ZeroAccess Botnet ensenizde![BT]

23-09-2019, 19:42:46

#1
Sigma

Açık Profil bilgileri

Özel Mesaj Gönder

Sigma tarafından gönderilen tüm mesajları bul

Sigma'ı arkadaş olarak ekle
Symantec’in 2013 Ağustos ayında kaydettiği saptamaya gore ZeroAccess, 1.9 milyondan fazla bilgisayar sayısıyla gunumuzde en geniş ağa sahip botnet’lerden biri.

ZeroAccess botnet, geniş orandaki yayılımını ve kolay erişim gucunu, kilit ozellikleri olan P2P (peer to peer – eşler arası) ve C&C (command and control – komuta ve kontrol) iletişim mimarisinden alıyor. Başka bir komuta & kontrol sunucusu mevcut olmadığı icin botnet’i etkisizleştirmek uzere saldırgan sunucuları hizmet dışı bırakmak mumkun olmuyor. ZeroAccess’in bir bilgisayara bulaştığı anda ilk yaptığı, P2P ağındaki eş bilgisayarlara ulaşıp bilgi alışverişinde bulunmak oluyor. Bu şekilde bot’lar eşlerini algılıyor, dosya ve talimatları ağ aracılığıyla hızlı ve etkili bir şekilde yayıyor. ZeroAccess botnet’te eş bilgisayarlar arasında devamlı olarak bir iletişim mevcut. Her bir bilgisayar, eş listesi ve guncellenmiş dosyaların kontrolu icin surekli diğerleriyle bağlantıya geciyor ve boylece sistemin onu devirmeye karşı yuruttuğu her turlu girişime karşı fazlasıyla dayanıklı hale geliyor.

Botnet’lerle savaşmak
Bu yılın Mart ayında muhendislerimiz, botnet’lerle savaşmak icin ZeroAccess bot’larının birbirileriyle iletişime gecmek uzere kullandıkları mekanizmayı detaylı bir bicimde incelemeye başladılar. Bu inceleme sırasında bir botnet’i etkisiz hale getirmek uzere bir zayıf nokta bulduk. Cok kolay olmayan ama imkansız olarak da gormediğimiz bu zayıf nokta, kontrol laboratuvarlarımızda yaptığımız sonraki testler neticesinde bizi, eş bilgisayarları botmaster’dan kurtarmanın pratik bir yoluna goturdu. Bu zaman suresince botnet’i izlemeye devam ettik ve 29 Haziran’da P2P ağ aracılığıyla yayılan yeni surum ZeroAccess’i farkettik. Guncellenen surum, birkac değişiklik iceriyor ama en onemlisi, botnet’i savunmasız hale getirebilecek tasarım hatalarının bulunması. ZeroAccess’nin P2P mekanizması, araştırmacıların yayınladığı Mayıs 2013 raporunda da acıkca ortaya konuldu; bu ZeroAccess botmaster’ı kendisi ile savaşmaya yonelik girişimleri engellemek uzere ZeroAccess’i yukseltmek icin harekete gecirmiş olabilir.

Değişiklikleri gormeye başlamamız ve uygun bir plan kurgulamamız, bize iki secenek sundu: ya operasyonlarımıza hemen başlayacaktık ya da inisiyatifimizi kaybetme riskini alacaktık. 16 Temmuz’da ZeroAccess viruslerini savunmasız hale getirmeye başladık. Bu operasyon yarım milyondan fazla bot’u hızlıca tespit etmemizi sağladı. Testlerimizde yeni ZeroAccess bot’u etkisiz hale getirilmeden once, P2P aktivitesi sadece ortalama beş dakika aldı. Bunun potansiyel etkisini daha anlamak icin, ZeroAccess botnet’in ne icin kullanıldığını duşunmek gerekir.

ZeroAccess: Kurye servisi
Yapısına ve karakteristiğine bakılırsa ZeroAccess ilk olarak, bilgisayarlara virus taşımak icin tasarlanmış gibi gorunuyor. ZeroAccess botnet’te saldırı aktiviteleri ise uzlaşılmış bilgisayarlara yuklenmiş ve iki ture ayrılan, her ikisi de gelir getirmeyi hedefleyen taşıyıcılar aracılığıyla gercekleştiriliyor.

Sahte Tık
Gorduğumuz ilk taşıyıcı turu sahte tık Trojan. Trojan online reklamları bilgisayara yukluyor ve reklamlar uzerinde sanki yasal kullanıcılar tarafından yapılmışlar gibi yapay tıklamalar yaratıyor. Bu sahte tıklar PPC (pay-per-click - ) şeması her tık bir odeme icinde odeme anlamına geliyor.

Sanal Para Madenciliği
Sanal para internet korsanları icin cok cezbedici. Sanal paralar, bilgisayar donanımı uzerinde "maden" olarak bilinen matematiksel operasyonların yurutulmesinden meydana gelir. Bu aktivite, botmaster ve masum kurbanlar icin doğrudan bir değer ifade ediyor. Biz laboratuvarlarımızda bazı eski bilgisayarları kullanarak bu aktivitenin yarattığı ekonomik değere ve neden olduğu etkiye daha yakından baktık.

