Bir botnet veya robot ağı, yalnızca sahibi veya yazılım kaynağı tarafından kontrol edilen ve yönlendirilen bir bilgisayar uygulaması çalıştıran bir bilgisayar grubudur. Botnet, aralarında program işlemlerini paylaşan birkaç bilgisayarın meşru bir ağında bulunabilir.
Genellikle, insanlar botnet’lerden bahsederken, bilgisayar kullanıcısına bir güvenlik tehdidi teşkil eden kötü niyetli türdeki robot yazılımı, botlarla bulaşmış bir grup bilgisayar hakkında konuşurlar. Robot yazılımı (kötü niyetli yazılım veya zararlı yazılım olarak da bilinir) başarıyla bir bilgisayara yüklendiğinde, bu bilgisayar bir zombi ya da drone olur ve bot komutanının komutlarına direnemez. Botnet, kullanılan botların karmaşıklığına ve gelişmişliğine bağlı olarak küçük veya büyük olabilir. Büyük bir botnet, on bin ayrı zombiden oluşabilir. Öte yandan küçük bir botnet yalnızca bin drondan oluşabilir. Genellikle, zombi bilgisayar sahipleri, bilgisayarlarının ve bilgisayarlarının kaynağının İnternet Relay Chat (IRC) aracılığıyla bir kişi veya bir grup kötü niyetli yazılım sorumlusu tarafından uzaktan kontrol edildiğini ve kullanıldığını bilmemektedir.
Zaten enfekte olmuş ve internete bulaşmaya devam eden çeşitli kötü niyetli botlar türleri vardır. Bazı botların kendi yayıcıları vardır. Diğer bilgisayarlara bulaşmasını sağlayan betik (bazı insanlar botnet’leri bilgisayar virüsleri olarak etiketliyorlar) bazı küçük bot türleri bu tür özelliklere sahip değildir.
Farklı Bot Türleri
İşte bugün internette en çok kullanılan botların, özelliklerinin ve komut takımının bir listesi aşağıya yazıyorum.
XtremBot, Agobot, Forbot, Phatbot
Bunlar şu anda internette 500’ün üzerinde versiyona sahip en bilinen botlardır. Bot, bir derleyici olarak çapraz platform yetenekleri ve kaynak kodu olarak GPL ile C ++ kullanılarak yazılmıştır. Bu botlar, oldukça basitten son derece soyut olan modül tabanlı tasarımlara kadar değişebilir. Modüler yaklaşımı nedeniyle, güvenlik açıklarından yararlanmak verimliliğini artırmak için komutlar veya tarayıcılar eklemek oldukça kolaydır. Libpcap paket koklama kitaplığı, NTFS ADS ve PCRE’yi kullanabilir. Agobot, IRC’nin yanı sıra diğer kontrol protokollerini kullanan tek bot olduğundan oldukça farklıdır.
UrXBot, SDBot, UrBot ve RBot
Önceki bot tipi gibi, bu botlar GPL altında yayınlanır, ancak yukarıda belirtilen botlardan farklı olarak bu botlar tasarımda daha az soyut ve temel C derleyici dilinde yazılmıştır. Uygulaması daha az çeşitlilik arz etmekle birlikte tasarımı daha az sofistike olmasına rağmen, bu tür botlar internet ortamında iyi bilinmekte ve yaygın bir şekilde kullanılmaktadır.
GT-Bots and mIRC based bots
MIRC, Windows için en çok kullanılan IRC istemcilerinden biri olduğu için, bu botlar internette birçok değişikliğe sahiptir. GT, küresel tehdit anlamına gelir ve mIRC kullanılarak komut dosyası verilen botların ortak adıdır. GT-botlar ikili dosyaları (çoğunlukla DLL’ler) ve komut dizilerini başlatmak için mIRC sohbet istemcisini kullanır; Komut dosyaları genellikle .mrc dosya uzantılarına sahiptir.
Botnet Saldırılarının Türleri
Denial of Service Attacks (Hizmet Reddini Saldırıları)
Bir botnet, hizmet dağıtılmış silah reddi olarak kullanılabilir. Bir botnet, mağdur ağının bant genişliği veya kurbanının bilgisayar sisteminin kaynaklarının aşırı yüklenmesi veya bağlantı kaybı yoluyla hizmetin kesilmesini sağlamak için bir ağa veya bir bilgisayar sistemine saldırır. Botnet saldırıları, bir rakibin web sitesine zarar vermek veya onu aşağı çekmek için kullanılır. Hızlı akış, botnet’ler tarafından, tehdit altındaki barındırıcıların sürekli değişen bir ağının yakınında hareket eden kimlik avı ve kötü amaçlı yazılım dağıtım sitelerini gizlemek için kullandığı bir DNS tekniğidir.
