Botnet'ler Kuruluşunuz İçin Büyüyen Bir Tehdit: İşte Nedeni

Siber suçluların bugün kullanabilecekleri çok çeşitli araçlar var. En temel ve en tehlikeli araçlardan biri botnettir.

Günümüzde neredeyse tüm siber saldırılar, şu veya bu biçimde botnet kullanıyor. Manuel sızma girişimleri gibi doğrudan bir insan hacker tarafından yürütülen saldırılar bile, genellikle hedeflenen ağı araştıran ve güvenlik açığı taramaları gerçekleştiren botnet'lerden önce gelir. Bu nedenle, yöneticilerin botnet'lerin nasıl çalıştığını ve ağlarını onlara karşı nasıl savunacaklarını anlamaları hayati önem taşımaktadır.

Botnet nedir?

Adından da anlaşılacağı gibi, botnet bir bot ağıdır.

“Bot”, “internet botu” veya “www robotu” olarak da bilinen web robotunun kısaltmasıdır. Bot, bir insanın başka türlü yapabileceği etkinlikleri otomatik olarak gerçekleştiren bir yazılım uygulamasıdır. Botlar günümüzde yaygın olarak kullanılmaktadır, çünkü bir bot birçok aktiviteyi bir insandan daha hızlı ve daha büyük ölçekte gerçekleştirebilir.

Tüm botlar kötü değildir. Aslında, çoğu sitede hoş karşılanan birçok iyi bot da dahil olmak üzere farklı türde botlar vardır. Arama motoru örümcekleri ve web alışveriş motorları, muhtemelen iyi botların en yaygın örnekleridir.

Ancak botnet'ler düşman botlardan oluşur; Güvenliği ihlal edilmiş cihazlardan oluşan geniş bir ağda çalışan kötü amaçlı yazılım programları. Her bot, merkezi bir C&C (Komut ve Kontrol) sunucusuyla periyodik olarak iletişim kurar; hacker, botnet'i bu şekilde kontrol eder ve botlara çeşitli saldırılar yapmalarını emrederek talimatlar verir. Botların çalıştığı güvenliği ihlal edilmiş cihazların sahipleri, genellikle bunların gerçekleştiğinin farkında değildir.

Botnet'ler, üzerinde çalıştıkları cihaz türlerine göre kategorilere ayrılabilir. En güçlü botnet'ler, büyük kişisel bilgisayar ağları olma eğilimindedir. Bilgisayar korsanları, makinelere kötü amaçlı yazılım yükleyerek bu ağları kurar; Yaygın bir yol, Truva atı eki veya tıklandığında bot programının yüklenmesine yol açacak düşmanca bir bağlantı içeren spam e-posta göndermektir. Ancak inşa edilmiş olsa da, virüslü PC'lerde çalışan bir botnet, bilgisayar korsanları için oldukça imrenilen bir araçtır, çünkü temeldeki PC'lerin çok çeşitli yetenekleri vardır.

Spektrumun diğer ucunda, Nesnelerin İnterneti (IoT) cihazlarından oluşan botnet'ler bulunur. Son birkaç yılda, İnternet bağlantılı birçok "akıllı" cihaz piyasaya çıktı: termostatlardan kapı zillerine ve güvenlik kameralarına kadar her şey. Ne yazık ki, bu cihazların birçoğunun sağlam bir güvenliği yoktur ve bilgisayar korsanları, onları köleleştirip devasa botnet'lere dahil ederek sayısız sayıdan ödün vermeyi başarmıştır.

IoT cihazları, PC'lerden çok daha basit ve yetenekleri açısından çok daha sınırlı olduğundan, IoT botnetleri, PC tabanlı botnetlerden daha az karmaşık saldırılar yapabilir. Örneğin, çoğu IoT cihazında e-posta yazılımı bulunmazken çoğu bilgisayarda bulunur; bu nedenle, PC botnetleri büyük spam e-posta kampanyalarında kullanılabilirken, IoT botnetleri kullanılamaz.

