{"id":10767,"date":"2022-06-20T13:01:54","date_gmt":"2022-06-20T10:01:54","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=10767"},"modified":"2022-06-20T13:01:54","modified_gmt":"2022-06-20T10:01:54","slug":"router-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/router-malware\/10767\/","title":{"rendered":"Y\u00f6nlendirici (Router) k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n\u0131n gizli tehditleri"},"content":{"rendered":"

Bilgisayar\u0131n\u0131zda her hafta vir\u00fcs kontrol\u00fc yap\u0131yorsunuz, sistemleri ve programlar\u0131 zaman\u0131nda g\u00fcncelliyorsunuz<\/a>, g\u00fc\u00e7l\u00fc parolalar kullan\u0131yorsunuz ve internette genel olarak dikkatli davran\u0131yorsunuz, ancak yine de internetiniz yava\u015f ve baz\u0131 web siteleri eri\u015fiminizi ret mi ediyor? Bu durum bilgisayar\u0131n\u0131zda olmasa da y\u00f6nlendiricinizdeki bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mdan kaynaklan\u0131yor olabilir.<\/p>\n

Neden y\u00f6nlendiriciler?<\/h2>\n

Siber su\u00e7lular y\u00f6nlendiricileri genellikle iki nedenle hedefler. Birincisi, t\u00fcm a\u011f trafi\u011fi bu cihazlardan ge\u00e7ti\u011fi i\u00e7in; ikincisi, bir y\u00f6nlendiriciyi normal bir antivir\u00fcsle tarayamayaca\u011f\u0131n\u0131z i\u00e7in. Bu y\u00fczden y\u00f6nlendiriciye yerle\u015fen bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n sald\u0131r\u0131 i\u00e7in bol bol f\u0131rsat\u0131 vard\u0131r, tespit edilip silinme olas\u0131l\u0131\u011f\u0131 ise \u00e7ok d\u00fc\u015f\u00fckt\u00fcr. \u015eimdi siber su\u00e7lular\u0131n vir\u00fcs bula\u015fm\u0131\u015f bir y\u00f6nlendiriciyle neler yapabilece\u011fine bir bakal\u0131m.<\/p>\n

Botnet olu\u015fturmak<\/h2>\n

En yayg\u0131n g\u00f6r\u00fclen durumlardan biri, vir\u00fcsl\u00fc y\u00f6nlendiricinin bir botnet\u2019e, yani bir DDoS sald\u0131r\u0131s\u0131n\u0131n par\u00e7as\u0131 olarak belirli bir web sitesine ya da \u00e7evrimi\u00e7i hizmete devasa say\u0131larda istek g\u00f6nderen bir cihazlar a\u011f\u0131na kat\u0131lmas\u0131d\u0131r. Sald\u0131rganlar\u0131n amac\u0131, hedeflenen hizmeti a\u015f\u0131r\u0131 y\u00fckleyerek yava\u015flatmak ve sonunda \u00e7\u00f6kertmektir.<\/p>\n

Bu s\u0131rada y\u00f6nlendiricileri korsan olarak kullan\u0131lan s\u0131radan kullan\u0131c\u0131lar\u0131n interneti yava\u015flar, \u00e7\u00fcnk\u00fc y\u00f6nlendiricileri k\u00f6t\u00fc ama\u00e7l\u0131 istekler g\u00f6ndermekle me\u015fguld\u00fcr ve di\u011fer trafi\u011fi ancak duraksad\u0131klar\u0131 aralarda i\u015fleyebilirler.<\/p>\n

Verilerimize g\u00f6re 2021\u2019de y\u00f6nlendiriciler en \u00e7ok iki k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m ailesinin sald\u0131r\u0131s\u0131na u\u011fram\u0131\u015f: Mirai ve M\u0113ris. Y\u00f6nlendiricilere y\u00f6nelik sald\u0131r\u0131lar\u0131n neredeyse yar\u0131s\u0131ndan sorumlu olan Mirai a\u00e7\u0131k ara farkla \u00f6nde.<\/p>\n

Mirai<\/h3>\n

Japonca\u2019da \u201cgelecek\u201d anlam\u0131n\u0131 ta\u015f\u0131yan ismi kula\u011fa ho\u015f gelen bu me\u015fhur k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m ailesi 2016\u2019dan bu yana biliniyor. Y\u00f6nlendiricilerin yan\u0131 s\u0131ra IP kameralara, ak\u0131ll\u0131 televizyonlara ve kablosuz kumanda ya da dijital reklam panolar\u0131 gibi kurumsal cihazlar da dahil pek \u00e7ok IoT cihaz\u0131na bula\u015fabiliyor. \u0130lk ba\u015fta Minecraft sunucular\u0131na b\u00fcy\u00fck \u00f6l\u00e7ekli DDoS sald\u0131r\u0131lar\u0131 d\u00fczenlemek i\u00e7in yarat\u0131lan Mirai, sonradan ba\u015fka servislere de yay\u0131ld\u0131. K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n kaynak kodu uzun s\u00fcredir \u00e7evrimi\u00e7i ortamlara s\u0131zm\u0131\u015f halde oldu\u011fundan pek \u00e7ok yeni s\u00fcr\u00fcm\u00fcn de temelini olu\u015fturuyor.<\/p>\n

