İyi günler arkadaşlar. Uzun bir aradan sonra yeni blog yayınımızla karşınızdayım. Geçtiğimiz hafta aktif c&c sunucları/hostları keşfi çalışması yaparken shodan ile bu sunucuların keşfinin yapılabildiğini öğrendim. Yöntemi ise çok basit
Bildiğiniz üzere shodan (https://www.shodan.io), online olarak , filtreler kullanarak ağ tabanlı sistem (sunucu,router,switch) arama motorudur. Arama motoru demişken , bildiğimiz populer (yahoo,google,bing vb) arama motorlarından biraz farklı çalışır.
Shodan, tarama yaptığı ip/port bilgilerini kullanarak dönen yanıtlara göre çalışan servisleri tespit eder. örneğin dünyada aktif ftp sunucularını , bu sunucuların en fazla hangi ülkede barındığını,apache çalışan sunucuları ya da daha farklı örneklersek hangi omurga da cisco router var ? vb. soruların yanıtını alabileceğimiz arama motorudur . Aşağıdaki resimde cisco router/switch kullanım bilgileri yer almaktadır. yaklaşık 10 Milyon cihazdan %80 'i ABD'de yer almaktadır. Harida üzerinde Türkiye ye geldiğimizde bu sayı 12073.
Neyse fazla uzatmadan gelelim asıl konumuza. Belirttiğim gibi son yılların dijital veba'sı botnet saldırılarıdır. Botnet'e dahil olan cihazlarında komuta edildiği sunucular vardır. bunlar c&c sunucuları olarak bilinir . Biz bu sunucu host ip bilgilerini öğrenebilirsek , networkumuzde zombi cihaz olsa bile , en azından bunların c&c sunucuları ile haberleşmesini engelleyebilir, uzaktan komuta edilmesinin önüne geçebiliriz . Şimdi shodan ile c&c host tespitini yapalım . Bunun için shodan arama barına , category:malware yazmamız yeterli . Listede Türkiye 50 hostla 5. sırada yer almaktadır "Turkey " linki tıklarsak , c&c host ip'lerini görebiliriz.
Çıkan sonucu yorumlarsak ;
1- 5.721 adet tanımlı c&c hostu tespit edildi
2- C&C hostlarının en fazla olduğu ülke ABD.
3- En fazla kullanılan Remote Acces Trojanı (RAT) "Ghost RAT Trojan"
bol botnet'siz günler
Yorumlar
Yorum Gönder