Ancak nitelik olarak eksik olan ne varsa nicelik ile telafi edilebilir; bazı IoT botnetleri devasadır ve yüz binlerce köleleştirilmiş cihaz içerir. Bu ağlar, üretilen trafik miktarının saldırının birincil özelliği olduğu DDoS gibi daha basit hacimsel saldırılar için kullanılma eğilimindedir.

Botnetler ne tür saldırılar için kullanılabilir?

Botnetler günümüzde birçok farklı saldırı türü için kullanılmaktadır. İşte en yaygın olanlardan bazıları.

DDoS (Dağıtılmış Hizmet Reddi)

Bir DDoS saldırısında, bir botnet, tümü tek bir hedefi hedefleyen büyük miktarda trafik oluşturur. Bilgisayar korsanının amacı, hedeflenen siteye veya web uygulamasına ezici bir hacimde gelen HTTP isteklerini göndermek ve bu istekleri hedeflenen kullanıcılar tarafından kullanılamaz hale getirmektir. İdeal sonuç (hacker açısından), hedefi tamamen çökertmek ve çevrimdışı duruma getirmektir.

Bununla birlikte, ciddi şekilde bozulmuş bir performans bile bir başarı olarak kabul edilecektir. Modern DDoS saldırıları şaşırtıcı hacimlere ulaşabilir; Bu makale yazılırken mevcut kayıt, Amazon Web Servislerini kullanan bir kuruluşa yönelik 2.3 Tbps saldırıdır. Hiç şüphe yok ki bu rekor yakında daha da büyük bir saldırı ile kırılacaktır.

İstenmeyen e-posta

İnternetin ilk günlerinde, e-posta spam göndericileri, büyük miktarda mesaj göndermek için az sayıda bilgisayar kullanırdı. Güvenlik firmaları adapte oldular ve bu bilgisayarların IP adreslerini yayınlamaya başladılar, bu da güvenlik yazılımlarının onları engellemesini kolaylaştırdı.

Günümüzde spam gönderenler, bunun yerine hedeflerine ulaşmak için büyük botnetler kullanarak bundan kaçınıyor. Köleleştirilmiş her cihaz nispeten az mesaj gönderir, bu da güvenlik kuruluşlarının bir spam kampanyasının kaynaklarını belirlemesini çok daha zor hale getirir. Bununla birlikte, botnet'in boyutu, spam göndericinin kısa sürede binlerce hatta milyonlarca mesaj gönderebileceği anlamına gelir. Ayrıca, bazı botnet'ler bunu yalnızca e-posta ile yapmakla kalmaz, aynı zamanda SMS spam'i de oluşturabilir.

Güvenlik açığı taramaları

Botnet'ler güvenlik açığı taramaları yapar; Henüz yama uygulanmamış bilinen güvenlik açıklarına sahip sistemleri arayarak, İnternet'teki ağları sistematik olarak araştırırlar. Sömürülebilir sistemler bulunduğunda, bilgisayar korsanları doğrudan ihlal girişimleri ve diğer saldırıları takip eder.

Kötü amaçlı yazılım yüklemesi

Bazen bir güvenlik açığı taramasını insan müdahalesi takip etmez. Bazı güvenlik açıkları türleri için, çok sayıda potansiyel kurban bulunduğunda, savunmasız sistemleri ziyaret etmek ve onlara kötü amaçlı yazılım bulaştırmak için bir botnet kullanılacaktır. Buradaki popüler seçenekler arasında fidye yazılımı veya bireysel makineler için bazen her yeni makineyi botnet'e çekecek olan bot yazılımı yüklenir.

SEO bağlantıları ve içerik spam'i

Kullanıcı tarafından oluşturulan içeriği (ürün incelemeleri, yorumlar vb.) kabul eden siteler ve web uygulamaları genellikle botnet'lerden rahatsız olur. Botlar sahte hesaplar oluşturur ve ardından belirli bir siteye geri bağlantılar içeren küçük metin parçaları gibi sahte "içerik" eklemeye çalışır. Bilgisayar korsanının birincil amacı, bağlantılı sitenin arama motorlarındaki görünürlüğünü artırmak ve hatta belki de kurban edilen web uygulamasından bu bağlantıları izleyerek doğrudan ulaşan birkaç ziyaretçi elde etmektir.