ZeroAccess Ekonomisi
Ofiste atıl duran bazı bilgisayarları aldık ve ZeroAccess botnet’in enerji kullanımını ve bu aktivitelerin ekonomik anlamda yarattığı etkileri incelemeye aldık. Hem sahte tık hem de sanal para madenciliğini inceledik, ama madenciliğe daha fazla odaklandık, cunku doğrudan ekonomik etkisi olan, en carpıcı bot aktivitesi bu. Test bilgisayarlarına ZeroAccess bulaştırdık ve sanal para madenciliği yapmaları icin kurduk. Bir bilgisayarı da temiz ve bekler durumda bıraktık. Bilgisayarlara ne kadar enerji harcadıklarını hesaplamak icin olcum cihazı taktık ve ilginc sonuclarla karşılaştık.

Test bilgisayarının ozellikleri:

Model: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB (Max TDP 95W)

Saatte olculen enerji: 136.25 Watt (madencilik sırasında)

Saatte olculen enerji: 60.41 Watt (atıl)

MHash/S: 1.5

Sanal para madenciliğinde ongorulen veriler:

Bitcoin/USD değeri: 131

Bitcoin zorluk faktoru: 86933017.7712

Sanal Para madenciliği
Bu tur bir sahtekarlıkla, sanal para madenciliği yapmak cok anlamlı değil, cunku boyle bir sahtekarlığı bir yıl boyunca surdurmenin maliyeti sadece US$0.41! Fakat 1.9 milyon bot’unuz varsa denklem tamamen değişiyor. Botnet binlerce doları bir gunde cıkarıyor. Elbette her bilgisayar butun gun, gunun her anı uygun durumda olmuyor ve botnet’teki her bilgisayarın performans seviyesi ve yukleme suresi aynı değil dolayısıyla kabaca bir tahmin yurutuyoruz. O nedenle biz tahminlerimizi, butun botların 24 saat calıştığını ve her bot’un bizim test bilgisayarlarımızla aynı ozelliklere sahip olduğunu varsayarak yaptık.

Sahte tık
Sahte operasyonları yuruten bot’lar fazlasıyla aktif. Bizim testlerimizde her bot yaklaşık olarak saatte 257 MB veya gunde 6.1 GB ağ trafiği uretti. Ayrıca saatte yaklaşık 42 (gunde 1008) sahte reklam tıklaması yarattı. Her tıklama bir kuruş veya daha azken, 1.9 milyon viruslu makine saldırgana bir yılda onlarca milyon dolar getiriyor. Artık bu eylemlerin potansiyel değerini biliyoruz. Şimdi de boyle bir botnet’i işletmenin elektrik maliyetine bakalım.

Enerjinin maliyeti
ZeroAccess’in masum bir kurbana maliyetini gormek icin madenciliğin maliyeti ile bilgisayarın bekleme halindeki maliyeti arasındaki farkı hesapladık. Testimiz icin her gun fazladan 1.82 KWh kullandık, bu da bir kurbanın odemesi icin cok fazla bir miktar değil.

Madencilik sırasında kullanılan enerji: (136.25/1000)*24 = 3.27 KWh/gun

Atıl durumda kullanılan enerji: (60.41/1000)*24 = 1.45 KWh/gun

Fark: 1.82 KWh/gun

Fark rakamı ZeroAccess bulaşmış tek bir bilgisayarda sanal para madenciliği icin gereken ekstra enerjiyi gosteriyor. Artık 1.9 milyon botun ne kadar elektrik harcayacağını ve tum botnet icin toplam etki/maliyetin ne olacağını tahmin edebiliriz.

Eğer her KWh elektrik $0.162 tutarındaysa, tek bir botun 24 saat calışması $0.29 olacaktır. Fakat bunu butun botnet icin 1.9 milyonla carptığımızda bulduğumuz sayı 3,458,000 KWh olacaktır. Bu da 111,000 evin her gun kullandığı enerjiye eşit.

Bu miktarda enerji, gunde fatura değeri $560,887 olan 2,484 MW elektriği ureten Kaliforniya’nın en buyuk enerji istasyonu Moss Landing’in urettiği enerjiden daha fazla. Maliyetlere rağmen butun bu enerji gunde sadece $2165 değerinde sanal para ediyor! Maliyetini kendiniz odeyecekseniz, bu meblağlarla sanal para madenciliğini uzerinize almanız pek ekonomik olmaz. Fakat sanal para madenciliğinin masraflarını başkası karşılayacaksa bu resmi tamamen değiştirir ve cazip bir teklif haline getirir.

P2P botnet’leri durdurmak zor ama imkansız değil
Uygulama bize ZeroAccess botnet’in esnek P2P mimarisine rağmen oldukca fazla sayıda bot’u savunmasız hale getirebileceğimizi gosterdi. Bu da demek oluyor ki; bot’lar artık botmaster’dan herhangi bir komut alamayacaklar, botnet icin komut yayamayacaklar veya yeni gelirler elde etmek icin guncelleme yapamayacaklar.

Bu arada Symantec dunya genelinde ISP ve CERTler ile calışarak bilgi paylaşımında bulunuyor ve virus bulaşmış bilgisayarların temizlenmesine yardım ediyor.

veteknoloji
__________________