Her gün bir milyon kadar botu aktif olmak üzere yaklaşık 5 milyon bot ile dünyanın en büyük Spam Botneti olan Necurs, DDoS saldırıları başlatmak için kullanılabilecek yeni bir modül ekledi.

Tehdit istihbarat şirketi Anubis Networks’ün güvenlik araştırmacılarına göre, DDoS özelliği yaklaşık altı ay önce Necurs’ın yeni Proxy modülü aracılığıyla eklendi.

İlk tespitler, bu modülü Eylül 2016’da haritaya yerleştirdi ancak ikili toplama tarihleri, modülün 23 Ağustos 2016’dan başlayarak gönderilmiş olabileceğini ortaya koyuyor.

Modülün ilk analizi, bu modülü, kötü amaçlı trafiği virüslü bilgisayarlar üzerinden HTTP, SOCKSv4 ve SOCKSv5 proxy protokolleri vasıtasıyla aktarabilen isteğe bağlı bir proxy sunucusu olarak sınıflandırdı.

İlgili haber >> DDoS saldırısı Finlileri soğukta bıraktı

DDoS işlevleri kısa süre önce Anubis araştırmacıları tarafından, Necurs’tan etkilenen bilgisayarlardan çıkan garip trafiğin diğer modülleri yönetmek için kullanılan klasik bağlantı noktası 80’in yanında 5222 numaralı bağlantı noktasındaki komuta ve kontrol sunucusuna gittiklerini fark etmesiyle açığa çıktı.

Proxy modülü için hemen ardından yapılan bir araştırma, trafik geçişi özelliklerinin yanı sıra bu modülün, botlara belirli bir hedefe yönelik sürekli bir HTTP veya UDP istekleri sızdırmasını emreden komutlar alabileceğini ortaya koydu.

Bir Necurs DDoS saldırısı, her DDoS kaydını kolayca kırabilir

Bu makalenin yazıldığı tarih itibarıyla hiçbir DDoS saldırısının Necurs botnetine atfedilmediğini belirtmek gerekir. Necurs botlarını bir DDoS saldırısı için kullanmaya karar verirse, böyle bir saldırı ölçeği, geçmişte gördüğümüz diğer DDoS saldırılarının ötesine geçecektir.

En kötü günlerinde bile Necurs botunun büyüklüğü, bugünkü tüm IoT botnetlerinin en küçüğüydü. Bugüne kadar gözlenen en büyük IoT botneti, 2016 yılının sonlarına doğru yaklaşık 400.000 bot toplamayı başaran Mirai Botnet #14 olmuştu.

İlgili haber >> IoT saldırıları: Dün Kerbs, bugün DYN yarın?

Öte yandan, Necur klasik masaüstü bilgisayarlara bulaşarak bu muazzam sayılara ulaştı. Genellikle adli kuvvetlerin dikkatini çeken, ardından da temizleme girişimleri başlatılan tahrip edici DDoS saldırılarında hiç kullanılmadığı için de botnet inanılmaz derecede büyüdü.

Necurs botnetinin yöneticileri, bu botneti hayatının büyük kısmında virüs bulaşmış bilgisayarlardan spam göndermek için kullandı, bu spam saldırıları genellikle Dridex banka trojanını ve yakın zamanda Locky fidye yazılımını taşıdılar.

DDoS özelliği şimdiye dek görevlendirilmiş olma olasılığı düşük

Şu anda Necurs operatörlerinin botnetlerine neden bir DDoS özelliği eklemeye karar verdikleri hâlâ gizemini koruyor, farklı insanlara göre bu karar mantıklı değil.

Necurs’un evrimini yıllardır takip eden bir güvenlik araştırmacısı olan MalwareTech, “Proxy / DDoS modülü oldukça eski. Sanırım potansiyel bir gelir akışı haline getirildi, ancak daha sonra spamda daha fazla para olduğunu buldular.” dedi.