M\u0113ris<\/h3>\n

M\u0113ris\u2019in Letonca\u2019da \u201csalg\u0131n\u201d anlam\u0131na gelmesi bo\u015funa de\u011fil. Ba\u015fta MikroTik y\u00f6nlendiriciler olmak \u00fczere halihaz\u0131rda binlerce y\u00fcksek performansl\u0131 cihaz\u0131 etkilemi\u015f ve bunlar\u0131 DDoS sald\u0131r\u0131lar\u0131na y\u00f6nelik bir a\u011fa ba\u011flam\u0131\u015f durumda. \u00d6rne\u011fin, 20021\u2019de ABD\u2019li bir finans \u015firketine y\u00f6nelik sald\u0131r\u0131<\/a> s\u0131ras\u0131nda, M\u0113ris bula\u015fm\u0131\u015f cihazlar\u0131n olu\u015fturu\u011fu a\u011fdan gelen istek say\u0131s\u0131 saniyede 17,2 milyona ula\u015fm\u0131\u015ft\u0131. Botnet birka\u00e7 ay sonra saniyede rekor k\u0131ran 21,8 milyon istekle bir\u00e7ok Rus finans ve BT \u015firketine<\/a> sald\u0131rd\u0131.<\/p>\n

Veri \u00e7almak<\/h2>\n

Y\u00f6nlendiriciye bula\u015fan baz\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar, verilerinizi \u00e7almak gibi daha b\u00fcy\u00fck zararlar da verebilir. \u0130nternette bir\u00e7ok \u00f6nemli bilgi g\u00f6nderir ve al\u0131rs\u0131n\u0131z: \u00c7evrimi\u00e7i ma\u011fazalarda \u00f6deme bilgileri, sosyal a\u011flarda kimlik bilgileri, e-posta ile i\u015f belgeleri vb. T\u00fcm bu bilgiler, geri kalan a\u011f trafi\u011finizin tamam\u0131 ile birlikte ka\u00e7\u0131n\u0131lmaz olarak y\u00f6nlendiriciden ge\u00e7er. Bir sald\u0131r\u0131 s\u0131ras\u0131nda k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m bu verilere m\u00fcdahale edebilir ve verileriniz do\u011frudan siber su\u00e7lular\u0131n eline d\u00fc\u015febilir.<\/p>\n

VPNFilter<\/a> bu t\u00fcr bir veri \u00e7alma k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131. Y\u00f6nlendiricilere ve NAS sunucular\u0131na bula\u015farak bilgi toplama ve y\u00f6nlendiriciyi kontrol etme ya da devre d\u0131\u015f\u0131 b\u0131rakma becerisi kazan\u0131yor.<\/p>\n

Web sitesi aldatmacas\u0131<\/h2>\n

Y\u00f6nlendiricinizdeki k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar sizi girmek istedi\u011finiz siteler yerine reklam i\u00e7eren sayfalara ve k\u00f6t\u00fc ama\u00e7l\u0131 sitelere y\u00f6nlendirebilir. Siz (hatta taray\u0131c\u0131n\u0131z bile) me\u015fru bir web sitesini ziyaret etti\u011finizi d\u00fc\u015f\u00fcn\u00fcrken asl\u0131nda siber doland\u0131r\u0131c\u0131lar\u0131n eline d\u00fc\u015fm\u00fc\u015f olursunuz.<\/p>\n

Bu oyunun i\u015fleyi\u015f bi\u00e7imi \u015f\u00f6yle: Adres \u00e7ubu\u011funa bir sitenin URL\u2019ini yazd\u0131\u011f\u0131n\u0131zda (\u00f6rne\u011fin google.com), bilgisayar\u0131n\u0131z ya da ak\u0131ll\u0131 telefonunuz kay\u0131tl\u0131 t\u00fcm IP adreslerinin ve kar\u015f\u0131l\u0131k geldikleri URL\u2019lerin depoland\u0131\u011f\u0131 \u00f6zel bir DNS sunucusuna bir istek g\u00f6nderir. Y\u00f6nlendiricide vir\u00fcs varsa y\u00f6nlendirici, \u201cgoogle.com\u201d sorgusuna kar\u015f\u0131l\u0131k gelen iste\u011fi me\u015fru bir DNS sunucusu yerine tamamen farkl\u0131 bir sitenin (\u00f6rne\u011fin bir kimlik av\u0131 sitesinin<\/a>) IP adresine g\u00f6nderebilir.<\/p>\n

