Zombi Kullanmak, Zombi PC ele geçirmek, Zombileştirmek -2
Zombi PC nedir ? Ne işe yarar ? Ne yapmalıyım ? -1
Makalemin devamınıdır.
İşte şimdi işin püf noktası dediğimiz bölüm en sevdiğim kısma geliyoruz aslında birçok
insanın merak edip de nasıl yapacağını mantığını bilmediği kısmına geliyoruz ve Zombi
mantığını çözüyoruz. Yukarıda bahsettiğim bir önceki makalemin devamındayız.
Zombi PC lerin ne iş yaptığından kısaca haberdar oldunuz öncelikle ayrıntılara girelim.
ÖRNEK VERİYORUM (Gerçek değildir sadece bir misal):
TEAkolik C# dilinde bir trojan yazdı ve birkaç mail atarak yada birkaç EXE nin içine
gömerek ( Ör: NERO 7 FULL SON SÜRÜM http://hemenpaylas.com/tea.zip ) internet üzerinden dağıttı…
Zombi Çalışması ve Görevleri :
İlk olarak sisteme bulaşmak ve kendini kopyalamak yazdığım trojan içerisinde ilk kural
olarak bulaştığın sistemin MESSENGER listesine, OUTLOOK kişi listesine kendini kopyala
gönder ve kullanıcıya çaktırma özelliklede sistemde yerel bir STMP var ise bunun üzerinden çıkış yap.
Bu yöntemle hızlı bir şekilde yayılmasını bir anda milyonlara ulaşmasını sağlarım.
İkinci olarak sistemin IP adresini merkeze yani http://www.teakolik.com/trojan/TEA.DB ye yaz.
Bu yöntem ile hem kaç sisteme bulaştığını anlık olarak görebilir hemde IP adresleri
sayesinde bulaşan sistemleri kaybetmem hatta ve hatta belirli aralıklarla bu ip adresini
göndermesini sağlayarak STATİK İP ( Sabit ip ) olmayan sistemleri de elimin altında
tutabilirim.
Üçüncü ve en önemli görevi sistemde arkaplanda çalış hiçbir zaman GÖREV YÖNETİCİSİNDE GÖZÜKÜRKEN DE DOSYA ADI OLARAK SVCHOST.EXE olarak kal
Yani böylelikle siz CTRL ALT DEL Kombinasyonları ile sistemde çalışan EXE leri görürken benim trojanımıda SVCHOST.exe olarak görüp olayı çakmamanızı sağlıyorum.
Ve yazdığım TROJAN’a belirli görevler için benden talimat beklemesini sağlıyorum. Kaynak kodları arasına sığdırdığım birkaç satır ile http://www.teakolik.com/tr.txt dosyasını sürekli kontrol etmesini istiyorum.
İŞTE SALDIRI ANI :
Dördüncü görevi verdiğim linki sürekli izlemesidir. Bu linkteki txt dosyasını okuyarak
nereye ne yapması gerektiğini sağlarım bunu birazdaha açarsak eğer trojan bu TXT dosyası içerisindeki ilk satırda TEA=”0″ değerini okur ise o zaman normal görevleri yani 1.2.3. ve 4. görevlerini yerine getirecek.
Fakat bu TXT dosyasının ilk satırına TEA=”1″ ( Yani saldır 2. satırı oku oraya saldır )
yazdığım zaman işte saldırı başlamış demektir.
Trojan bu TXT dosyası içerisindeki
TEA=”1″
SALDIR=”255.255.255.0″
olarak görür ise eğer işte o zaman sistemde harekete geçer ve DDOS dediğimiz ataklar ile 255.255.255.0 ip numaralı internet sayfasına yada bilgisayara DDOS atak kullanarak
saldırmaya başlar…
tabi bu dosyayı aynı anda okuyan MİLYONLARCA trojan’ım var ise işte o zaman …. Siz karşı sistemi düşünün artık….
Bu yukarıda verdiğim sadece bir örnek kalkıpda kendi internet sayfamda yapmam bu işi free internet siteleri ne güne duruyor…………………………..
Buraya nerden geldik ya.. Neyse konuyu dağıtmadan devam edelim…
tabi bu dosyayı aynı anda okuyan MİLYONLARCA trojan’ım var ise işte o zaman …. Siz karşı sistemi düşünün artık….
