Etiket arşivi: ddos

Çin

Çin Telekom şirketini hedef alan DDoS tarihe geçti

Yorum yapın

Kaspersky Lab’in raporuna göre, 11 günden daha uzun süren Dağıtık Hizmet Aksatma Saldırısı (DDoS) bu yılın rekorunu kırdı.

Sibersaldırganların 2017’nin ikinci çeyreğinde Çin’deki bir telekom şirketine 277 saat süren bir saldırı düzenlediği ortaya çıktı. Kaspersky Lab’in yayınladığı rapora göre bu saldırı, 2017 yılında yapılan en uzun saldırıdan %131 oranında daha uzun sürdü.

Kaspersky Lab’in saldırıya uğrayan IP adreslerinden topladığı bilgileri analiz ederek yayınladığı 2017 Dağıtık Hizmet Aksatma İstihbarat Raporu’na göre, 11 günden fazla süren Çin’deki telekom şirketinin uğradığı saldırı hem bu yılın rekorunu kırdı, hem de şimdiye kadar en uzun süren dağıtık hizmet aksatma saldırısı olarak tarihe geçti.

Ancak süredeki bu artışın nedenini belirlemek çok zor. “Sürenin neden uzadığının bir açıklaması yok, böyle dalgalanmalar zaman zaman olur” diyor Kaspersky Lab’in zararlı yazılım ve saldırı analisti Oleg Kupreev.

İlgili haber>> Uzmanından uyarı: DDoS saldırılarındaki düşüşe kanmayın!

Kaspersky Raporu’nun bahsedilen başka bir saldırı ise güç açısından rekor kırdı. Kupreev, saniyede 20GB gücünde olan bu saldırının bir saat sürdüğünü ve Bağlantısız Kullanıcı Veri Paket Programı’nı kullandığını söyledi. Genelde bu tip saldırıların saniyede 4GB’ı aşmadığını da ekledi.

Corero Ağ Güvenliği Raporu’na göre,düşük şiddetli dağıtık hizmet aksatma saldırıları, ağlara yapılan saldırıların hâlâ büyük bır kısmını oluşturuyor.

DDoS’un alanı genişliyor

Rapora göre, ilk çeyrekte dağıtık hizmet aksatma saldırısına uğrayan ülkelerin sayısı 72’yken, bu sayı ikinci çeyrekte 86’ya çıktı. En çok saldırıya uğrayan ülkeler sıralamasında ilk onda Amerika, Çin, Güney Kore, Hong Kong, Birleşik Krallık, Rusya, İtalya, Fransa, Kanada ve Hollanda bulunuyor.

İlgili haber>> DDoS saldırısı, Finlileri soğukta bıraktı

“Bir ülkenin çevrimiçi kaynakları, başka bir ülkede bulunan sunuculardan sağlanabilir. Bu sunucular genellikle Çin, Amerika ve Güney Kore’de bulunur. Bu ülkeler, en çok hedef alınan ülkelerin başında gelir” diyor Kupreev.

Kaspersky Raporu, İtalya’ya yapılan dağıtık hizmet aksatma saldırılarının sayısının on katına çıktığını, Hollanda’ya yapılanların sayısının da bir buçuk kat arttığını söylüyor. Bu durumun, Vietnam ve Danimarka’yı ilk on listesinden çıkardığını da belirtiyor.

Dağıtık Hizmet Aksatma Saldırısı Yapılmadan Fidye İsteniyor

Kupreev, ikinci çeyrekte dağıtık hizmet aksatma saldırılarında bir dönüm noktası yaşandığını iddia ediyor. Siber suçluların dağıtık hizmet aksatma saldırısı yapmamak ya da yapılan saldırıyı durdurmak için büyük şirketlerden fidye istediklerini söylüyor. Kupreev, niyetlerinin ciddi olduğunu göstermek için kısa süreli saldırı bile düzenlemeyen bu saldırganlar, şirketlerin sadece tehdit edildikleri için para ödeyeceğini beklemesinler diyerek durumu açıklıyor.

Kaspersky Lab’in Dağıtık Hizmet Aksatma Saldırısından Korunma Bölümü Başkanı Kirill Ilganaev, “Kapsamlı bir dağıtık hizmet aksatma saldırısı yapacak düzeyde teknik bilgisi ya da yeteneği olmayan herhangi bir dolandırıcı, şantaj yapmak için gösteri saldırısı satın alabilir” diyor.