Switcher Truva At\u0131 da y\u00f6nlendirici ayarlar\u0131na s\u0131z\u0131p k\u00f6t\u00fc ama\u00e7l\u0131 bir DNS sunucusunu varsay\u0131lan olarak belirleyerek tam olarak bunu yap\u0131yordu. Do\u011fal olarak, sahte sayfaya girilen t\u00fcm veriler sald\u0131rganlara s\u0131z\u0131yordu.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar y\u00f6nlendiricilere nas\u0131l giriyor?<\/h2>\n

Bir y\u00f6nlendiriciye k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m yerle\u015ftirmenin iki ana yolu var: Y\u00f6netici parolas\u0131n\u0131 tahmin etmek veya cihazdaki bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131 k\u00f6t\u00fcye kullanmak.<\/p>\n

Parola tahmin etme<\/h3>\n

T\u00fcm ayn\u0131 model y\u00f6nlendiriciler genelde fabrika ayar\u0131 olarak ayn\u0131 y\u00f6netici parolas\u0131na sahiptir. Bunu a\u011f g\u00fcvenlik parolas\u0131yla (Wi-Fi a\u011f\u0131na ba\u011flanmak i\u00e7in girdi\u011finiz karakter dizisiyle) kar\u0131\u015ft\u0131rmamak gerekir; y\u00f6netici parolas\u0131 y\u00f6nlendirici ayarlar\u0131 men\u00fcs\u00fcne girmek i\u00e7in kullan\u0131l\u0131r. Kullan\u0131c\u0131 bilmeden fabrika ayarlar\u0131n\u0131 aynen b\u0131rakt\u0131ysa sald\u0131rganlar, \u00f6zellikle de y\u00f6nlendiricinin markas\u0131n\u0131 biliyorlarsa, kolayl\u0131kla parolay\u0131 tahmin ederek y\u00f6nlendiriciye vir\u00fcs bula\u015ft\u0131rabilirler.<\/p>\n

\u00d6te yandan son zamanlarda \u00fcreticiler g\u00fcvenli\u011fi daha fazla ciddiye alarak her cihaza benzersiz bir rastgele parola vermeye ba\u015flad\u0131, bu da bu y\u00f6ntemin etkisini azaltt\u0131. Fakat daha eski modellerin parolas\u0131n\u0131 tahmin etmek hala \u00e7ocuk oyunca\u011f\u0131.<\/p>\n

G\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 k\u00f6t\u00fcye kullanma<\/h3>\n

Y\u00f6nlendirici g\u00fcvenlik a\u00e7\u0131klar\u0131, internete a\u00e7\u0131lan kap\u0131n\u0131zdan her t\u00fcrl\u00fc tehdidin elini kolunu sallayarak ev veya kurumsal a\u011f\u0131n\u0131za girebilece\u011fi deliklerdir. Bu tehditler bazen de tespit edilme olas\u0131l\u0131\u011f\u0131n\u0131n daha d\u00fc\u015f\u00fck oldu\u011fu y\u00f6nlendiricide kalmay\u0131 tercih eder. Yukar\u0131da bahsetti\u011fimiz M\u0113ris botnet, MikroTik y\u00f6nlendiricilerdeki yamalanmam\u0131\u015f g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 k\u00f6t\u00fcye kullanarak tam olarak bunu yap\u0131yor.<\/p>\n

Ara\u015ft\u0131rmam\u0131za<\/a> g\u00f6re, sadece ge\u00e7ti\u011fimiz iki y\u0131lda y\u00f6nlendiricilerde y\u00fczlerce yeni g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ke\u015ffedildi. Y\u00f6nlendirici sa\u011flay\u0131c\u0131lar\u0131, zay\u0131f noktalar\u0131n g\u00fcvenli\u011fini sa\u011flamak i\u00e7in yamalar ve yeni \u00fcretici yaz\u0131l\u0131m\u0131 s\u00fcr\u00fcmleri (temelde y\u00f6nlendirici i\u015fletim sistemi g\u00fcncellemeleri) yay\u0131nl\u0131yor. Ne yaz\u0131k ki bir \u00e7ok kullan\u0131c\u0131, y\u00f6nlendirici yaz\u0131l\u0131m\u0131n\u0131n da t\u0131pk\u0131 di\u011fer programlar gibi g\u00fcncellenmesi gerekti\u011finin fark\u0131nda de\u011fil.<\/p>\n

A\u011f\u0131n\u0131z\u0131 nas\u0131l korursunuz?<\/h2>\n

Ev veya kurumsal y\u00f6nlendiricinizin g\u00fcvenli\u011fini sa\u011flay\u0131p verilerinizi emniyette tutmak istiyorsan\u0131z:<\/p>\n