Hesap devralmaları

Bilgisayar korsanları büyük web sitelerini ihlal ettiğinde, genellikle kullanıcı adı ve şifre kombinasyonları gibi binlerce kimlik bilgisi kümesini toplarlar. Ne yazık ki, birçok insanın birçok farklı web sitesinde hala aynı kimlik bilgilerini kullandığını biliyorlar. Bu nedenle, bilgisayar korsanları bir siteden hesap kimlik bilgilerinin bir listesini elde ettiğinde, çalınan kimlik bilgileriyle diğer birçok siteye giriş yapmaya çalışacaklardır.

Bu kimlik bilgisi doldurma çok yaygındır; bir botnet, bilgisayar korsanlarının hesapları ele geçirmek istediği yüksek profilli bir siteyi ziyaret edecek ve çalınan kimlik bilgilerini sitenin oturum açma formuna sistematik olarak "dolduracaktır". Genellikle, bu giriş denemelerinin en azından bir kısmı başarılı olur, bu da saldırganın yeni sitedeki bu hesapların kontrolünü ele geçirebileceği anlamına gelir. Botnet, bu sürecin hayati bir parçasıdır, çünkü genellikle bir insan saldırganın kapasitesinin ötesinde olan binlerce hatta milyonlarca sistematik oturum açma girişimi içerir.

Ödeme kartı dolandırıcılığı

Tehdit aktörleri, çalınan ödeme kartlarını doğrulamak için botnet'leri kullanır. Botlar, kabul edilip edilmediklerini görmek için kart numaralarını web uygulamalarına doldurur. Benzer bir teknik, yeni kartları keşfetmek için kullanılır; botlar potansiyel sayılar arasında geçiş yapar ve bunları web uygulamalarına girer. Bu, saldırganın önceden bilmediği ek kartları çalmanın kaba ama etkili bir yoludur.

Kazıma ve veri hırsızlığı

Bilgisayar korsanları, siteleri ve web uygulamalarını sıyırmak ve çeşitli yasa dışı amaçlarla verileri kopyalamak için botnet'leri kullanır. Bazı sektörlerde (örneğin, e-ticaret, sigorta ve diğerleri), fiyatlandırma verileri değerli bilgilerdir; aslında, gölgeli işletmeler bazen rakiplerin sitelerini ele geçirmek için tehdit aktörlerini işe alır. Veri toplama gibi diğer sektörlerde, işletmeler içeriğe erişim satıyor ve botnet kazıma, iş modeline doğrudan bir tehdit oluşturuyor.

Uygulama kötüye kullanımı

Tehdit aktörleri, genellikle hedeflenen kuruluşa göre özelleştirilmiş, son derece özel amaçlar için botnet kullanır. Yaygın bir örnek, ticari bir web sitesine veya mobil uygulamaya erişmek ve işlemi tamamlamadan bir satın alma sürecini başlatmak için bir botnet'in kullanıldığı envanter reddidir . Bu, belirli bir süre için öğeleri envanterden kaldırabilir ve bu da gerçek müşterilerin bunları satın alma olanağını engeller. Engellenen satışlardan elde edilen gelir kaybının yanı sıra bu, mağdur için ek sorunlara neden olabilir.

Botnet'lerin seyahat sitelerine ve uygulamalarına saldırması yaygındır; botlar uçuş programlarını sorgular ve rezervasyon yapmaya başlar - bu, koltukları belirli bir süre, genellikle 10 veya 15 dakika boyunca envanterden kaldırır - ancak asla bilet satın almaz. Bu, herhangi bir zamanda birçok koltuğu mevcut envanterden kaldırmakla kalmaz, aynı zamanda seyahat sitesi için yüksek veri arama ücretlerine de neden olabilir.

Birçok seyahat sitesi, uçuş planı bilgileri için harici veri akışlarına güvenir ve bunun için her sorguya göre ödeme yapar; bu nedenle, bot etkinliği hedefe doğrudan mali zarar verir.

Botnet saldırıları bugün neden bu kadar yaygın?

Siber güvenlikle ilgilenen herkes, günümüzde düşman botlara karşı güçlü bir savunmanın gerekli olduğunu bilir. Yukarıda açıklanan botnet saldırıları çok sık gerçekleşir.

