Geçen haftanın siber saldırıları, bu konuya ilgiyi arttırdı. Okuyucularımızdan çeşitli sorular geliyor. Kavramları ve bilgisayarınızın dDOS saldırılarında kullanılıp kullanılmadığının anlaşılmasının yollarını bir başka yazımızda vermiştik[1]. Şimdi bu tür siber saldırıların nasıl oluşturulduğunu anlatalım.
dDOS saldırılarının 3 aşaması var.
- Saldırı için bir zombie bilgisayar ordusu meydana getirmek,
- Saldırının silahlarını oluşturmak
- Saldırıyı gerçekleştirmek
Bu şekilde özetlemekle birlikte, dDOS saldırıları yapanların aslında “Zombie Bilgisayar ordusu meydana getirme” aşamasını daha önceki yıllarda başlattıklarını, şimdilerde bu orduları büyütmekle meşgul olduklarını hatırlatalım. O nedenle de, 2012’lerde 200 GB olan saldırılar, 2015’lerde 400 GB’lere çıkmış durumda; “ne kadar zombie bilgisayar, o kadar büyük saldırı”.[2]
Şimdi dDOS saldırıları oluşturmak için takip edilen yolu izleyelim. Bu yol, siber saldırganlar kadar, siber güvenlik uzmanları ve hatta hükümetler tarafından da uygulanan bir rota. Siber saldırıları daha iyi anlayabilmek için bu yolu ve yol boyu neler yapıldığını gözden geçirelim;
Ortam Keşfi
Bir siber saldırının ilk adımı “keşif” yapmaktır. Bu adımda saldırgan, saldıracağı hedefle ilgili olarak kullanabileceği tüm bilgileri toplar.
Keşif aşamasında, çeşitli araçlar ve teknikler kullanılır. Mesela hedefin networkünü incelemek için NMAP ya da ZENMAP gibi bir araç kullanılabilir. Böylece, hedefin güvenlik ayarlarını ve özelliklerini ve dolayısıyla da zayıf noktaları tespit etmek mümkün olur.
Ama zayıf noktalar illa siber / sanal olmak zorunda da değildir. Sistemlere sızmak için örneğin kontrolün zayıf olduğu bir kapı ya da sistem de kullanılabilir. Yani fiziksel zayıf noktalar da gözönüne alınmalıdır. Örneğin, İran nükleer santrallarına yapılan Stuxnet saldırısının bir USB üzerinden sisteme sokulduğu biliniyor. Ama ilk farkedilmesinden 3 yıl kadar sonra, Uzay İstasyonuna kadar bulaştığı ortaya çıktı[3].
Saldırı Silahının Seçimi
Keşif adımından sonraki adım bulunan açığa uygun saldırı aracını tespit etmektir. Bunun için CVE veri tabanına bakılabilir. Bu veri tabanında her türlü bilgisayar ve yazılım açıkları yer alır. Bu açıklar raporlanmış olsa ve yamaları da bilinse de, gerek bilgisizlik, gerekse tembellik yüzünden, açıklar yamalarının yayınlanmasından yıllar sonra bile kullanılabilir durumdadır[5].
Saldırının Başlatılması – Zombie Bilgisayar Avı
Saldırının başlangıç adımı, bilgisayarlara “trojan atı” dediğimiz kötücül kodların yerleştirilmesidir. Kötücül kodlar, e-mail, virüs taşıyan resimler, virüs yerleştirilmiş PDF dosyalar, ya da virüs taşıyan USB gibi çok çeşitli yollarla yerleştirilebilir.
Kötücül kod içeren e-mail, dosya ya da resimler, dönemin modasına uygun içeriklerdir. Bu bazen çıplak bir kadına ait resim, bazen Nepal depremi gibi bir doğal felakete aitmiş ya da herhangi bir konuda bilgi vermek için gönderilmiş gibi gözüken dosyalardır. Genellikle de, daha önce avlanmış bir zombie bilgisayar kullanılarak gönderilir.
