C&C SUNUCULARI NASIL BULAŞIR?

CALL BACK NEDİR?

Saldırgan, bir güvenlik duvarının arkasında bulunabilecek bir bilgisayara bulaşarak başlar.

Yani saldırgan antivürüsün açık olmadığı güvenlik durvarının etkin olmadığı kurban bilgisayarlarını seçer.

Bu, birkaç yolla elde edilebilir:

• Şüphelenmeyen bir çalışana kötü bir web sitesine yönlendirilecek olan bir eposta yollayarak Phising saldırısı düzenlenebilir

• Tarayıcı eklentilerindeki güvenlik açıklarından. Mesela Google marketten değil de geliştirici modundan kurduğumuz eklentiler olabilir

• Crackli uygulamalar yani ücretsiz denilen ama aslında ücretli olan kötü amaçlı uygulamaları indirerek.

• Harici cihazlarda, örneğin usb belleklerde bulunan kötü amaçlı kodların bilgisayara usb'inin takılmasıyla kendini başlatan kötü amaçlı yazılımlar ile bulaşabilir.

• Diğer virüslü yazılımlar aracılığıyla.

Botnet C&C Mimarisi

Bir makinenin güvenliği ihlal edildiğinde, saldırgan virüslü bilgisayara veya cihaza yeni bağlantıyı test etmek üzere geri arama için ping atar. Etkilenen bilgisayar daha sonra saldırganın c2 sunucusundan komutları yürütür ve ek yazılımlar yükleyebilir. Saldırgan artık kurbanın bilgisayarının tam kontrolüne sahiptir ve herhangi bir kodu çalıştırabilir.

Kötü amaçlı kod genellikle daha fazla bilgisayara yayılır ve bir botnet - virüslü makinelerden oluşan bir ağ oluşturur. Bu şekilde, bir şirketin ağına erişim yetkisi olmayan bir saldırgan, o ağın tam denetimini elde edebilir.

Call Back nedir?

C&C Call Back dediğimiz olayı basitçe ifade etmek gerekirse, gizli bir iletişimdir.

Virüs bulaşmış bir kurbanın bilgisayardan saldırganın bilgisayarına komut ve kontrol (c2) sunucusu ve bilgisayar uzlaşmasının en güvenilir göstergeleridir.

İlk geri arama genellikle bir bilgisayar güvenlik açığı ortaya çıkar çıkmaz ortaya çıkar.

C&C Call Back sayesinde ilk durumda alınan bilgiler

İlk durumda, bir geri aramanın, internet protokolü (IP) adresi, bilgisayar adı, işletim sistemi, kullanıcı adı, şifre, kullanıcı kimliği, ülke konumu, güvenlik yazılımı gibi yeni tehlikeye atılan sistem hakkında temel teknik bilgileri içermesi muhtemeldir.

Call back genellikle http (web verileri) paketleri gibi normal iletişim akışları içinde gizlenir. Bu paketlere hemen hemen her zaman güvenlik duvarları aracılığıyla izin verilir, çünkü bunların kullanıcı tarafından başlatılması gerekir.