Bir Botnet Öyküsü: Rustock

Bir Botnet Öyküsü: Rustock: "

Adı:

Win32/Rustock

Ansiklopediye Giriş Tarihi:

Yayınlanma – 18 Ocak 2007

Son Güncellenme:

17 Nisan 2011

Kod Adları:

Spam-Mailbot.c!Rootkit (McAfee)

Backdoor.Rustock (Sunbelt Software)

Backdoor.Rustock (Symantec)

Uyarı Seviyesi:

Yüksek

Korunma Yöntemleri:

Microsoft tarafından en güncel tanımlamaları indirmeniz önerilir.

Rustock botnetinin Microsoft Kötücül Yazılım Koruma Merkezi (Malware Protection Center – MPC)’ndeki ön bilgileri yukarıda belirtildiği şekilde verilmişti. Çoğunuz için, yukarıdaki tanımlamalar pek bir şey ifade etmeyebilir ki zaten bu yazının hazırlanmasındaki temel amaç, sizlerin bilgi güvenliği konusunda botnetler özelinde bilgi sahibi olmanızı sağlamak… Çünkü botnetler bilgi güvenliğini tehdit eden en büyük risklerden bir tanesi. Rustock’a dönersek; bir botnet olan Rustock, aslında ilk olarak 2006 yılının başlarında farkedildi ve daha sonraları hızla önemli ve ciddi bir tehdit haline dönüştü. Bunun sonucunda Rustock, Nisan 2007’de kötücül yazılım olarak kara listeye alındı. Dünya çapındaki en büyük spam e-posta kaynaklarından birisi olarak faaliyet gösternen Rustock, geçtiğimiz Mart ayında Microsoft tarafından durduruldu.

İnternetin herkes tarafından kullanılmaya başlandığı ilk zamanlarda, robot sözcüğünden türetilmiş “bot” ifadesi, kendi kendine herhangi bir ağ veya makine üzerinde bir dizi görevi yerine getirebilen ve önceden programlanmış yazılımların ismi olarak ortaya çıktı. Aslında “bot”lar, ilk zamanlarda pek çok yararlı ve önemli fonksiyonu gerçekleştirmeleri amacıyla yaratıldılar. Ne yazık ki, botların yalnızca iyi amaçlar için kullanılması pek de uzun ömürlü olmadı ve botlar zaman içerisinde kötü amaçlar için de kullanılmaya başlandı. Bu kötü amaçlardan bir tanesi, uzaktan ve kullanıcıların sezemeyeceği bir şekilde belli bir amaca yönelik, çoğu zaman saldırı amaçlı bir bilgisayar ordusu oluşturmak. İşte bu amaç için yaratılmış botlara, “botnet” deniyor. Örneğin, Türkiye de dahil olmak üzere dünyanın çeşitli yerlerinde bazı kurumları hedef alan saldırılar düzenleyen son dönemin gözde hacker gruplarından Anonymous, belirli bir hedefe saldırı düzenlemeden önce gönüllülerinin bilgisayarlarına botnetler gönderip, saldırılarını bu botnetler yoluyla gerçekleştiriyor. Bir bilgisayara botnet bulaştırmanın birçok yolu bulunuyor. Hackerlar, bir bilgisayara botnet bulaştırmak için çoğu zaman yazılımlar üzerindeki zafiyetleri kullanırlar. Bununla beraber, hackerlar sosyal mühendislik yöntemlerini de botnet yaymak için kullanabilirler. Botnet bulaşmış bilgisayarlara “zombi” bilgisayarlar denir ve kullanıcılar çoğu zaman bilgisayarlarına botnet bulaştığının farkında olmazlar.

Peki neden Rustock? Çünkü Rustock, bugüne kadar karşılaşılan en karmaşık, en yaygın ve bu sebeplerden dolayı en ünlü botnetlerden bir tanesi. Botnetin davranışı zaman içerisinde değişkenlik gösterse de, bir günde 30 milyar spam e-postası gönderebilme yeteneğiyle Rustock dünyanın en büyük spambotlarından birisi olarak ün salmış durumdaydı. Microsoft’un Amerika’daki “Dijital Suçlar Birimi (Digital Crimes Unit – DCU)”nin raporuna göre, Rustock bulaşmış tek bir zombi bilgisayar, 45 dakika gibi kısa bir sürede 7500 tane (yani bir günde 240000 tane) spam e-postası gönderebiliyordu. Dahası, Rustock tarafından gönderilen e-postaların çoğu, halk sağlığını tehdit eden sahte veya reçetesiz ilaç reklamları içermekteydi. Rustock’un oluşturduğu tehdit öyle ciddi boyutlara ulaştı ki dünyanın en büyük ilaç üretecilerinden olan Pfizer’in bir deklarasyon yayınlamasına sebep oldu. Pfizer’ın yayınladığı deklarasyona göre Rustock tarafından reklamı yapılan ilaçların sıklıkla yanlış aktif maddeler içerdiği, yanlış dozaj bilgileri içerdiği ve bunlardan daha kötüsü ilaçların yapımında sağlıklı olmayan yöntemler kullanıldığı belirtilmekteydi.