Daha yüksek bir gelir akışı dışında Necurs çetesi spamdan para kazanmayı bırakmıyor, ayrıca Necurs’tan DDoS saldırılarını görme ihtimalimizin neden düşük olduğunun diğer nedenlerini de hesaba katmalıyız.

Her şeyden önce, DDoS saldırıları botnetleri bitirir. Onları yok eder. DDoS özellikleri, bilgisayarları geciktirmek eğilimindedir; ağ arayüzünden kaynaklanan sürekli trafik akışı nedeniyle bilgisayarlar yavaşlar.

Bilgisayarınızın yavaşlamasından başka bilgisayarınıza kötü amaçlı yazılım bulaştığını gösteren başka açık bir işaret yoktur, zaten bu durum da kullanıcıları genelde neyin yanlış olduğunu araştırmaya yöneltir.

Ayrıca DDoS botnet’leri adli kuvvetlerinin dikkatini çekme eğilimindedir. Örneğin, sadece iki gün önce, Birleşik Krallık polisi, birkaç paragraf önce bahsettiğimiz Mirai Botnet #14’ün arkasında olduğu iddia edilen bir şüpheliyi tutukladı.

İlgili haber >> Mirai botneti artık kiralanabiliyor

Kötü amaçlı yazılım yazarlarının istemediği iki şey varsa, kötü amaçlı yazılım arayan kullanıcılar ve C&C sunucularının peşinden giden adli kuvvetlerdir.

DDoS saldırıları her iki ilgiyi de kapma eğilimindedir. Dolayısıyla, bu yüzden son yıllarda DDoS botnetlerinin normal bilgisayarlara bulaşma yerine akıllı/IoT cihazlara yöneldiklerini gördük.

Spam daha kazançlı, daha az ilgi çekiyor

Öte yandan, spamin üstesinden gelmek daha kolay. Birkaç mesaj gönderdikten sonra, virüs bulaşan bilgisayarın “serinlemesine” izin veriyorsunuz, böylece anti-spam filtreleri kurbanın IP’sini alıp spam kara listesine ekleyemiyor.

Necurs’un yazarları, profesyonel, iyi çalışan bir siber suç makinesi geliştirmek için zaman ve para yatırıyorlar. Onlar için, sadece kaybetmek zorunda oldukları bir DDoS kiralama hizmeti çalıştırma uğruna, istikrarlı gelir akışını riske atmanın hiçbir nedeni yok.

Matematiksel olarak, yalnızca DDoS önyükleme hizmeti oluşturma ve destekleme uğruna, üç gelir akışını (Dridex, Locky ve kiralanabilir spam hizmeti) yok etmek mantıklı değil. Dell raporuna göre maddi olarak, DDoS saldırısı için ortalama bedel yıllardır düşüş gösterdiği için bu da pek mantıklı değil.

DDoS özelliği, kar amaçlı bir seçenek değil, test gibi görülüyor

Genel olarak bakıldığında, bu DDoS özelliği, Necurs ekibinin kendi modülünden çıkarmayı unuttuğu bir teste benziyor. Aynı görüşü, DDOS simülasyon ve test servislerinin satıcısı NimbusDDoS’in kurucusu ve CEO’su Andy Shoemaker da paylaşıyor.

Shoemaker, “Bence DDoS işlevinin, gasp yoluyla doğrudan mali getirisi olmayabilir. Motivasyon farklı olabilir ve DDos işlevini düşük riskli senaryolar için, muhtemelen diğer bilgisayar korsanlarına saldırmak için saklıyor olabilirler.” dedi.

Shoemaker, ayrıca  “Burada yerinde gözükmeyen şey, saldırının  kontrolünü sağlamak için herhangi bir mekanizmaya değinilmiyor olması. Kiralık bir botnet, genellikle botnet düğümlerinin bir alt kümesinden belirli bir trafik hacmi sağlama mantığına sahiptir. Necurs’la birlikte benim anladığım, yerinde olmayan şey de bu. Bu işlev eksik olduğunda botnetlerin DDoS yeteneklerinden para kazanmak zor olacaktır.” diye konuştu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]