Dediğim yerde şunu kastetmek istedim KARŞINIZDA İYİ BİR GÜVENLİK ÖNLEMİ OLAN BİR SİSTEM VAR
VE SİZİ FARK ETMEMESİ GEREKİYOR…
İşte karşı yani saldırılacak sisteme AYNI ANDA MİLYONLARCA IP den SALDIRI GERÇEKLEŞİR İSE..
Firewall çökebilir.
Sistem kilitlenebilir.
Güvenlik uzmanları beni fark etmeyebilir.
Sistem hata verir.
Hata veren sistemde AÇIK MEYDANA GELİR.
Yani aç bir kurt bir CAMIŞ’ı yemek istiyor çok aç fakar CAMIŞ baya iri gücü yetmez Ne
yapacak boynuzları da var bana bir korsa o boynuzlarla DÜNYAMI ŞAŞIRIRIM. Tek başımayım ve açım… Savunmasız bir yerden saldırmalıyım ya boynuzlarını parçalıyacağım ya arkadan saldıracağım yada bana açık vermesi boynuna dalıp boğmam için yorulması gerekir.
İŞTE O AN …
Sistem eğer MIT FBI NASA vs. gibi bir sistem değil ise işte o zaman çok çabuk çökebilir yada açık verebilir.
Yani CAMIŞ bir anda BOYNUNDA PENÇELERİMİ GÖREBİLİR…
Sonrası malum ….
GELELİM İŞİN BİLİMSEL TARAFINA. ..
ZOMBİ PC LER VE SALDIRI TEKNİKLERİ:
İşte onlar DOS atakları sayesinde saldırganı gizler hatta görünmez kılar hatta fark
edilmez bir hale getirebilir. İŞTE BU OLAYIN PATLADIĞI NOKTA..
Dağıtık DoS (DDoS) diyoruz bu tip saldırı şekline … Şubat ayındaki büyük saldırıları
hatırlarsınız büyüklüğü aslında ne kadar çok sisteme bulaştıklarından gelir.
Yani Zombi ler saldırganın kullandığı kullanıcısının haberi bile olmadığı genelde Windows ve Linux tabanlı küçük ama işlevi büyük yazılımlardır.Ve ASIL KULLANIM AMAÇLARI SALDIRGANIN ÖNCEDEN TESPİT ETTİĞİ AÇIĞA GİREBİLMESİ İÇİN SİSTEMİ YORAN MEŞGUL EDEN HATTA SALDIRGANI FARK EDİLEMEYECEK BİR BİÇİMDE GİZLEYEN PC yazılımlarıdır.
IP-spoofing olarak adlandırılan bir altatma sistemini kullanırlar SALDIRILACAK sisteme
authentication yani IP TANIMLAMA mekanizmaları bulunmadığı için düşman yada saldırgan kendisini gizlemiş olur. Yani IP SPOOFING tekniği ile SALDIRGAN gerçek ip numarasını saldırılan sisteme farklı ip lerle yani sahte iplerle saldırır.
Bir diğer saldırı tekniğide TCP bağlantısı kullanarak saldırılan sisteme karşılık
beklemeden SYN paketleri göndermektir. Bu paketlere cevap beklemez yani karşı sistem bunlara cevap vermek için kim o ? diye sormakla meşgul iken Zombi PC lerden gelen karşılık beklemeden gelen SYN paketleri git gide birikir ve sistemin şişmesine yol açar bu biriken SYN paketleri SALDIRILAN SİSTEME BÜYÜK BİR YÜK GETİRİR.
2002-2004 YILLARI ARASINDA BİR HOST FİRMAM VARDI BİZİM TÜRK LAMERLERDEN BİRİSİ HOST ETTİĞİM DOMAINLERDEN BİRİNE BU TEKNİK İLE SALDIRMIŞTI VE SİSTEMİM DEKİ SALDIRI 1 AY BOYUNCA SÜRDÜ
KULLANDIĞIM SİSTEM REDHAD 7 idi. VE SİSTEMİMDE %99 CPU kullanımı bir keresinde tam 1 GÜN
BOYUNCA DURMADAN SANİYEDE 150 PAKET GÖNDEREREK SÜRDÜ .. SALDIRGANI TESPİT ETMEK İÇİN ELİMDEN GELEN SERVER’iMİ AÇIK TUTMAK VE HOST
MÜŞTERİLERİMİ GÜVENE ALMAK İÇİN SABAHLARA KADAR UYANIK KALDIĞIMI HATIRLIYORUM..