Herhangi bir İnternet servisi botnet’ler tarafından hedef olabilir. Bu, web sitesini öz yinelemeli HTTP veya ilan tahtası arama sorguları ile sellemek yoluyla yapılabilir. Üst düzey protokollerin bir saldırının etkilerini arttırmak için kullanıldığı bu saldırı moduna spidering denir.
Spyware (casus)
Bir kullanıcının faaliyetleri hakkında yaratıcılarına bilgi gönderen bir yazılımdır. Genelde şifreler, kredi kartı numaraları ve karaborsada satılabilecek diğer bilgiler almak için kullanılır. Bir şirket ağı içinde bulunan tehlikeli makineler, o şirkette gizli bilgilere sıklıkla erişebildikleri için her şeyden daha değerli olabilir. Hassas bilgileri çalmak için büyük şirketlere yönelik birkaç hedefli saldırı gerçekleştirildi, örnek vermek gerekşrseAurora botneti.
Adware
Web sayfalarındaki banner reklamları başka bir içerik sağlayıcının banner reklamlarıyla değiştirerek, bazı ticari varlıkları aktif olarak ve kullanıcının izin veya farkındalığı olmaksızın reklamı yapmak çalışır.
İstenmeyen Posta ve Trafik İzleme
Bir botnet, ağa bağlı uygulamalar için virüs bulaşmış bir bilgisayarın TCP / IP’nin SOCKS proxy protokolünden yararlanmak için kullanılabilir. Bir bilgisayardan ödün verildikten sonra botnet komutanı, e-posta adreslerini toplamak ya da büyük miktarda spam veya kimlik avı e-postaları göndermek için botun içindeki diğer zombi (robot ağı) ile birlikte enfekte olmuş birimi (bir zombi) kullanabilir.
Dahası, bir bot, virüs bulaşmış bir bilgisayardan geçen hassas verileri bulmak ve onları yakalamak için bir paket dinleyicisi olarak da işlev görebilir. Bu botların dikkat ettikleri tipik veriler, botnet komutanın kişisel kazançları için kullanabileceği kullanıcı adları ve şifrelerdir. Aynı birimde kurulu bir rakip botnet hakkında da veri toplanıyor, böylece botnet komutanı diğer botnet’i gasp edebiliyor.
Erişim numarası değiştirmeleri, botnet operatörünün çevirmeli botların erişim numaralarını mağdurun telefon numarasının erişim numaralarıyla değiştirdiği yerdir. Bu saldırıya katılan botların sayısı göz önüne alındığında, kurban internete bağlanmaya çalışan telefonlarla tutarlı bir şekilde bombardımana tutar. Bu saldırıya karşı savunmak için az da olsa, çoğu telefon numaralarını (sabit hat, cep telefonu, vb.) değiştirmeye zorlanmaktadır.
Keylogging ve Kitle Kimliği Hırsızlığı
Kurbanlar birimleri içindeki bir şifreleme yazılımı, çoğu bot’a gerçek bilginin toplanmasını engelleyebilir. Ne yazık ki, bazı botlar virüslü makinelere bir keylogger programı yükleyerek buna adapte olmuşlardır. Bir keylogger programı ile, bot sahibi, yalnızca PayPal veya Yahoo postası gibi ilginç anahtar kelimelerin öncesinde veya sonrasında yazılan anahtar dizinini toplamak için bir filtreleme programı kullanabilir. Son birkaç yıldır büyük PayPal hesaplarında hırsızlığın arkasındaki nedenlerden biri de budur.
Botlar ayrıca kitle kimliği hırsızlığı için ajanlar olarak da kullanılabilir. Bunu, kullanıcıyı kişisel bilgiler ve şifreler göndermeye ikna etmek için kimlik avı veya meşru bir şirketmiş gibi yaparak yapar. Bu kimlik avı e-postalarındaki bir bağlantı, sahte PayPal’a, eBay’e veya diğer web sitelerine, kullanıcıyı kullanıcı adını ve şifresini yazmaya zorlayabilir.
Botnet Spread (Yayılımı)
Botnet’ler ayrıca ağdaki diğer botnet’leri yaymak için de kullanılabilir. Bunu, kullanıcının FTP, HTTP veya e-postayla yürütülmesinden sonra indirmeye ikna ederek yapıyor.
Tıklama Başı Ödeme Sistemleri Kötüye Kullanma
Botnet’ler, bir tıklama başına ödeme sisteminde yapılan tıklamaları otomatikleştirerek maddi kazanç elde etmek için kullanılabilir. Tehlikeli birimler, bir tarayıcı etkinleştirildiğinde otomatik olarak bir siteden tıklamak için kullanılabilir. Bu nedenle botnet’ler, bir reklamın tıklama sayacını yapay olarak artırmak için zombi kullanarak Google’ın Adsense ve diğer bağlı programlarından para kazanmak için de kullanılır.