BLOKED

Dos Saldırıları

‘Bot’ ağları Windows kulanıyor



Son araştırmalara göre bot ağları, çoğu Windows XP ve 2000 çalıştıran bilgisayarlardan oluşuyor.

Microsoft’un güvenlik konusunda odaklanmasını yenilemesine rağmen, son araştırmalar bot ağlarının büyük bölümünün Windows XP ve 2000 çalıştıran bilgisayarlardan oluştuğunu gösteriyor.

Alman Honeynet Project tarafından gerçekleştirilen çalışmada, ele geçirilen bilgisayarların oluşturduğu ağlardan gelen trafiğin yüzde 80’inden fazlasının, çeşitli Windows sürümleri tarafından kaynak paylaşımı için tanımlanan dört port’u kullandığı ortaya çıkarıldı. Araştırma, bir PC’yi ele geçirmek için kullanılan bazı kodların arkasındaki açık noktaların, Microsoft’un güvenlik bültenlerindeki bilgiler için yapılan arama ile bulunabileceğini de gösterdi.

Honeynet Project araştırmacıları raporda, "Bu port’lardaki çoğu aktivite, açıkça Windows XP (genellikle de Sevice Pack 1 kullanan) kullanan sistemlerden ve ondan sonra da Windows 2000 kullanan sistemlerden kaynaklanıyor. Onları Windows 2003 veya Windows 95/98 sistemleri izliyor” diyorlar.

Microsoft, yasadışı işler için kullanıldığı söylenen bot ağı saldırıları karşısında platformları güvenli hale getirmek için verdiği sözleri tekrarlayarak buna yanıt verdi.

Şirket e-mail ile yayınladığı bir yorumunda, "Kötü amaçlı BT ve veri tehditleri yaratmak, herkesi etkileyen bir suçtur. Bu tip suç aktiviteleri genellikle finansal amaçla yapılıyor ve suçlular genellikle geniş tabanından dolayı, Microsoft platformu ve uygulamalarını hedefliyorlar. Bu, tehditten uzak hiçbir organizasyonun bulunmadığı, endüstriler üzeri ciddi bir sorundur” diyor.

Araştırmada tespit edilen, en çok kullanılan Windows port’ları şunlar: port 445/TCP (dosya paylaşımı için kullanılır); port 139/TCP (dosya paylaşımına bağlanmak için kullanılır); port 137/UDP (diğer bilgisayarlarda bilgi bulmak için kullanılır); ve 135/TCP (uzaktan kod çalıştırmak için kullanılır).

Bot ağları genel olarak, hedef bir bilgisayarın verilerle doldurulduğu DoS (denial-of-service) saldırıları için kullanılır. Bunun yanı sıra, spam yaymak, kötü yazılımları dağıtmak, online araştırmaları yönetmek ve toplu kimlik hırsızlığı için de kullanılır.

2004 Kasım’ı başından 2005 Ocak’ı sonuna kadar araştırmacılar, 99 ayrı ayrı hedefe karşılık, 226 DoS saldırısı gözlediler. Dört aylık dönemde 100 bot ağına baktılar ve izlenen bot ağlarından en azından biri ile ilişkili olan 226.585 ayrı ayrı IP adresi gördüler.