SİSTEMİMDE KURULU OLAN APF BANA ZOMBİLER PROXY KULLANDIĞI İÇİN PEK YARARLI OLMADI SNORT VE DİĞER FIREWALL PROGRAMLARINDAN DA PEK FAZLA VERİM ALAMADIM HATTA BİR ARA SİSTEM LOGLARIMDAN TEK TEK BÜTÜN İP LERİ KONTROL ETTİM BU BENİM 1 HAFTAMI ALMIŞTI BİR SONUCA VARAMADIM ÇÜNKÜ
TAMAMEN DDOS SALDIRISIYDI VE 1GB RAM AMD 2 OLAN SİSTEMİM PEK FAZLA DAYANAMIYORDU. HOST FİRMAM OLAN EV1SERVERS SÜREKLİ BANA UYARI YAPIYOR FAKAT SİSTEMİ KORUYAMAYACAKLARINI ANCAK VE ANCAK 3400USD LİSANS ÜCRETİ OLAN İSMİNİ O GÜNE KADAR HİÇ DUYMADIĞIM BİR FIREWALL PROGRAMI İLE BELKİ SİSTEMİMİ KORUYABİLECEĞİMİ SÖYLEDİLER.. BİR DE BU PROGRAM İÇİN TEKNİK DESTEK
ÜCRETİ AYLIK 200 USD İSTEDİLER :) BENDE HADİ ORADAN DEDİM TABİ … SONRASI MI SONRASI ADAMI BULDUM DERDİNİ ÖĞRENDİM TELEFONDA HAVAYA ATEŞ EDEREK BANA XXXXXXXXXXX.COM DOMAİNİNİ KAPATMAZ İSEM SALDIRININ DEVAM EDECEĞİNİ HİÇ DURMAYACAĞINI SÖYLEYEREK TEHDİT ETTİ .. BENDE ADRESİMİN İNTERNET SAYFAMDA YAZDIĞINI SIKIYSA BURAYA GELMESİNİ İSTEDİM FAKAT OLMADI … HALA BU LAMERLER İNTERNETTE ORAYA BURAYA SALDIRIYOR VE ŞUAN BİR ARKADAŞLIK SİTESİ ( sANAL PZVNKLİK SANAL ORSPLK ) YAPIYORLAR…
Bende sabırla bekliyorum. .. . . . . .
SALDIRILARI DURDURDUM FARKLI BİR YÖNTEMLE O DA BANA KALSIN ARTIK AMA PAYLAŞMAK İSTEYEN VARSA
teakolik @ teakolik.com adresime bir mail ile ulaşabilir. Tanışırız konuşuruz bana bir çay
ısmarlar artık :) …
Neyse bunu geçelim …
Gelelim konumuza ICMP (Internet Control Message Protocol) sayesinde de SMURF tekniğide kullanılır bu teknikte ise düşmen çok fazla sayıda zombi pc den çok fazla sayıda PING isteği göndererek ve bu pinglerin dönüş adresi olarak da yine SALDIRDIKLARI SİSTEMİ göstererek bir nevi kısır döngü ile sistemin şişmesine patlamasına çatlamasına açık vermesi sistemlerin durması firewall servislerinin stop olması gibi durumlara yol açar.
YANİ ZOMBİ PC SAYISI ARTTIKÇA DDOS VS. GİBİ ATAKLAR ÇOĞALACAK SİSTEMLER MUTLAKA BİR AÇIK VERECEKTİR.
YAPMAMIZ GEREKEN NEDİR ?
İşte bu soruya cevap veremem … 2004 yılından sonra host işini bırakmış olsam da bu tip sistemlerin arasındayım. FAKAT ŞUANKİ TEKNOLOJİ BUNU ÇÖZEMEMEKTEDİR. DURDURAMAMAKTADIR.
