Çok fonksiyonlu bot’lar giderek daha da yaygınlaşıyor

Kaspersky Lab araştırmacıları, 2018’in ilk yarısındaki botnet faaliyetlerine ilişkin bir rapor yayınladı. Raporda, 150 zararlı yazılım ailesi ve bunların 60.000 adet botnet ile dünya geneline yayılan modları analiz edildi. Araştırmada ortaya çıkan en dikkat çekici bulgu, belirli amaçlar yerine hemen her görevi yerine getirebilmeleri için tasarlanan çok fonksiyonlu zararlı yazılımlara talebin tüm dünyada artması oldu.

Suçlular zararlı yazılımları yaymak, DDoS ve spam saldırıları düzenlemek için botnet’lerden yani yasa dışı faaliyetlerde kullanılmak üzere ele geçirilen cihazlardan yararlanıyor. Araştırmacılar gelecek saldırıları önlemek veya yeni bir tür bankacılık Truva Atı yakalamak için Kaspersky Lab’in Botnet Takip teknolojisini kullanarak botnet faaliyetlerini sürekli takip izliyor.  Ele geçirilmiş bir cihaz gibi davranan teknoloji, zararlı yazılımları yaymak için botnet kullanan tehdit gruplarından gelen komutları yakalıyor. Bu da kullanıcıların çok değerli zararlı örnekler ve istatistikler elde etmesini sağlıyor.

Yapılan son araştırmanın sonuçlarına göre, 2018’in ilk yarısında botnet’ler ile dağıtılan tek amaçlı zararlı yazılımların oranı 2017’nin ikinci yarısına kıyasla önemli ölçüde azaldı. Örneğin, 2017’nin 2. yarısında Kaspersky Lab tarafından izlenen botnet’lerin dağıttığı tüm tekil zararlı dosyaların %22,46’sı bankacılıkla ilgili Truva Atlarıyıdı. 2018’in ilk yarısında ise bankacılıkla ilgili zararlı yazılımların oranı 9,21 puan azalarak, Botnet Takip servisinin gördüğü tüm zararlı dosyaların %13,25’ine geriledi.

Botnet’ler ile dağıtılan bir diğer tek amaçlı zararlı yazılım olan spam bot’ları da 2017’nin 2. yarısında %18,93 orana sahipken, 2018’in 1. yarısında %12,23’e düştü. Bir diğer tek amaçlı zararlı yazılım olan DDoS bot’larının oranı ise 2018’in 1. yarısında %1,99 oldu. Bu yazılımların 2017’nin 2. yarısındaki oranı %2,66’ydı.

En göze çarpan artış ise çok yönlü bir yapıya sahip olan Uzaktan Erişim Araçları (Remote Access Tools – RAT) grubunda yaşandı. Bu zararlı yazılımlar, bulaştıkları bilgisayardan yararlanmak için neredeyse sınırsız olanak sunuyor. 2017’nin 1. yarısından bu yana, botnet’lerle dağıtılan zararlı yazılımlar arasında RAT dosyalarının oranı yaklaşık iki katına çıktı. 2017’nin ilk yarısında %6,55 olan oran son dönemde %12,22’ye ulaştı. En yaygın RAT’lar arasında Njrat, DarkComet ve Nanocore ilk sıraları aldı. Bu üç arka kapı, basit yapıları nedeniyle amatör tehdit grupları tarafından bile değiştirilebiliyor. Bu da zararlı yazılımın belirli bir bölgede dağıtılmaya uygun hale getirilebilmesini sağlıyor.

Çeşitli amaçlar için kullanılan Truva Atları, RAT’lar kadar ilerleme kaydetmese de diğer tek amaçlı zararlı yazılımların aksine, daha yüksek oranda tespit edildi. 2017’nin 2. yarısında %32,89 olan tespit edilen dosya oranı 2018’in ilk yarısında %34,25’e yükseldi. Aynı arka kapılar gibi, bir Truva Atı ailesi de birden fazla komut ve kontrol (C&C) sunucusu tarafından değiştirilip kontrol edilebiliyor. Her bir sunucu, siber casusluk veya kimlik bilgisi çalma gibi farklı amaçlar güdebiliyor.