgisayarınızdaki Wi-Fi ayarlarını değiştirmenizi engelliyorsa, yönlendiricinizin fişini çekmeniz gerekir. Bundan sonra, işletim sisteminizin temiz bir sürümünü geri yüklemek için siber güvenlik teknik desteğine ulaşabilir ve siber saldırıyı kolluk kuvvetlerine bildirebilirsiniz. Cihazınızın botnet kötü amaçlı yazılımlarından etkilenmesini önlemek için bu adımları uygulayın
Kullanılmayan Bağlantı Noktalarını Kapatın veya Filtreleyin
Açık bir bağlantı noktası, siber suçluların, botnet'ler aracılığıyla kötü amaçlı yazılımlara bulaşmak için kullanılabilecek yazılımlardaki güvenlik açıklarını bulmasına izin verebilir. Bunun olmasını önlemek için tüm gereksiz bağlantı noktalarının kapatıldığından veya engellendiğinden emin olun. Siber suçluların açık olan portlarınız hakkında topladığı bilgi miktarını öğrenmek için açık portlar için ücretsiz tarayıcılar kullanmak mümkündür.
Segmentasyonu Uygulayın
Segmentasyon, botnet kötü amaçlı yazılımlarının ağlarınızdaki diğer bölümlere yayılmasını durdurmaya karşı savunmasız olan cihazlar için bir koruma örtüsüdür. IoT cihazları söz konusu olduğunda bu çok önemlidir.
Tüm IoT Cihazlarının ve Bilgisayar Programlarının Güncel Olduğundan Emin Olun
Güncel Yazılım güncellemeleri, botnet kötü amaçlı yazılımlarının enjekte edilmesine ve casus yazılımlara izin veren güvenlik açıklarını düzeltir. Düzenli donanım yazılımı ve yazılım güncellemeleri, tüm uzak cihazların yanı sıra IoT cihazlarının güvenliğini sağlar. En yeni güvenlik yamalarını kaçırmadığınızdan emin olmak için, işletim sisteminizin yanı sıra web tarayıcınıza da otomatik yamalar yükleyin.
Antivirüs Yazılımını Kullanın
Antivirüs programlarının çoğu Zeus'u ve diğer kötü amaçlı yazılım türlerini tanıyabilir. Virüsten koruma programınızın en son tehditleri algılayabilmesini sağlamak için, onu güncel tutmak önemlidir. Botnet saldırılarında mobil cihazlar da kullanılmaktadır. Anti virüsünüzün Android veya iOS cihazlarını da koruyabilmesini sağlamak önemlidir.
Güvenlik Duvarı Kullan
Güvenlik Duvarı güvenlik kontrolleri, cihazlarınız arasındaki botnet iletişimini algılar ve durdurur. Cihazlarınızın siber suç işlemek için kullanılmasını da önlerler.
Güçlü Oturum Açma Kimlik Bilgileri Oluşturun
En iyi botnet kötü amaçlı yazılım koruması, siber suçluların ağınızdan yararlanmasını önlemektir. Güçlü kullanıcılar için kimlik bilgileri, bilgisayar korsanlarının parola güvenliği teknikleriyle erişmesini engelleyecektir.
Çok Faktörlü Kimlik Doğrulamayı Kullanın
Çok Faktörlü Kimlik Doğrulama (MFA), bir saldırgan güvenlik önlemlerinizden birini ihlal ettiğinde ağınız için ek güvenlik sağlayabilir. En yüksek dereceli korumayı sağlamak için, MFA birden fazla cihaza yayılmalı ve tek bir bilgisayarda kullanılmamalıdır.