Bilgi - iÅŸlem, biliÅŸim ve teknoloji üzerine…

Zombi Kullanmak, Zombi PC ele geçirmek, Zombileştirmek -2

Zombi PC nedir ? Ne işe yarar ? Ne yapmalıyım ? -1
Makalemin devamınıdır.

İşte şimdi işin püf noktası dediğimiz bölüm en sevdiğim kısma geliyoruz aslında birçok
insanın merak edip de nasıl yapacağını mantığını bilmediği kısmına geliyoruz ve Zombi
mantığını çözüyoruz. Yukarıda bahsettiğim bir önceki makalemin devamındayız.

Zombi PC lerin ne iş yaptığından kısaca haberdar oldunuz öncelikle ayrıntılara girelim.

ÖRNEK VERİYORUM (Gerçek değildir sadece bir misal):

TEAkolik C# dilinde bir trojan yazdı ve birkaç mail atarak yada birkaç EXE nin içine

gömerek ( Ör: NERO 7 FULL SON SÃœRÃœM http://hemenpaylas.com/tea.zip ) internet üzerinden dağıttı…

Zombi Çalışması ve Görevleri :

İlk olarak sisteme bulaşmak ve kendini kopyalamak yazdığım trojan içerisinde ilk kural
olarak bulaştığın sistemin MESSENGER listesine, OUTLOOK kişi listesine kendini kopyala
gönder ve kullanıcıya çaktırma özelliklede sistemde yerel bir STMP var ise bunun üzerinden çıkış yap.

Bu yöntemle hızlı bir şekilde yayılmasını bir anda milyonlara ulaşmasını sağlarım.

Ä°kinci olarak sistemin IP adresini merkeze yani http://www.teakolik.com/trojan/TEA.DB ye yaz.

Bu yöntem ile hem kaç sisteme bulaştığını anlık olarak görebilir hemde IP adresleri
sayesinde bulaşan sistemleri kaybetmem hatta ve hatta belirli aralıklarla bu ip adresini
göndermesini sağlayarak STATİK İP ( Sabit ip ) olmayan sistemleri de elimin altında
tutabilirim.

Üçüncü ve en önemli görevi sistemde arkaplanda çalış hiçbir zaman GÖREV YÖNETİCİSİNDE GÖZÜKÜRKEN DE DOSYA ADI OLARAK SVCHOST.EXE olarak kal

Yani böylelikle siz CTRL ALT DEL Kombinasyonları ile sistemde çalışan EXE leri görürken benim trojanımıda SVCHOST.exe olarak görüp olayı çakmamanızı sağlıyorum.

Ve yazdığım TROJAN’a belirli görevler için benden talimat beklemesini saÄŸlıyorum. Kaynak kodları arasına sığdırdığım birkaç satır ile http://www.teakolik.com/tr.txt dosyasını sürekli kontrol etmesini istiyorum.

Ä°ÅžTE SALDIRI ANI :
Dördüncü görevi verdiğim linki sürekli izlemesidir. Bu linkteki txt dosyasını okuyarak
nereye ne yapması gerektiÄŸini saÄŸlarım bunu birazdaha açarsak eÄŸer trojan bu TXT dosyası içerisindeki ilk satırda TEA=”0″ deÄŸerini okur ise o zaman normal görevleri yani 1.2.3. ve 4. görevlerini yerine getirecek.

Fakat bu TXT dosyasının ilk satırına TEA=”1″ ( Yani saldır 2. satırı oku oraya saldır )
yazdığım zaman işte saldırı başlamış demektir.
Trojan bu TXT dosyası içerisindeki

TEA=”1″
SALDIR=”255.255.255.0″

olarak görür ise eğer işte o zaman sistemde harekete geçer ve DDOS dediğimiz ataklar ile 255.255.255.0 ip numaralı internet sayfasına yada bilgisayara DDOS atak kullanarak
saldırmaya baÅŸlar…

tabi bu dosyayı aynı anda okuyan MÄ°LYONLARCA trojan’ım var ise iÅŸte o zaman …. Siz karşı sistemi düşünün artık….

Bu yukarıda verdiÄŸim sadece bir örnek kalkıpda kendi internet sayfamda yapmam bu iÅŸi free internet siteleri ne güne duruyor…………………………..

Buraya nerden geldik ya.. Neyse konuyu dağıtmadan devam edelim…
tabi bu dosyayı aynı anda okuyan MÄ°LYONLARCA trojan’ım var ise iÅŸte o zaman …. Siz karşı sistemi düşünün artık….