Saldırı düzenlemeden fidye almak için numara yapan siber suçluların sayısı artsa da Kupreev yakın gelecekte böyle gösterilerin asıl saldırıların yerini almasını beklemediğini belirtiyor.

“Normal saldırıların sayısı her zaman fidye saldırılarının sayısını aşacaktır, çünkü bu saldırıların arkasında haksız rekabet, politik mücadele, “hacktivism”, paravan oluşturma gibi paradan çok farklı nedenler de bulunabiliyor” diyor Kupreev. “Ayrıca, pek çok şirket için çevrimiçi kaynaklara ulaşamamak, fidye olarak istenen para miktarından çok daha büyük bir zarara yol açabiliyor.”

Siber Bülten abone listesine kaydolmak için doldurunuz!

Siber Saldırılar

Fidye yazılımlardan daha büyük bir tehdit: Botnet

Yorum yapın

Yakın zamanda gerçekleşen WannaCry ve Petya gibi küresel fidye yazılımı saldırıları, diğer internet kaynaklı tehditleri gölgede bıraktı. Ancak ESET Güvenlik Uzmanlarına göre, fidye yazılımlarından daha tehlikeli bir tehdit var. O da bulaştığı makinelerin kontrolünü ele alabilen ve geniş ağlar oluşturan botnetler. Fidye yazılımı WannaCry, son verilere göre yaklaşık 350 bin bilgisayarı etkilemişti, botnetler ise ABD polisine göre her yıl yaklaşık 500 milyon bilgisayar etkiliyor.

Botnet, uzaktan yönetilen ve kötü amaçlı yazılım bulaşmış çok sayıda bilgisayarın oluşturduğu ağı tanımlar. Sahibinin bilgisi olmadan uzaktan yönetilebilen bu bilgisayarlara bilişim çevrelerinde zombi makineler de denir. Botnetlerin internette fidye yazılımlarından daha büyük bir tehdit oluşturmasının nedeni, siber suçluların bunlar aracılığı ile neredeyse her görevi yüzde 100’lük başarı oranı ile yürütebilmesidir.

Her tür kötülüğe araç olabilirler

Küresel bilgi güvenliği şirketi ESET’in güvenlik uzmanlarına göre botnetler sadece etkiledikleri bilgisayarların sahibine zarar vermezler, istenmeyen e-posta (spam), dolandırıcılık mesajları ve hatta fidye yazılımları gönderebilirler, DDoS saldırıları düzenleyebilir ve reklam ağlarını aldatabilirler. Bunların hepsi tüm e-posta trafiğinin yüzde 50-70 arasında spam olarak gerçekleşmesine neden olur. Bunun yanında e-posta eklentilerinin neredeyse yüzde 85’i fidye yazılımı içerir.

İlgili haber >> Milyonlarca Android cihaz, artık zombi

Botnetler ayrıca banka hesaplarına sızabilir, sosyal medya, e-posta gibi hesaplara ait kullanıcı adı ve parolaları çalabilir veya en azından sistem kaynaklarını bitcoin madenciliğinde kullanabilirler. Bunun yanında botnetlerin en önemsenmeyen ve fakat en son görevi ise etkiledikleri bilgisayarları şifreleyebilmeleridir.

Botnetlerde son gelişmeler

Botnet mimarileri, tespitlerden kaçınmak ve esneklik sağlamak için geliştiler. Basit istemci-sunucu modelini terk ederek P2P modeline yöneldiler. Bu şekilde botnet’ler hem istemci hem de sunucu olabiliyorlardı hem komut gönderip hem de alabiliyorlar ve bu yöntem ile tek bir sunucuya sahip botnet’in tespit edilmesinden çok daha zor oluyor.

Avalanche örneği

Aralık 2016 gibi yakın bir tarihte Avalanche adında bir botnet çökertildi. Avalanche’ın mimarisi karmaşık ve dayanıklı idi. C&C sunucularının hem adını hem de IP adreslerini sıklıkla değiştiren sözde double fast-flux teknolojisi kullanıyordu. Botneti kapatabilmek için 800 bin web alan adı susturuldu, engellendi veya donduruldu, 220 sunucu kapatıldı ve 5 kişi tutuklandı. Avalanche’ın milyondan fazla kurbanı olduğu sanılıyor. Avalanche fidye yazılımı, kimlik hırsızları ve bankacılık truva atları gibi birçok çeşit zararlı yazılım dağıtabiliyordu.

