Botların yayılması için kullanılan bazı portlar:
Plug'n'Play - TCP/445, TCP/139
RPC-DCOM - TCP/135, TCP/445, TCP/1025
LSASS - TCP/445
Arkeia - TCP/617
Veritas - TCP/6101
Veritas - TCP/10000
WINS - TCP/42
Arcserve - TCP/41523
NetBackup - TCP/13701
WebDaV - TCP/80
DameWare - TCP/6129
MyDoom-Backdoor - TCP/3127
Bagle-Backdoor - TCP/2745
IIS 5.x SSL - TCP/443
Sistemi tehlikeye düşüren ve botların kullandığı güvenlik açıklarına ilişkin bazı güvenlik yamaları:
MS03-007 {Unchecked Buffer In Windows Component Could Cause Server Compromise}
http://www.microsoft.com/technet/sec.../MS03-007.mspx
MS03-026 {Buffer Overrun In RPC Interface Could Allow Code Execution}
http://www.microsoft.com/technet/sec.../MS03-026.mspx
MS04-011 {Security Update for Microsoft Windows}
http://www.microsoft.com/technet/sec.../MS04-011.mspx
MS04-045 { Vulnerability in WINS Could Allow Remote Code Execution}
http://www.microsoft.com/technet/sec.../MS04-045.mspx
MS01-059 {Unchecked Buffer in Universal Plug and Play can Lead to System Compromise}
http://www.microsoft.com/technet/sec.../ms01-059.mspx
En çok kullanılan bot örnekleri:
_ Agobot
_ Phatbot
_ Forbot
_ XtremBot
_ SDBot
_ RBot
_ UrBot
_ UrXBot
_ GT-Bot
Çeşitli portlara yapılan atakları izlemeye aldığımda, yapılan bu atakların çoğu güncel sistem açıklarını barındıran botların oluşturduğu saldırılardır.
Bazı botlar sistemde çeşitli servisleri açtıktan sonra(ftp, http, tftp) güvenlik açıklarını tespit ettikleri sisteme bu servisler aracılığı dosyayı
aktarır(Resim 3).
Resim 3: Botun aktif olduğu bir sistemden dosya çekimi.
Yukarıdaki bilgilerde bulunan ircd / netbios bilgileri bot barındıran bir bilgisayara ait. Bot, IRC ağına bağlanıp, yerel ağda bulunan diğer sistemlere NetBios
üzerinden yayılmaya çalışmaktadır.
Bilgisayarın IRC ağına bağlantısı
Botun kanala bağlantı aşaması. Bot kanala şifresiz giremez(/JOIN ##kanal## ŞİFRE).
Bot sahipleri diğer kullanıcıların bot kanallarına girmemesi için kanal için şifre tanımlarlar.
Bilgisayarlar kanala girdikten sonra çeşitli komutlarla yönlendirilirler.
Bot yüklü olan bilgisayara web üzerinden bir dosya yüklenmesi sağlanabilir.
Saldırı esnasında tespit edilen bir paket. Amaç; güvenlik açığı olan sisteme web üzerinden dosya yüklemek.
Regedit uygulaması ile sistem başlangıçında hangi programların çalıştığı hakkında fikir edinebilirsiniz.
Bot, Bilgisayarı IRC ağına bağlarken otomatik olarak Nick atar.
Snort uygulaması algılanan ataktan 2 örnek.
Sonuç
BOTNET kontrolünü sağlan bir saldırgan aynı anda bilgisayarları kontrol ederek istediği internet adresine DDoS saldırısı gerçekleştirebilmektedir.
BOTNET sahipleri kendi aralarında yada çeşitli kişilere para karşılığında makinelerin toplandığı kanalları kiralayabilir. Hatta kullandığı tehlikeli bot
programını bir ücret karşılığında satma yolunu tercih etmektedir.
Dikkat edilmesi gereken husular:
- Antivirüs kullanın. Kullandığınız antivirüs yazılımını güncellemeyi unutmayın.
- E-Posta ile gelen dosyalara devamlı şüphe ile yaklaşın. Dosya uzantısı .pif, .scr, .bat , .exe , .zip , .rar ise dikkatli olun(tanıdığınızdan gelen bir dosya
olsa dahi şüpheden vazgeçmeyin).
- IRC ortamında sohbet ederken dikkatli olun. Bu sohbet ortamında size verilen internet adreslerine girmeyin(bu adresler genellikle otomatik olarak
IRCde kişilere gönderilir).
- Dosya paylaşım programı(p2p) kullanarak bilgisayarınıza çektiğiniz dosyalara dikkat edin.
Son olarak dikkat etmeniz gereken nokta;
Klasör seçeneklerindeki Görünüm bölümünde bulunan “Bilinen dosya türleri için uzantıları gizle” seçeneği aktif olmasın. Böylece dosya uzantılarını
görürsünüz. Bu da sizin ne tür dosyalarla uğraştığınızı anlamınıza yardımcı olur. E-Posta ile gelen dosya .doc gibi görünür ama gerçekte
“Belge.doc .exe” olabilir.
Tacettin Karadenize teşekkürler.