Dediğim yerde şunu kastetmek istedim KARŞINIZDA İYİ BİR GÜVENLİK ÖNLEMİ OLAN BİR SİSTEM VAR

VE SÄ°ZÄ° FARK ETMEMESÄ° GEREKÄ°YOR…

İşte karşı yani saldırılacak sisteme AYNI ANDA MİLYONLARCA IP den SALDIRI GERÇEKLEŞİR İSE..

Firewall çökebilir.
Sistem kilitlenebilir.
Güvenlik uzmanları beni fark etmeyebilir.
Sistem hata verir.
Hata veren sistemde AÇIK MEYDANA GELİR.

Yani aç bir kurt bir CAMIÅž’ı yemek istiyor çok aç fakar CAMIÅž baya iri gücü yetmez Ne
yapacak boynuzları da var bana bir korsa o boynuzlarla DÃœNYAMI ÅžAÅžIRIRIM. Tek başımayım ve açım… Savunmasız bir yerden saldırmalıyım ya boynuzlarını parçalıyacağım ya arkadan saldıracağım yada bana açık vermesi boynuna dalıp boÄŸmam için yorulması gerekir.

Ä°ÅžTE O AN …

Sistem eğer MIT FBI NASA vs. gibi bir sistem değil ise işte o zaman çok çabuk çökebilir yada açık verebilir.

Yani CAMIÅž bir anda BOYNUNDA PENÇELERÄ°MÄ° GÖREBÄ°LÄ°R…
Sonrası malum ….

GELELİM İŞİN BİLİMSEL TARAFINA. ..

ZOMBÄ° PC LER VE SALDIRI TEKNÄ°KLERÄ°:

İşte onlar DOS atakları sayesinde saldırganı gizler hatta görünmez kılar hatta fark
edilmez bir hale getirebilir. Ä°ÅžTE BU OLAYIN PATLADIÄžI NOKTA..

Dağıtık DoS (DDoS) diyoruz bu tip saldırı ÅŸekline … Åžubat ayındaki büyük saldırıları
hatırlarsınız büyüklüğü aslında ne kadar çok sisteme bulaştıklarından gelir.
Yani Zombi ler saldırganın kullandığı kullanıcısının haberi bile olmadığı genelde Windows ve Linux tabanlı küçük ama işlevi büyük yazılımlardır.Ve ASIL KULLANIM AMAÇLARI SALDIRGANIN ÖNCEDEN TESPİT ETTİĞİ AÇIĞA GİREBİLMESİ İÇİN SİSTEMİ YORAN MEŞGUL EDEN HATTA SALDIRGANI FARK EDİLEMEYECEK BİR BİÇİMDE GİZLEYEN PC yazılımlarıdır.

IP-spoofing olarak adlandırılan bir altatma sistemini kullanırlar SALDIRILACAK sisteme
authentication yani IP TANIMLAMA mekanizmaları bulunmadığı için düşman yada saldırgan kendisini gizlemiş olur. Yani IP SPOOFING tekniği ile SALDIRGAN gerçek ip numarasını saldırılan sisteme farklı ip lerle yani sahte iplerle saldırır.

Bir diğer saldırı tekniğide TCP bağlantısı kullanarak saldırılan sisteme karşılık
beklemeden SYN paketleri göndermektir. Bu paketlere cevap beklemez yani karşı sistem bunlara cevap vermek için kim o ? diye sormakla meşgul iken Zombi PC lerden gelen karşılık beklemeden gelen SYN paketleri git gide birikir ve sistemin şişmesine yol açar bu biriken SYN paketleri SALDIRILAN SİSTEME BÜYÜK BİR YÜK GETİRİR.

2002-2004 YILLARI ARASINDA BİR HOST FİRMAM VARDI BİZİM TÜRK LAMERLERDEN BİRİSİ HOST ETTİĞİM DOMAINLERDEN BİRİNE BU TEKNİK İLE SALDIRMIŞTI VE SİSTEMİM DEKİ SALDIRI 1 AY BOYUNCA SÜRDÜ

KULLANDIĞIM SİSTEM REDHAD 7 idi. VE SİSTEMİMDE %99 CPU kullanımı bir keresinde tam 1 GÜN

BOYUNCA DURMADAN SANÄ°YEDE 150 PAKET GÖNDEREREK SÃœRDÃœ .. SALDIRGANI TESPÄ°T ETMEK İÇİN ELÄ°MDEN GELEN SERVER’iMÄ° AÇIK TUTMAK VE HOST
MÜŞTERİLERİMİ GÜVENE ALMAK İÇİN SABAHLARA KADAR UYANIK KALDIĞIMI HATIRLIYORUM..