Hafife alınmaması gereken tehdit: Botnetlerin fidye saldırısı

Avalanche gibi çeşitli botnet saldırıları, botnetlerin fidye saldırılarından daha tehlikeli olduğu iddiasını destekliyor. Bunu şu ölçekle de karşılaştırmak mümkün: Büyük fidye yazılımı salgını WannaCry, yaklaşık 350 bin bilgisayar etkiledi. Amerika Birleşik Devletleri Federal Polisine (FBI) göre ise her yıl yaklaşık 500 milyon bilgisayar, bir botnetin parçasına dönüşüyor.

İlgili haber >> “WannaCry”in arkasında Kuzey Kore mi var?

Öncelikle bulaşma engellenmeli

Tüm bunlar nedeniyle hem bireysel hem de kurumsal kullanıcılar, botnet zararlılarına karşı dikkatli olmak durumunda.Elbette öncelikli hedef, herhangi bir zararlı yazılımın sınırı geçmesini ve kötü niyetli görevlerini yerine getirmesini engellemek olmalıdır. Bu amaca ulaşmak için – duruma göre – güvenlik eğitiminden tutun da uç birim ve ağ güvenlik çözümlerinin uygulanması, yedekleme ve kurtarma çözümlerinin kullanılmasına kadar birçok çeşitli güvenlik önlemi bir arada kullanılmalıdır.

İhtiyaç duyulan çözüm: Botnet koruması

Ayrıca botnetlerden korunma ve bu tür saldırılara kurban gitmeyi önleme konusunda özel bir koruma katmanı konuşlandırılmalıdır. ESET gibi önde gelen üreticiler, ek güvenlik katmanı olarak Botnet Koruması sunuyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Sektörel

Uzmanından uyarı: DDoS saldırılarındaki düşüşe kanmayın!

Yorum yapın

2017’nin ilk üç ayında görülen saldırılar, Kaspersky Lab’ın DDoS saldırılarının geçirmekte olduğu evrim konusunda 2016 yılı sonuçlarına dayanarak yaptığı tahminlerin doğru olduğunu ortaya çıkardı.

Yılın ilk çeyreği aynı zamanda siber suçluların da dinlenmeye ihtiyaç duyduğunu gösteriyor. Karmaşık DDoS saldırılarının popülaritesi ilk çeyrekte artmaya devam etse de, saldırıların sayısında görülen genel bir düşüş ve ülkelere göre dağılımlarındaki değişim dikkatleri çekti.

Yılın ilk çeyreğinde Kaspersky DDoS İstihbaratı sistemi tarafından 72 ülkedeki kaynakları hedef alan DDoS saldırıları kaydedildi. Tespit edilen komuta ve kontrol sunucuları açısından Güney Kore lider olmaya devam etti. Aynı konuda ABD ikinci sırada gelirken, onu ilgili gözlemler başladığından bu yana Çin’i ilk defa ilk üçten atan Hollanda takip etti.

2017’nin ilk üç ayında işletim sistemine göre dağılım da değişim gösterdi. Bir önceki çeyrekte popüler olan Linux tabanlı IoT botnetleri, yerlerini yılın ilk çeyreğinde payları yüzde 25’ten yüzde 60’a çıkan Windows tabanlı botnetlere bıraktı.

TCP, UDP ve ICMP saldırılarının sayısı kayda değer miktarda artarken, 2016’nın son çeyreğinde yüzde 75 paya sahip SYN DDoS ve HTTP saldırılarının payı, 2017’nin ilk çeyreğinde yüzde 48’e düştü.

İlgili haber >> Büyük risk kapıda: Dünyanın en büyük spam botneti DDoS özelliği kazandı

Raporlanan dönemde bant genişliği yükseltme (amplification) tabanlı tek bir saldırıya bile rastlanmazken, şifreleme tabanlı saldırıların sayısında artış oldu. Bu tespit, geçtiğimiz sene öngörüldüğü gibi, basit ve güçlü DDoS saldırılarından, standart güvenlik araçları kullanan ve tespit edilmesi zor saldırılara doğru bir değişim olduğunu gösteriyor.