Üst taraftaki resimde, Rustock botnetinin dünya çapındaki yayılma durumu gösterilmiştir. Her ne kadar Rustock botneti reklam amaçlı spam e-postası göndermek amacıyla kullanılsa da, bu ölçüde büyüklüğe erişmiş bir botnet her türlü siber suç işleme amacıyla kullanılabilirdi ve Rustock botnetinin durdurulması bu yüzden önemliydi. Botnetler uzaktan tek bir komutla harekete geçirilebildikleri gibi, şifre hırsızlığı veya hizmet engelleme saldırısı gibi pek çok farklı amaçlar için kullanılabilirlerdi.

17 Mart 2011 günü Microsoft DCU birimi, Rustock botnetinin faaliyetini durdurmayı başardı. Botnetin, durdurulduğu gün itibarıyla 1 milyona yakın bilgisayarı etkilediği ve bir günde milyarlarca spam e-postası gönderdiği tahmin ediliyordu. Rustock botnetinin durdurulması için düzenlenen operasyonun adı “b107” operasyonuydu ve bu operasyon Microsoft DCU’nun Microsoft Kötücül Yazılım Koruma Merkezi (Microsoft Malware Protection Center – MMPC) ile birlikte yürüttüğü ikinci en yüksek profilli botnet indirme operasyonuydu. Aslında bu operasyon, Microsoft’un MARS Projesi olarak bilinen botnetlerin durdurulması ve botnet bulaşmış bilgisayarların tekrar sağlığına kavuşması için yürüttüğü projenin bir parçasıydı.

Rustock botnetinin durdurulmasının gözle görünür etkileri oldu. Bunlardan en belirgini, Rustock botnetinin durdurulmasını izleyen bir aylık dönemde dünya genelindeki spam e-posta sayısının üçte bir oranında azalmış olmasıydı. Botnetin durdurulmasından önceki hafta dünya genelinde günlük ortalama spam e-posta sayısı 52 milyar iken, botnetin durdurulmasından sonra bu sayı 33 milyara indi. Botneti indirdikten sonra konuyla ilgili çalışmalarına ara vermeden devam eden Microsoft DCU ekibi, botnet bulaşan bazı bilgisayarlarda yaptığı araştırma sonucunda bir bilgisayarda 427000 e-posta adresi barındıran bir dosyayla karşılaştı. Yalnızca bir bilgisayardaki bir dosyada bu derecede çok adresin bulunması, Rustock’un gücü hakkında önemli bir bilgi kanıt olarak ortaya kondu. Araştırmalar sonucunda botnetin asıl sahiplerinin Rusya’da olabileceğine dair kanıtlar elde edildi ama bu yönde henüz kesin bir sonuç elde edilemedi; çünkü bir botnetin doğum yerini keşfetmek oldukça zordur zira internet trafiğini anonim hale getiren yöntemler hackerlar tarafından sıklıkla kullanılır.

Microsoft’un Rustock ile olan mücadelesini kazanması, kısa vadede spam e-posta sayısı üzerinde etkili olmuş gibi gözüküyorsa da, uzun vadede dünya genelindeki spam e-posta miktarının pek de değişmeyeceği öngörülüyor. Bu yüzden kullanıcıların mutlaka ve mutlaka konuyla ilgili bilinçli ve dikkatli olası gerekiyor. Yalnızca bilinçli olmak de kötücül yazılımlardan korunmaya yetmeyebilir. Bu noktada bazı basit önlemlerle, daha korunaklı bir bilgisayara veya sisteme sahip olunabilir. Bilgisayarınızın güvenlik duvarını aktif hale getirmek, güçlü şifreler kullanmak, antivirüs yazılımları kullanmak, bilmediğiniz veya güvenmediğiniz sitelerden uzak durmaya çalışmak ve son olarak da korsan yazılım kullanmamak, daha güvenli bir bilgisayara sahip olmak için alınabilecek önlemlerden yalnızca birkaçıdır. “Daha güvenli bir bilgisayara sahip olabilmek için neler yapabilirim?” diyorsanız, daha detaylı bilgiye buradan ulaşabilirsiniz.

"