SanayZockt
Kilopat
- Katılım
- 25 Ağustos 2016
- Mesajlar
- 1.817
- Makaleler
- 1
- Çözümler
- 8
Daha fazla
- Cinsiyet
- Erkek
2 hafta önce birisinin sunucularımıza 350Gbit/s gücünde STDHEX DDoS saldırısı yaptıktan sonra merak etmeye başladım botnetin nasıl çalıştığını. Yabancı kaynaklardan ve Discord sunucularından edindiğim bilgiler ile kendime ufak bir botnet ağı kurdum. Tamamen eğitim amaçlıdır, kendi sahip olduğum sunucuma kurdum. Hiç bir hosting botnet ağı kurulmasına izin vermez. Bu konuda kaynakları vermeyeceğim. Bu saldırılardan bıkmış biri olarak daha fazla türemelerini istemiyorum.
Öncelikle botnet için kaynak kodları aramaya başladım. QBot ve Mirai adında 2 adet saf kaynak kodları var. Diğer botnet ağları ise bu botnetlerin varyantları. 4 adet kaynak kodunu inceledikten sonra tek tek denedim. 3 tanesinde backdoor çıktı. Evet yanlış duymadınız backdoor. 2 kere sunucu elimden gitti. Yeniden kurulum yaptım. Sonuncusunda virüs yoktu ve metodları en güçlü olan bu idi.
Botnet ağını kurduktan sonra bot toplamamız gerekiyormuş. Ben nasıl yapılacağını bilmiyorum. 6 gün boyunca araştırdım, videolar izledim ve yabancı forumlarda dolaştım. Sonunda perl ve C dili ile yazılmış bir bruteforce ve payload loader buldum.
Bahsi geçen dosyalar:
Şöyle ki, modeminize dışarıdan erişim varsa her türlü botnet ağına dahil olabiliyormuşsunuz. SSH portu olan 22 portundan zmap ile taramaya başladım. Önümde 16.2 milyon tane ip vardı. Bruteforce programı bu kadar çok ipyi 16 çekirdek ve 32GB ram ile 5 saatte bitirdi.
Ve şimdi bruteforce ile kırılan modemlere exploit atma sırası gelmişti. Botnet ağı olan sunucuma bağlandım ve perl ile yazılan payload loaderi çalıştırdım. Putty ve RAW protokolü ile botnet ağıma bağlandım ve 120 adet zombi vardı. Her biri ortalama 50Mbps saldırı gücü sağlıyor. Sadece 1 günde 6.5 Gbit/s saldırı gücü elde ettim.
Fakat zombiler her geçen saat azalıyordu.
Kalan botlar ve botnet paneli:
Uzun lafın kısası ne kadar bilgisayarınıza antivirüs programı kurarsanız kurun modeminizin telnet ve SSH erişimi dışarıdan açık ise güvende değilsiniz. Çoğu modemin işletim sistemi ubuntu olduğu için kırılması çok kolay. Botnet ağı kullanmayın. Bu saldırılardan yıldık, bittik, eridik tükendik. Her gün hiç yoktan 200Gbit/s saldırı alıyoruz. Biz botnetin nasıl çalıştığını anladıktan sonra gerekli güvenlik önlemlerini almak için verimerkezimizle anlaşacağız.
Bir saldırı ağının bu kadar kolay kurulması ise ayrı bir muamma. Github'ta dolaşan o kadar çok zararlı yazılım varki inanamadım.
Yasal sorumluluk: Bu konuda anlatılanlardan esinlenerek yapılan saldırılardan ben ve Technopat.net sorumlu değildir.
Dipnot: Konu için resimler çekildikten sonra sunucu reinstall yapılmıştır. Botneti ağı tamamen temizlenmiştir. İyi forumlar.
Öncelikle botnet için kaynak kodları aramaya başladım. QBot ve Mirai adında 2 adet saf kaynak kodları var. Diğer botnet ağları ise bu botnetlerin varyantları. 4 adet kaynak kodunu inceledikten sonra tek tek denedim. 3 tanesinde backdoor çıktı. Evet yanlış duymadınız backdoor. 2 kere sunucu elimden gitti. Yeniden kurulum yaptım. Sonuncusunda virüs yoktu ve metodları en güçlü olan bu idi.
Botnet ağını kurduktan sonra bot toplamamız gerekiyormuş. Ben nasıl yapılacağını bilmiyorum. 6 gün boyunca araştırdım, videolar izledim ve yabancı forumlarda dolaştım. Sonunda perl ve C dili ile yazılmış bir bruteforce ve payload loader buldum.
Bahsi geçen dosyalar:
Şöyle ki, modeminize dışarıdan erişim varsa her türlü botnet ağına dahil olabiliyormuşsunuz. SSH portu olan 22 portundan zmap ile taramaya başladım. Önümde 16.2 milyon tane ip vardı. Bruteforce programı bu kadar çok ipyi 16 çekirdek ve 32GB ram ile 5 saatte bitirdi.
Ve şimdi bruteforce ile kırılan modemlere exploit atma sırası gelmişti. Botnet ağı olan sunucuma bağlandım ve perl ile yazılan payload loaderi çalıştırdım. Putty ve RAW protokolü ile botnet ağıma bağlandım ve 120 adet zombi vardı. Her biri ortalama 50Mbps saldırı gücü sağlıyor. Sadece 1 günde 6.5 Gbit/s saldırı gücü elde ettim.
Fakat zombiler her geçen saat azalıyordu.
Kalan botlar ve botnet paneli:
Uzun lafın kısası ne kadar bilgisayarınıza antivirüs programı kurarsanız kurun modeminizin telnet ve SSH erişimi dışarıdan açık ise güvende değilsiniz. Çoğu modemin işletim sistemi ubuntu olduğu için kırılması çok kolay. Botnet ağı kullanmayın. Bu saldırılardan yıldık, bittik, eridik tükendik. Her gün hiç yoktan 200Gbit/s saldırı alıyoruz. Biz botnetin nasıl çalıştığını anladıktan sonra gerekli güvenlik önlemlerini almak için verimerkezimizle anlaşacağız.
Bir saldırı ağının bu kadar kolay kurulması ise ayrı bir muamma. Github'ta dolaşan o kadar çok zararlı yazılım varki inanamadım.
Yasal sorumluluk: Bu konuda anlatılanlardan esinlenerek yapılan saldırılardan ben ve Technopat.net sorumlu değildir.
Dipnot: Konu için resimler çekildikten sonra sunucu reinstall yapılmıştır. Botneti ağı tamamen temizlenmiştir. İyi forumlar.
