Botnet nedir? — Bilgi Güvenliği Sözlüğü

Kötü Amaçlı Yazılım & Saldırılar

Botnet

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

2016'da Mirai botneti, yüz binlerce güvenlik kamerası ve yönlendiriciyi ele geçirerek Twitter, Netflix ve PayPal gibi devleri saatlerce internetten kopardı — saldırının kaynağı, sahiplerinin haberi bile olmayan sıradan ev cihazlarıydı.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta "Botnet" terimini öğreneceğiz: nedir, nasıl kurulur ve neden hem bireyler hem de kurumlar için ciddi bir tehdittir. Kategori: Kötü Amaçlı Yazılım & Saldırılar.

Anlatım

NEDİR? Botnet (robot + network), bir saldırganın (genellikle "bot herder" veya "botmaster" denir) uzaktan kontrol ettiği, ele geçirilmiş cihazlardan oluşan bir ağdır. Ağdaki her cihaza "bot" veya "zombi" denir. Cihazlar bilgisayar, sunucu, akıllı telefon ya da IoT (kamera, yönlendirici, akıllı TV) olabilir. Cihaz sahibi çoğu zaman cihazının bir botnetin parçası olduğunu fark etmez; cihaz normal çalışmaya devam ederken arka planda saldırgan komutlarını da yerine getirir. NASIL ÇALIŞIR? Bir botnetin yaşam döngüsü tipik olarak şu adımlardan oluşur: 1) Bulaşma: Saldırgan, oltalama e-postası, zararlı ek, açık (zafiyet) istismarı veya zayıf/varsayılan parolalar üzerinden cihaza bot yazılımı (zararlı ajan) yükler. 2) Komuta ve Kontrol bağlantısı (C2 / C&C): Bulaşan cihaz, saldırganın kontrol sunucusuna "buradayım, emir bekliyorum" diye geri bağlanır. Bu iletişim merkezi bir sunucu üzerinden veya merkezi tek nokta olmayan eşler-arası (P2P) yapıyla kurulabilir. 3) Komut dağıtımı: Botmaster tek bir komutla binlerce/milyonlarca botu aynı anda yönetir. 4) Eylem: Bütün botlar koordineli biçimde DDoS saldırısı, spam gönderimi, parola deneme (credential stuffing), kripto-para madenciliği veya veri çalma gibi görevleri yürütür. NEDEN ÖNEMLİ / İŞ YERİNDE Botnetler, tek bir cihazın gücünü binlerce cihazın toplam gücüne çevirdiği için ölçek olarak çok yıkıcıdır. Kurumsal açıdan iki yönlü risk taşır: (a) Şirketinizin sunucu ve hizmetleri bir botnet tarafından hedef alınıp DDoS ile çökertilebilir; (b) Şirketinizin güvensiz cihazları (yamasız sunucular, varsayılan parolalı IoT cihazları) ele geçirilip başkalarına saldıran botnetin parçası hâline gelebilir — bu durum hem itibar hem de yasal sorumluluk yaratır. Botnet kiralama ("booter/stresser" hizmetleri) yer altı pazarında ucuza satıldığı için tehdit yalnızca büyük gruplarla sınırlı değildir. DİKKAT / İYİ UYGULAMA • Tüm cihazlarda varsayılan parolaları değiştirin ve güçlü parola kullanın (özellikle IoT/kameralar). • İşletim sistemi ve firmware yamalarını düzenli uygulayın (yama yönetimi). • Giden (outbound) trafiği izleyin: bilinmeyen sunuculara düzenli C2 bağlantıları botnet bulaşmasının işaretidir. • Ağ segmentasyonu ve güvenlik duvarı ile gereksiz portları kapatın; DDoS koruma servisi kullanın. • Antivirüs/EDR ve SIEM ile anormal davranışı erken tespit edin.

📌 Senaryolar

📌 Örnek 1: Mirai botneti ile DDoS (gerçek olay)
  Açıklama: 2016'da Mirai zararlısı, varsayılan kullanıcı adı/parola ile internete açık IoT cihazlarını (kamera, DVR, yönlendirici) tarayıp ele geçirdi. Yüz binlerce zombi cihaz, Dyn adlı bir DNS sağlayıcısına aynı anda devasa trafik göndererek (DDoS) Twitter, Netflix, Reddit gibi siteleri saatlerce erişilemez yaptı. Ders: zayıf/varsayılan parolalar bir cihazı saldırı silahına çevirir.

📌 Örnek 2: Spam ve oltalama dağıtımı
  Açıklama: Bir saldırgan, oltalama ekleriyle binlerce ofis bilgisayarına bot bulaştırır. Botmaster tek komut verir ve bu cihazlar günde milyonlarca spam/oltalama e-postasını saldırganın kimliğini gizleyerek dağıtır. E-postalar masum çalışanların gerçek hesaplarından geldiği için filtrelemesi ve kaynağın bulunması zorlaşır.

📌 Örnek 3: Kurumsal cihazların farkında olmadan botnete katılması
  Açıklama: Bir şirketin yamasız test sunucusu istismar edilip botnete eklenir. Sunucu gündüz normal işini yaparken gece kripto-para madenciliği ve başka kurumlara parola-deneme (credential stuffing) saldırıları yapar. Güvenlik ekibi, faturalardaki anormal CPU/bant genişliği artışını ve bilinmeyen IP'lere giden düzenli C2 bağlantılarını fark edince olayı tespit eder.

Özet

• Botnet = saldırganın uzaktan yönettiği, ele geçirilmiş cihazlardan (bot/zombi) oluşan ağdır. • Yaşam döngüsü: bulaşma → C2 (komuta-kontrol) bağlantısı → toplu komut → koordineli saldırı (DDoS, spam, madencilik, veri çalma). • Asıl tehlikesi ölçektir: binlerce cihazın gücü tek elde toplanır ve saldırganın kimliği gizlenir. • Korunma: varsayılan parolaları değiştir, yamaları uygula, giden trafiği izle, DDoS koruması ve EDR/SIEM kullan.

✅ Mini-Test (5)

1.Botnetin temel tanımı aşağıdakilerden hangisidir?

2.Bir botnetteki bireysel ele geçirilmiş cihaza ne ad verilir?

3.Botnetlerin en yaygın kullanıldığı saldırı türü aşağıdakilerden hangisidir?

4.Cihaz sahibi, cihazının bir botnetin parçası olduğunu çoğu zaman fark etmeden cihazını normal kullanmaya devam edebilir.

5.Aşağıdakilerden hangisi botnete karşı en etkili korunma önlemlerinden biri DEĞİLDİR?

← Tüm sözlük terimleri · Farkındalık eğitimi