Ya da tarayıcı ve web sunucu açıklarından yararlanılır. Bu amaçla oluşturulan web sitelerine, bahsettiğimiz tarzda bir içerik yerleştirilir ve spam e-maillerle insanlar buraya çekilir.
Sızma
Gönderilen bu kötü kodlar (virüs), hedef PC’lere ulaştığında, ortama sızma mümkün hale gelir. En fazla kullanılan araç, “Metasploit Framework” olup, bu araç içinde siber saldırının gerçekleştirilmesine yönelik çeşitli kodlar ve methodlar vardır[6].
Saldırı Sisteminin Oluşturulması
Sisteme sızılmasından sonraki aşamada, saldırı yapmaya yönelik sistemin kurulması gerekir. Bunun için zombie bilgisayarlara arka kapı uygulamaları kurulur. Böylece gerektiğinde enfekte olmuş (virüs sızmış) makinanın kumanda edilmesi mümkün hale gelir. Yani artık o bir Zombie Bilgisayardır.
Komut ve Kontrol
Virüs bulaştırılmış makinalar Metasploit Kumanda ve Kontrol merkezinden görülebilmektedir. Böylece hackerlar bu makinaları kontrol ederek, saldıracağı yere yönlendirir. Saldırı komutu verir.
Bu komut, başka makinaları da virüsletmeye yönelik gönderiler olabilir, networkü enfekte etmek olabilir, enfeksiyonun izleri silinebilir, dosya yüklenebilir ya da o makinadan dosya alınabilir ve belli bir hedefe saldırı (tıklama) yaptırılabilir.
Bu saldırılar süre ve boyut olarak fiyatlandırılarak da kullanılıyor. Mesela bugünlerde 40-50 GB’lik saldırıları 150-400 $/saat fiyatlarla satın almak mümkün.
Ama bu zombie ordularıyla sadece saldırı yapıldığını da zannetmeyin. Daha önce yazdığımız gibi [7], müzik tıklamaları ya da reklam tıklamaları da bu dDOS satıcıları ile anlaşılarak yaptırılabiliyor –ki bugün ülkemizde yıllardır fiziksel olarak 300.000’in üstüne çıkamadıkları halde, kendilerini internet’te milyar sayfa okunuyor diye sunan büyük gazetelerimiz hepsi bunu yapıyorlar ve reklamcıları da bunu biliyor. Dünyada 20 $’larda olan banner fiyatlarının bu gazetelerde 1,5-2 $’lara düşmesinin bir nedeni bu–.
Üstelik bu sahte tıklama olayı yeni de değil. Reklamveren Alexa ile yıllardır böyle uyutuldu ve hala da uyutuluyor. İstediğiniz sırada gözükmek için gerekli parayı ödemeniz yeterli[8].
Bu anlattıklarımız, başta da dediğimiz gibi siber suçlular (hatta mafia denilebilir) kadar, hükümetler tarafından da kullanılabiliyor.
Yarın size ülkelerin oluşturduğu resmi siber ordu yapılarını anlatacağız.
[1] dDOS Saldırılar Demişken, Bilgisayarınızda Kötü Niyetli Kod Olduğunu Nasıl Anlayabilirsiniz?
[2] How to Launch a 65Gbps DDoS, and How to Stop One
[3] Stuxnet, Rusya’daki Nükleer Güç Tesisine ve Uluslararası Uzay İstasyonu’na da Bulaşmış
[4] Common Vulnerabilities and Exposures
[5] Dikkat; D-Link, TP-Link, ZTE, Zyxel gibi Markaların 12 Milyondan Fazla Ev Router’unda Açık Var
[6] Metasploit Framework)
[7] Anketler (Sayılar) ile Oynayanlar Sadece Siyasette mi? Ya Müzik Tıklamacıları?
Kaynak : 