SİSTEMİMDE KURULU OLAN APF BANA ZOMBİLER PROXY KULLANDIĞI İÇİN PEK YARARLI OLMADI SNORT VE DİĞER FIREWALL PROGRAMLARINDAN DA PEK FAZLA VERİM ALAMADIM HATTA BİR ARA SİSTEM LOGLARIMDAN TEK TEK BÜTÜN İP LERİ KONTROL ETTİM BU BENİM 1 HAFTAMI ALMIŞTI BİR SONUCA VARAMADIM ÇÜNKÜ
TAMAMEN DDOS SALDIRISIYDI VE 1GB RAM AMD 2 OLAN SİSTEMİM PEK FAZLA DAYANAMIYORDU. HOST FİRMAM OLAN EV1SERVERS SÜREKLİ BANA UYARI YAPIYOR FAKAT SİSTEMİ KORUYAMAYACAKLARINI ANCAK VE ANCAK 3400USD LİSANS ÜCRETİ OLAN İSMİNİ O GÜNE KADAR HİÇ DUYMADIĞIM BİR FIREWALL PROGRAMI İLE BELKİ SİSTEMİMİ KORUYABİLECEĞİMİ SÖYLEDİLER.. BİR DE BU PROGRAM İÇİN TEKNİK DESTEK
ÃœCRETÄ° AYLIK 200 USD Ä°STEDÄ°LER BENDE HADÄ° ORADAN DEDÄ°M TABÄ° … SONRASI MI SONRASI ADAMI BULDUM DERDÄ°NÄ° ÖĞRENDÄ°M TELEFONDA HAVAYA ATEÅž EDEREK BANA XXXXXXXXXXX.COM DOMAÄ°NÄ°NÄ° KAPATMAZ Ä°SEM SALDIRININ DEVAM EDECEĞİNÄ° HİÇ DURMAYACAÄžINI SÖYLEYEREK TEHDÄ°T ETTÄ° .. BENDE ADRESÄ°MÄ°N Ä°NTERNET SAYFAMDA YAZDIÄžINI SIKIYSA BURAYA GELMESÄ°NÄ° Ä°STEDÄ°M FAKAT OLMADI … HALA BU LAMERLER Ä°NTERNETTE ORAYA BURAYA SALDIRIYOR VE ÅžUAN BÄ°R ARKADAÅžLIK SÄ°TESÄ° ( sANAL PZVNKLÄ°K SANAL ORSPLK ) YAPIYORLAR…

Bende sabırla bekliyorum. .. . . . . .

SALDIRILARI DURDURDUM FARKLI BİR YÖNTEMLE O DA BANA KALSIN ARTIK AMA PAYLAŞMAK İSTEYEN VARSA

teakolik@teakolik.com Bu posta adresi spam botlara karşı korumalıdır, görebilmek için Javascript açık olmalıdır adresime bir mail ile ulaşabilir. Tanışırız konuşuruz bana bir çay
ısmarlar artık …

Neyse bunu geçelim …

Gelelim konumuza ICMP (Internet Control Message Protocol) sayesinde de SMURF tekniğide kullanılır bu teknikte ise düşmen çok fazla sayıda zombi pc den çok fazla sayıda PING isteği göndererek ve bu pinglerin dönüş adresi olarak da yine SALDIRDIKLARI SİSTEMİ göstererek bir nevi kısır döngü ile sistemin şişmesine patlamasına çatlamasına açık vermesi sistemlerin durması firewall servislerinin stop olması gibi durumlara yol açar.

YANİ ZOMBİ PC SAYISI ARTTIKÇA DDOS VS. GİBİ ATAKLAR ÇOĞALACAK SİSTEMLER MUTLAKA BİR AÇIK VERECEKTİR.

YAPMAMIZ GEREKEN NEDÄ°R ?

Ä°ÅŸte bu soruya cevap veremem … 2004 yılından sonra host iÅŸini bırakmış olsam da bu tip sistemlerin arasındayım. FAKAT ÅžUANKÄ° TEKNOLOJÄ° BUNU ÇÖZEMEMEKTEDÄ°R. DURDURAMAMAKTADIR.

İLK GÖREVİNİZ :

SALDIRIYI TESPÄ°T ETMEK SALDIRGANI TESPÄ°T ETMEK VE NE YAPTIÄžINI Ä°ZLEYEBÄ°LMEKTÄ°R.