Genel olarak bakıldığında ilk çeyreğin nispeten sakin geçtiği görülüyor; en yüksek miktarda saldırı (994) 18 Şubat’ta gerçekleşti. En uzun süren DDoS saldırısı ise sadece 120 saat sürdü. Bir önceki çeyrekteki en uzun saldırının 292 saat sürdüğü göz önünde bulundurulduğunda bunun kayda değer miktarda az olduğu görülüyor.

Kaspersky DDoS Protection Ürün Başkanı Kirill İlganaev, “Son beş yıldır olduğu gibi bu yılın başında da DDoS saldırılarının sayısında belirgin bir düşüş oldu. Bunun sebebi siber suçluların veya müşterilerinin faaliyetlerine bir süreliğine ara vermesi olabilir. Fakat bu beklenen düşüşe rağmen bu yıl ocak ve mart ayları arasında geçtiğimiz yılın aynı dönemine kıyasla çok daha fazla saldırı tespit ettik. Bu da DDoS saldırılarının genel olarak artmaya devam ettiğini gösteriyor. Dolayısıyla şimdi gardınızı düşürmenin zamanı değil. Aksine, siber suçlular rutin işlerine dönmeden korunma konusunda önleminizi alsanız iyi olur.” uyarısında bulundu.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

Teknik

DDoS saldırıları güçlenerek artıyor fakat önlemler yetersiz

Yorum yapın

Şirketlerin ve devletlerin siber alandaki korkulu rüyası haline gelmiş Dağınık Servis Dışı Bırakma (DDOS) saldırılarının hem sayısının hem de kapasitesinin arttığı açıklandı.

Arbor Networks şirketinin yaptığı araştırmaya göre, 2015 yılının ikinci  çeyreğinde gerçekleşen DDoS saldırılarının yüzde 21’i 1 Gbps ölçeğinde olurken, büyük kısmının 2 ila 10 Gbps arasında yoğunlaştığı görüldü. Bahsedilen dönemde Arbor Networks’ün monitor sistemine göre Gbps başına 196 Gigabit’lik saldırılar yapıldı.
Şirket DDoS araştırmasında açıkladığı bilgileri 330 hizmet sağlayıcının birbirlerinde habersiz şekilde internet trafik bilgilerini paylaştıkları ‘Atlas’ (Threat Level Analysis System) sistemi üzerinden topluyor. Atlas’a yakalanan DDoS saldırılarının daha çok kurumsal siteleri hedef aldığı ifade edildi. Araştırmada ayrıca 2015 haziran ayında 50-100 Gbps aralığındaki saldırılarda büyük bir artış olduğuna da dikkat çekildi.
DDoS tehdidinin artmasına rağmen kurumların yeterince önlem almadığı görülüyor. F5 Networks’un yaptığı araştırmanın sonuçlarına göre DDoS’a özel olarak güvenlik yatırımı yapan kurum sayısı oldukça az. Araştırmaya katılan kurumların yüzde 39’u bir DDoS saldırısına muhatap olduğunu itiraf ederken, güvenlik yatırımlarının daha çok kötücül yazılım, veri kaçağı ve ağ saldırısı üzerine yoğunlaştığı belirtildi. Tehdidin yoğunluğuna karşın tedbirlerin zayıf kalmasının Türkiye’de de geçerli olduğu ifade ediliyor.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

Yeni Nesil Teknolojik Silahlar: DoS/DDoS

1 Yorum

Günümüz teknoloji dünyasının en önemli güvenlik bileşenleri Confidentiality, Integrity ve Availability (CIA) olarak ifade edilen Gizlilik, Doğruluk ve Erişilebilirlik’tir. Gelişmiş tüm kamu ve özel sektör kuruluşları verilerin gizlilik için kriptografi, doğruluğu için hash algoritmaları kullanarak istenilen güvenlik seviyesi yakalanmış sayılabilir. Diğer bileşen olan erişilebilirliği sağlamak ise diğer ikisi kadar kolay değil. Kurumlar veri merkezlerinde birçok güvenlik duvarı, yük dengeleyicileri ve DoS (Denial of Service – Servis Dışı Bırakma) koruma cihazı bulundurmalarına rağmen hala istenilen seviye yakalanabilmiş değildir. Rakam vermek gerekirse;

 