Botlar bugün web trafiğinin neredeyse üçte ikisini oluşturuyor. Bazıları, arama motoru örümcekleri gibi iyi botlardır. Geri kalanlar – tüm botların yarısından fazlası – düşmandır. Kaynak: Reblaze tarafından işlenen trafik (günde sekiz milyardan fazla HTTP/S isteği)

Bunun için birçok nedeni vardır. Botnet'ler yaygındır ve her zaman yenileri oluşturulmaktadır. Siber suçlular gerekli oldukları için botnet kullanırlar. Daha önce açıklanan saldırıların çoğu onlarsız mümkün olmazdı.

Günümüzün tehdit aktörleri, Rusya'daki organize suç çetelerinden Çin'deki devlet destekli bilgisayar korsanlarına kadar her şeyi içeriyor. Çoğu bilgisayar korsanı sofistike ve son derece yeteneklidir; birçoğu da iyi finanse ediliyor. Hedeflerine ulaşmak için gerekli olan araçları kullanacaklardır. Bu nedenle, her zaman daha büyük ve daha iyi botnet'ler oluşturuluyor.

Bilgisayar korsanları için karlılar

Sağlam bir botnet'i kontrol eden bir tehdit aktörü, kâr için birçok fırsata sahiptir. Burda biraz var.

DDoS gaspı

Bilgisayar korsanları bir siteye karşı büyük bir DDoS başlatacak ve ardından sitenin sahibine fidye talebi gönderecek. Fidye ödenene kadar saldırıyı sürdürmekle tehdit ediyorlar. Başarılı bir DDoS, müşterilerin bir siteye veya uygulamaya erişmesini engelleyebilir, bu nedenle site sahipleri, saldırıdan kaynaklanan sürekli gelir kaybını sürdürmek yerine genellikle fidye öder.

Çalınan verileri satmak

Daha önce de belirtildiği gibi, botnet'ler birçok değerli bilgiyi çalmak için kullanılabilir. Ödeme kartı numaraları gibi bazı veri türleri, doğrudan bilgisayar korsanları tarafından kullanılabilir ve/veya bu amaç için geniş, olgun pazarların bulunduğu karanlık ağda yeniden satılabilir. Geçerli hesap bilgileri de oldukça değerlidir.

E-posta ve SMS spam'ı

Yıllar önce, spam göndericilerin çoğu, gölgeli ürünler satmak veya başka dolandırıcılık yapmak için toplu e-postalar gönderiyordu. Bugün, kimlik avı kampanyaları ve diğer yasa dışı faaliyetler çok yaygın. Ayrıca, botnet sahipleri yalnızca kendi mesajlarını göndererek değil, aynı zamanda diğer suçlulara bir hizmet olarak spam sunarak da kazanç sağlayabilirler.

SEO spam'ı

Botnet'ler genellikle web üzerinde bağlantı bırakma kampanyaları gerçekleştiren "SEO hizmetleri" olarak adlandırılan kişilere kiralanır.

Diğer kötü amaçlı yazılım hizmetleri

Bilgisayar korsanları, spam ve SEO'nun yanı sıra çok çeşitli amaçlar için botnet kaynaklarını kiralayabilir: reklam sahtekarlığı, uygulama kötüye kullanımı, kazıma ve daha fazlası. Şimdi bunun için aktif bir pazar var, daha sonra tartışacağız.

Botnet'ler ucuz, bol ve kiralaması kolay

Dark web belki de en çok dosya paylaşımı ve yasadışı uyuşturucu satışı ile tanınır. Ama aynı zamanda siber suçlar için birçok forum ve yeraltı pazarına da ev sahipliği yapıyor.

Çeşitli uzmanlıklara ve becerilere sahip bilgisayar korsanları, hizmetlerini kiralık olarak sunar. Saldırı araçları ve diğer yazılımlar, alıcıların ürünleri değerlendirebileceği ve yorum yazabileceği çevrimiçi pazarlarda satılmaktadır. Ve botnet'ler saatlik, günlük veya haftalık olarak kiralanabilir.