Bunun için sisteminizi uzun bir süre ayakta tutmanız gerekecektir ve emin olun benim
yaşadığım bu saldırılarda yani sistemime yapılan DDOS larda ayakta durmak imkansızdı.
ATAK SIRASINDA zombi pc leri tespit edip bloke etmek gerekir gerçi genelde proxy kullanan bu zombi pc ler sayıları arttıkça tespit ve blokeyi zorlaştırır ve saldırganın rahat hareket etmesini sağlar. Yani kısaca alacağını önlemler yetmeyebilir.

IP SPOOFING ile yapılan saldırılarda kullanılan HTTP, DNS, SMTP tekniklerinde servislerdeki cevap verilecek adres bulunmaması yani ..

… Kapıyı çalıyorum ve kapıda beklemiyorum kaçıp gidiyorum siz kapıyı açmadan kim o
diyorsunuz fakat ses yok sonra tekrar kapıyı vurup kaçıyorum yine kimse yok… Sonra siz
küfür ederek kapıyı açıyorsunuz o sırada ben sizi bir köşeden izliyorum kapı açıldığı için

içeriyede birkaç saniye yada birkaç dakika izliyorum. …..

Yani bir ping attığınızda karşı server size yanıt verir … Ä°ÅžTE O ANDA SÄ°STEMDEN BÄ°R PORT AÇILIR VE SÄ°STEME SIZABÄ°LÄ°RÄ°M YADA SÄ°STEM HAKKINDA BÄ°LGÄ° EDÄ°NÄ°RÄ°M.

İŞTE bu IP SPOOFING tekniğinin kullanılma nedenidir. DDOS atakların varoluşudur yani
SALDIRGANIN NÄ°RVANAYA ULAÅžMASINI SAÄžLAMAKTADIR..

SÄ°Z: ONUN BEN NIRVANASINI BÄ°LMEM NE YAPAYIM ….
BEN: ŞŞŞŞŞ KÃœFÃœR ETMEYELÄ°M LÃœTFEN …….

FAKAT MUTLU BÄ°R HABER VEREBÄ°LÄ°RÄ°M … YENÄ° NESÄ°L IETF, DNSSec, IPSec VE YENÄ° NESÄ°L IPv6 NIN GELÄ°ÅžTÄ°RÄ°LMESÄ° BU SÄ°STEMLERÄ°N DEVRE DIÅžI KALMASINI SAÄžLAYACAK YANÄ° DDOS ATAKLARA KÄ°MLÄ°K DENETÄ°MLERÄ°NÄ°N ARTMASI Ä°LE TARÄ°HE KARIÅžACAK DÄ°YEBÄ°LECEĞİZ…. ( öYLE diyorlar birkaç yerde okudum inÅŸ. dedikleri gibi olur bunun üzerinde çalışan ilim adamları var ALLAH RAZI OLSUN SÄ°ZLERDEN )

YANİ KISACA ÖZETLERSEK İNTERNETİ SAVUNMASIZ BİR BEBEK OLARAK DÜŞÜNÜN VE SİVRİ SİNEKLER

YÃœZLERCE ÃœZERÄ°NE YAPIÅžIP YAPIÅžIP DURUYOR VE BEBEK AÄžLAMAKTAN BAÅžKA BÄ°RÅžEY YAPAMIYOR. ANNESÄ° YOK BABASI YOK AÇ SÄ°VRÄ° SÄ°NEKLER ARALARINDAKÄ° KIRAL SÄ°VRÄ° SÄ°NEK RAHAT RAHAT KAN EMSÄ°N DÄ°YE SALDIRIYORLAR….

Bir sivri sinek ilacı ile korunmak gerek fakat bu sivri sinekler her yerden geliyor üç beş
değilki vurup öldüresin bebek biraz büyük ise o zaman eline bir sineklikle onlara karşı
kendini savunuyor daha çok küçük ise o zaman aÄŸlamaktan baÅŸka birÅŸey yapamıyor…..

Biraz abarttım mı böyle bir örnek olmaz mı

EVET Geldik makalenin sonuna… Yorumlarınızı bekliyorum umarım hoÅŸunuza gitmiÅŸtir. Sabah saat 05:25 oldu saatlerdir bu makale için kasıyorum bu güne nasipmiÅŸ sorusu olan varsa buradan irtibata geçebilir TÃœM XXX EKÄ°BÄ°NE KOLAY GELSÄ°N…