Siber suçla mücadelede şirketlerin, botnet'ler gibi siber suçlular tarafından kullanılan dolandırıcılıklara aşina olması mantıklıdır. Bu, diğer şeylerin yanı sıra bir botnet'in ne olduğunu bilmeyi içerir - ve Guardicore bunu bir botnet ansiklopedisi ile başarmak istiyor. Mevcut ve geçmiş botnet kampanyalarının iyi bir şekilde belgelenmesi için bu bilgi veritabanındaki bilgiler sürekli olarak güncellenmelidir.
Botnet - virüs bulaştı, ele geçirildi ve kötüye kullanıldı
Botnet ve botnet, aynı işlem için eşanlamlı olarak kullanılan iki terimdir: Botnet, ele geçirilmiş bilgisayarlardan oluşan bir ağdan oluşur. Bu kaçırılan bilgisayarların sahiplerinin genellikle hiçbir fikri yoktur. İlk olarak, botnet'e entegre edilecek hedef bilgisayara kötü amaçlı yazılım bulaşır. Bu kötü amaçlı yazılım sayesinde, saldırgan sistemin kontrolünü ele geçirebilir - bilgisayar robot benzeri bir şekilde tepki verir, dolayısıyla "bot".
Ele geçirilen bilgisayarlar, sözde komut ve kontrol sunucuları (C&C sunucuları) aracılığıyla kontrol edilebilir. Bot ağları üzerinde kontrol uygulayan saldırganların kendilerine bot çobanları veya ustaları denir. Aslında, botnet'in bir parçası olarak bir makineyi ele geçirmek, zayıf güvenlikli bir makinenin sonucudur: saldırgan yönetici rolünü üstlenebilir. Veriler daha sonra görüntülenebilir, kötüye kullanılabilir ve manipüle edilebilir ve bilgisayar, tüm işlevleri ve hizmetleriyle birlikte suç amaçlı olarak da kötüye kullanılabilir.
Akıllı telefonlar veya tabletler gibi mobil cihazlar da risk altındadır
Böylece, ele geçirilen bilgisayarların kullanıcıları istemeden de olsa bu suç faaliyetlerinin bir parçası haline geliyor. Uzaktan kumanda edilen bilgisayarlar çeşitli faaliyetler için kullanılır: istenmeyen e-posta gönderme, yasa dışı dosyaları depolama, kötü amaçlı yazılım dağıtma ve hatta DDoS saldırıları.
Bu arada, sadece bilgisayarlar değil, internete erişimi olan her ağa bağlı cihaz botnet'lerin parçası olma riski altındadır. Burada özellikle, genellikle yaygın bilgisayarların koruma seviyesinden çok uzak olan IoT cihazlarına atıfta bulunuyoruz. Ancak akıllı telefonlar veya tabletler gibi mobil cihazlar da ele geçirilebilir ve botnet'ler eklenebilir.
Bot ağları: ipuçları ve koruyucu önlemler
Ağa bağlı cihazların muazzam ve sürekli artan yayılması nedeniyle, botnet'lerin yayılma riskinin de artması olasılığı yüksektir. Okuduğunuz gibi, bilgisayar veya akıllı telefon gibi cihazlar, yazılımlardaki güvenlik açıkları veya dikkatsiz veya cahil kullanıcılar tarafından ele geçirilebilir. Sonuç olarak, bu, farkındalık ve teknik önlemlerin bir kombinasyonunun, istemeden bir botnet'in parçası olma olasılığını azalttığı anlamına gelir. Teknik tarafta şu önlemler var:
- Güncellemeler: Güncellemeleri her zaman tüm cihazlarınızda zamanında çalıştırın; İdeal olarak, yazılımda mümkün olduğunca az güvenlik açığı olacak şekilde güncellemelerin yürütülmesini otomatikleştirirsiniz.
- Güvenlik Duvarı: Güvenlik duvarı, bir ağı dışarıdan istenmeyen erişime karşı korur. Güvenlik duvarı genellikle yönlendiriciye entegredir ve ağ çapında koruma sağlar.
AV yazılımı: Her zaman güncel olan antivirüs yazılımı kullanın. İmza ve davranışa dayalı kötü amaçlı yazılım algılama özelliğine sahip profesyonel bir kötü amaçlı yazılımdan koruma çözümü seçin. - İzleme: Herhangi bir bulaşmayı olabildiğince çabuk ortaya çıkarmak için sistemleri ve ağ trafiğini düzenli aralıklarla kontrol edin. Aşağıdakiler gibi şüpheli etkinlikler, cihazın bir botnet'e ait olduğunu gösterebilir:
- Alışılmadık derecede yüksek İnternet ve ağ yükleri
- Giden e-postaların son derece artan hacmi
- Önemli ölçüde geciken e-posta gönderimi, önemli ölçüde geciken bilgi işlem gücü
- Dışarıdan bir veya daha fazla bağlantı noktasının toplu olarak taranması
- Kendi e-posta sunucularından geldiği söylenen spam e-postalarla ilgili üçüncü kişilerden gelen şikayetler
Şirketlerin DDoS saldırılarına ve istenmeyen e-postalara karşı temelden korunmaları mantıklıdır. Ayrıca kullanılan IoT cihazlarına yakından bakmak - hem özel kişiler hem de şirketler için - faydalıdır. İlgili IoT cihazında yerel olarak depolanan kötü amaçlı yazılımdan koruma çözümleri neredeyse yoktur. Bu nedenle, kötü amaçlı yazılımları cihaza ulaşmadan önce tespit edebilen ve aynı zamanda güvenlik açıklarını dışarıdan koruyan bir çözüme ihtiyaç vardır. Burada, örneğin, sanal yama iyi bir fikir olabilir: ilgili uygulamaya kimin ve nasıl erişebileceğini düzenlemek için bir web uygulaması güvenlik duvarı (WAF) kullanılabilir; Böylece korunacak uygulamalar istenmeyen ve/veya kötü amaçlı erişime karşı korunur. Bununla birlikte, temel olarak, yamalama - yani güvenlik açıklarını yamalama - sanal yama uygulamaktan daha iyidir - bir güvenlik açığını yamalamak yerine yetkisiz üçüncü tarafları kilitler.
Bot ağları ansiklopedisi, Guardicore
Guardicore bir İsrail veri merkezi ve bulut güvenlik şirketidir. Kurum içi Botnet Ansiklopedisi, şirketler için tehditleri merkezi ve serbestçe erişilebilen bir yerde özetlemeyi amaçlamaktadır. Bu botnet ansiklopedisi, Guardicore Global Sensors Network'e dayanmaktadır; dünya çapındaki veri merkezlerinde ve bulut ortamlarında dağıtılan bir algılama sensörleri ağı.
Bu sensörler yalnızca saldırı akışlarını tam olarak kaydetmekle kalmaz, aynı zamanda bunları değerlendirir. Tüm bu bilgiler, BT departmanları, güvenlik ekipleri, araştırmacılar veya siber güvenlik topluluğu tarafından tehditleri daha iyi anlamak ve bunlara karşı korunmak için kullanılabilen botnet ansiklopedisine beslenir. İlgili taraflar, ücretsiz metin arama yoluyla botnet'leri bulabilir veya uzlaşma göstergeleri (IoC) aracılığıyla girişlere göz atabilir; örneğin IP adresine, dosya adına veya hizmet adına göre.
PSW-Group.de blogunda bununla ilgili daha fazla bilgi