İLK GÖREVİNİZ :
SALDIRIYI TESPİT ETMEK SALDIRGANI TESPİT ETMEK VE NE YAPTIĞINI İZLEYEBİLMEKTİR.
Bunun için sisteminizi uzun bir süre ayakta tutmanız gerekecektir ve emin olun benim
yaşadığım bu saldırılarda yani sistemime yapılan DDOS larda ayakta durmak imkansızdı.
ATAK SIRASINDA zombi pc leri tespit edip bloke etmek gerekir gerçi genelde proxy kullanan bu zombi pc ler sayıları arttıkça tespit ve blokeyi zorlaştırır ve saldırganın rahat hareket etmesini sağlar. Yani kısaca alacağını önlemler yetmeyebilir.
IP SPOOFING ile yapılan saldırılarda kullanılan HTTP, DNS, SMTP tekniklerinde servislerdeki cevap verilecek adres bulunmaması yani ..
… Kapıyı çalıyorum ve kapıda beklemiyorum kaçıp gidiyorum siz kapıyı açmadan kim o
diyorsunuz fakat ses yok sonra tekrar kapıyı vurup kaçıyorum yine kimse yok… Sonra siz
küfür ederek kapıyı açıyorsunuz o sırada ben sizi bir köşeden izliyorum kapı açıldığı için
içeriyede birkaç saniye yada birkaç dakika izliyorum. …..
Yani bir ping attığınızda karşı server size yanıt verir … İŞTE O ANDA SİSTEMDEN BİR PORT AÇILIR VE SİSTEME SIZABİLİRİM YADA SİSTEM HAKKINDA BİLGİ EDİNİRİM.
İŞTE bu IP SPOOFING tekniğinin kullanılma nedenidir. DDOS atakların varoluşudur yani
SALDIRGANIN NİRVANAYA ULAŞMASINI SAĞLAMAKTADIR..
SİZ: ONUN BEN NIRVANASINI BİLMEM NE YAPAYIM ….
BEN: ŞŞŞŞŞ KÜFÜR ETMEYELİM LÜTFEN …….
:-)
FAKAT MUTLU BİR HABER VEREBİLİRİM … YENİ NESİL IETF, DNSSec, IPSec VE YENİ NESİL IPv6 NIN GELİŞTİRİLMESİ BU SİSTEMLERİN DEVRE DIŞI KALMASINI SAĞLAYACAK YANİ DDOS ATAKLARA KİMLİK DENETİMLERİNİN ARTMASI İLE TARİHE KARIŞACAK DİYEBİLECEĞİZ…. ( öYLE diyorlar birkaç yerde okudum inş. dedikleri gibi olur bunun üzerinde çalışan ilim adamları var ALLAH RAZI OLSUN SİZLERDEN )
YANİ KISACA ÖZETLERSEK İNTERNETİ SAVUNMASIZ BİR BEBEK OLARAK DÜŞÜNÜN VE SİVRİ SİNEKLER
YÜZLERCE ÜZERİNE YAPIŞIP YAPIŞIP DURUYOR VE BEBEK AĞLAMAKTAN BAŞKA BİRŞEY YAPAMIYOR. ANNESİ YOK BABASI YOK AÇ SİVRİ SİNEKLER ARALARINDAKİ KIRAL SİVRİ SİNEK RAHAT RAHAT KAN EMSİN DİYE SALDIRIYORLAR….
Bir sivri sinek ilacı ile korunmak gerek fakat bu sivri sinekler her yerden geliyor üç beş
değilki vurup öldüresin bebek biraz büyük ise o zaman eline bir sineklikle onlara karşı
kendini savunuyor daha çok küçük ise o zaman ağlamaktan başka birşey yapamıyor…..
Biraz abarttım mı böyle bir örnek olmaz mı :)
EVET Geldik makalenin sonuna… Yorumlarınızı bekliyorum umarım hoşunuza gitmiştir. Sabah saat 05:25 oldu saatlerdir bu makale için kasıyorum bu güne nasipmiş sorusu olan varsa buradan irtibata geçebilir TÜM XXX EKİBİNE KOLAY GELSİN…
BU YAZIYA YAPILAN YORUMLAR