  • DoS/DDoS (Servis Dışı Bırakma / Dağıtık Servis Dışı Bırakma) ataklarının sayısı her yıl yaklaşık ikiye katlanıyor,
  • Saldırıların 2/3’ü 1 Gbps bant genişliğine sahip (çoğu kurumun internet çıkışından daha yüksek),
  • DRDoS saldırılarının genişliği bir ISP’yi bile durdurabilecek 300 Gbps bant genişliğine sahip olabiliyor,
  • Slow Post, ReDoS ve Buffer OverFlow gibi saldırılar büyük bir web sitesini bir ev kullanıcısı tarafından dahi çökertilmesine imkan verebiliyor,
  • 2014 yılında DoS saldırılarının toplam maliyeti milyarlarca dolardan fazla.

 

DoS saldırıları engellenmesi zor olması ve sonuçlarının yıkıcı olasından dolayı çoğu askeri ve istihbarat kurumunun ilgisini çoktan çekmiş durumda.

 

  • 2014 yılında İngiltere istihbarat biriminin bir parçası olan GCHQ, Anonymous ve LulzSec gibi hacker gruplarının iletişim kurmakta kullandığı chat odalarına DDoS saldırı düzenledi.
  • 2008 – 2014 yılları arasında Esad yönetimine bağlı çalışan istihbarat birimleri GSD ve AFID ele geçiremediği elektronik servislere sayısız DoS saldırı düzenledi.
  • 2012 yılında Orta Doğu Ülkelerini hedef alan Flame virüsünün altyapı sistemlerini servis dışı bırakmayı amaçlayan NSA & GCHQ yapımı bir kötücül yazılım olduğu iddia edildi.
  • 2010 yılında ortaya çıkan Stuxnet’in de, İran nüklüeer satrallerindeki Siemens SCADA sistemlere saldırıp santrifüj sistemlerinin çalışmasını aksatmayı başaran ve servis dışı bırakan NSA & MOSSAD ortak yapımı bir kötücül yazılım olduğu iddia edilmişti.

 

Henüz sıcak bir savaş bile yokken yapılan bu saldırıların gerçek bir savaş durumunda bir bölgenin elektiriğinin kesilmesine, suların boşa akıtılmasına, savaş uçaklarının rotasından çıkarılmasına ve kurumların iletişim altyapısının çökertilmesine ulaşması oldukça muhtemel.

 

1900’lü yıllarda yapılan savaşlarda elektrik santralleri hedef alınır, barajlar tahrip edilir ve tren ve kara yolları gibi altyapı sitemleri bombalanırdı. Bu tip saldırılar fiziksel DoS saldırları olarak kabul edilirdi. Günümüzde ise bu saldırılar daha az maliyetle ve daha anonim bir şekilde gerçekleştirilebilmekte. NSA, GCHQ, ASD, BND, CSIS, CSEC, DGSE, FSB, GCSB, MISRI, MSS, NRO, PLA ve RAW gibi birçok istihbarat birimi bu yeni silahı çoktan kullanmaya başladı.

 

DoS/DDoS saldırıları kolay gerçekleştirilebilir olması Anonymous, LulzSec, Telcomix ve Redhack gibi hactivist grupların da ilgisini çekmiş durumda. Yol kapatma eylemlerinin aksine DDoS saldırıları daha kolay ve az maliyetle organize edilebilir. 2011 yılında Anonymous grubu LOIC adı verilen bir yazılımla twitter üzerinden siber saldırı ekibi kurdu ve TİB başta olmak üzere birçok kamu kurumuna DDoS saldırısı düzenledi.

 

BotNet sahibi hacker’lar, yeraltı marketlerinde saatliği 10-100 dolar arasında DoS saldırısı satın alma imkanı sunuyor. Aynı şekilde reklam networklerini de DDoS saldırıları için kullanmak mümkün. Bu yöntemi kullanarak 2013 yılında BlackHat konferansında iki kişi 300 dolar maliyetle Akamai’ye 300 Gbps saldırı düzenlemeyi başarması bu tür saldırılara uygun bir örnek olarak gösterilebilir.

 

Savunulması oldukça zor, kullanımı oldukça kolay ve ucuz olan yeni nesil teknolojik silah DoS/DDoS/DrDoS saldırıları başta istihbarat birimleri olmak üzere hactivistler, siyah şapkalı hacker’lar ve script-kiddie’lerin kullanımına girmiş durumda.