Yıllar önce, bir botnet isteyen bir tehdit aktörünün sıfırdan bir botnet inşa etmesi gerekiyordu ki bu zor ve pahalı bir iş. Bugün, genel bir DDoS botnet, günde 50 ABD Doları gibi düşük bir fiyata kiralanabilir. Saldırı kaynakları bu kadar bol ve bu kadar ucuzken, botnet saldırılarının bu kadar yaygın olması şaşırtıcı değil.

Ağınızı botnetlere karşı nasıl korursunuz

Botnet saldırıları farklı biçimlerde geldiğinden, bunlara karşı uygun bir savunma birkaç farklı cepheye monte edilmelidir. En iyi uygulamalar, DDoS'a karşı belirli önlemler, diğer hacimsel saldırılara karşı belirli önlemler ve tüm bot saldırılarına karşı geçerli olan genel ilkeler olarak kategorize edilebilir.

Tüm botnet saldırıları arasında en dramatik olanı DDoS saldırılarıdır. Modern bir DDoS saldırısının büyüklüğü ve ölçeği şaşırtıcı olabilir ve yetersiz kaynaklara sahip bir web uygulaması hızla boğulabilir.

Neyse ki, bir sitenin bugün bir DDoS'a dayanacak bant genişliğine ve diğer kaynaklara sahip olması kolaydır. Modern bulut platformları, talep arttığında ek kaynakların hızla ve otomatik olarak çevrimiçi hale gelmesi için web uygulamaları için otomatik ölçeklendirmeyi ayarlamayı kolaylaştırır.

Sitenizde bu zaten yoksa, yakında eklemelisiniz. Ayrıca, web güvenlik çözümünüzü şu anda bulutta çalıştırmıyorsanız, onu oraya taşımayı düşünün. Ardından, değişen tehdit koşullarına yanıt olarak dinamik olarak otomatik olarak ölçeklenebilecektir. Korumalı web uygulamaları nadiren otomatik ölçeklendirme yapmak zorunda kalacak çünkü DDoS trafiği onlara asla ulaşmayacak.

DDoS savunmalarınızı düşünürken, bugün size sunulan tüm seçeneklerin farkında olduğunuzdan emin olun. DDoS koruma hizmetleri giderek yaygınlaşıyor; örneğin, en üst düzey bulut platformları artık ağ ve taşıma katmanlarında hacimsel DDoS için yerleşik azaltma içeriyor. Size sunulan hizmetlerden yararlanmalısınız.

Diğer ipuçları, statik içerik sunmak için bir CDN kullanmayı; bu, hacimsel saldırıların etkisini azaltabilir. Geleneksel olarak, bu çoğunlukla tek tek dosyalar (resimler, medya, komut dosyaları vb.) için yapılırdı, ancak günümüzde mümkün olduğunda tüm sayfaları statik hale getirmeye yönelik daha büyük bir eğilim var. Bu, sitenin hacimsel olmayan tehditler için saldırı yüzeyini azaltabilir ve bir bonus olarak, sistemin kullanıcılarınıza karşı algılanan yanıt verme hızını da iyileştirecektir.

Diğer hacimsel saldırı türleri

Bazı bot saldırısı biçimleri hala botnet'in büyük miktarda trafik göndermesini gerektirir, ancak amacı hedefi bunaltmak değildir. Yaygın bir örnek, kimlik bilgisi doldurmadır: bir botnet, binlerce kez bir oturum açma formuna erişmeye çalışabilir. Bu nedenle, saldırı hacimseldir (hedefe gönderilen çok sayıda istek içerir), ancak bir DDoS uygulaması amaçlanmamıştır.

Bu saldırıları yenmek zor olabilir, çünkü hedeflenen web uygulamasının büyük ölçekli bir saldırının meydana geldiğini tanımasını gerektirir, böylece istekleri reddedebilir. Bununla birlikte, gelişmiş bir botnet, köleleştirilmiş cihazları aracılığıyla isteklerini hızla döndürecektir. Hedef, verilen herhangi bir IP adresinden yalnızca bir istek alabilir. Geleneksel hız sınırlama algoritmaları her trafik kaynağından gelen istekleri saydığından, bu algoritmalar bu tür saldırılara karşı savunma yapamaz.

Bu nedenle, günümüzde sağlam bir savunma, sağlam bot yönetimi ve insan doğrulama yeteneklerini içermelidir. Web güvenliği çözümü, o belirli trafik kaynağı tarafından korunan uygulamaya kaç (veya kaç) istek gönderildiğinden bağımsız olarak otomatik trafiği algılayabilmelidir.

Daha eski güvenlik çözümleri, kara listeye alma, imzalar, tarayıcı doğrulaması ve düşman botları tespit etmek için bir dizi başka tekniğe dayanıyordu. Bu teknikler artık yeterli değil. En yeni nesil botları ve envanter reddi gibi uygulama düzeyindeki saldırıları güvenilir bir şekilde tespit etmek için modern güvenlik çözümleri, davranışsal profil oluşturma gibi özellikler içerir. Korudukları uygulamalar için meşru kullanıcıların özelliklerini ve davranış kalıplarını öğrenir ve anlarlar. Bu, kötü niyetli trafik kaynaklarını belirlemelerini ve engellemelerini sağlar.

Son olarak, bariz görünebilecek, ancak yine de genellikle gözden kaçan birkaç en iyi uygulamadan bahsetmeliyiz. İlk olarak, web uygulamalarınız katı güvenlik politikaları uygulamalıdır, örneğin bir site belirli bir hesap için birkaç başarısız oturum açma girişimi yaşadığında, ATO (hesap devralma) saldırılarını önlemek için bu hesap geçici olarak yasaklanmalıdır/devre dışı bırakılmalıdır.

İkincisi, ağınız mümkün olduğunca opak olmalıdır. Hata koşulları oluştuğunda, minimum bilgi ile uygun şekilde yanıt vermelidir. Bu, bilgisayar korsanlarının arka uç uygulama ayrıntılarını öğrenmesini önleyecek ve bu da güvenlik açıklarını keşfetmelerini zorlaştıracaktır.

Güvenlik açıklarından bahsetmişken, bu bölümü çok açık görünecek, ancak yine de söylenmesi gereken bir tavsiye ile sonlandıracağız: ağınız güncel tutulmalıdır! Botnet'ler her zaman yama uygulanmamış güvenlik açıklarına sahip sistemleri aradığından, güvenlik yamalarının ve yükseltmelerinin yayınlanır yayınlanmaz yüklenmesini sağlamak için kuruluşunuzun katı dahili politikalara ihtiyacı vardır.

Muhtemelen bu tavsiyeyi daha önce sayısız kez duymuşsunuzdur. Evet ve diğer herkes de öyle. Bununla birlikte, kesinlikle daha iyi bilmesi gereken büyük kuruluşlar tarafından hala sıklıkla göz ardı edilmektedir.

En kötü bilinen son örnek, 147 milyon tüketicinin özel finansal bilgilerini tehlikeye atan Equifax ihlalidir. Şirket, ihlal meydana gelmeden birkaç ay önce bir yamanın yayınlandığı (ancak Equifax tarafından uygulanmadığı) Apache Struts'taki bir kusurdan sızdı.

Equifax gibi olmayın. Unutmayın: ağınızda bir güvenlik açığı bırakırsanız, botlar onu bulur – garantilidir.

Çözüm

Botnet'ler, modern tehdit ortamının her yerde bulunan bir parçasıdır. Bunlara karşı yeterli savunmanın sağlanamaması, kuruluşunuzu DDoS, spam, güvenlik açığı taramaları ve ardından sızma testi girişimleri ve sistem ihlalleri, hesap ele geçirme saldırıları, kazıma ve veri hırsızlığı, uygulama kötüye kullanımı ve daha fazlası dahil olmak üzere çeşitli saldırılara karşı savunmasız hale getirecektir.

Neyse ki, en iyi uygulamaları takip etmek, düşman botları ağınızdan hariç tutabilir. Bu görev mutlaka kolay değildir; diğer şeylerin yanı sıra, en yeni nesil kötü niyetli botları tespit etmek için donatılmış modern bir web güvenlik çözümü gerektirir. Ancak bu mümkündür ve kuruluşunuz için yeterli korumaya sahip olduğundan emin olmak hiç bu kadar önemli olmamıştı.