HEDEFE YÖNELİK TOPLU DAĞITIMLI MAİL BOMBALAMA:Teorik
DoS(Denial of Service) atağı
İçindekiler:
1.Giriş
2.Yöntem
3.Atak yönü
4.Hayali zaman grafiği
5.Etkileri
6.Sonuç
1.Giriş
Mail Bombalama belki en eski ve lamerlere özgü bir yöntem olmakla birlikte ,aynı zaman da etkisiz ve amatörce kullanılan bir saldırı yöntemidir.Birisinin mail hesabına bu şekilde yüzlerce alakasız maillerin gelmesi cansıkıntısı ve zaman kaybına neden oluyordu.
Teorinin amacı çok basitdi,belli bir zaman diliminde hedefin mail hesabının gelen mailler kutusuna sıradan ve alakasız mailler göndererek dolmasını ve taşmasını sağlamak.
Pratikte özel olarak tasarlanmış programlarla çok kısa sürede 1000’lerle bu şekilde maili göndermek oluyor.
.İnternetin akademik çevreden çıkıp genel ve ticari kullanıma girdikçe bu tür artan spam ve çöp maillere karşı Anti–Spam programları çıktı.Bu tür programlar aşagıdaki yöntemlerle etkili bir şekilde Mail bombalarını durdurabiliyor:
a)Ayın IP’den gelen çok fazla sayıda mail varsa o IP’yi bloklayarak.
b)Emaillerin içeriklerini ve başlıklarını programın veritabanındakı ki spam bilgileriyle karşılaştırarak filtrelemek.
c)Bilinen spam IP lerinin bloklayarak.
Peki gönderilen maillerin kaynak IP’leri ve içeriklerini değiştirerek bu saldırıyı gerçekleştirirsek ne kadar etkili olabiliriz?
Eger gerçekten mail bombanın etkisini artıra bilirsek normal saldırı neden olduğu sanal hasardan çok direk olarak Denial of Service benzeri bir etki yapılabilir.
2.Yöntem
İlk amaç yeterli sayıda problemsiz proxy bulmaktır.Bu fazla zor olmayacak.Bu iş için çevirimiçi dolaşıp hatta olan proxy listelerini oluşturan üçüncü parti bir yazılım bize yeterli olacaktır.
İkincisi bu yöntemi uygun bir hedef üzerinde denmek.Bunun için White Mail antispam ile korunan bir mail hesabı olabilir.Denediğimiz zaman White Mailin bu tür kütlevi dağıtımlı mail bombalarına karşı zayıf kaldığını görüyoruz.Bu normaldir çünkü şimdiki antispamlarin hiç birisi bu tür ataklara karşı düşünülerek dizayn edilmemiştir.Bu tür multithreaded özelliğe sahip atağa karşı koymak çok güçtür.Başlık ve İçeriği mantıklı ,şüphe uyandırmayacak şekilde ve rastgele değiştirerek kurbanın buna karşı koymasını daha da güçleştirebiliriz.
Örnek:
Subject: Cheers
Content:
Thanks for letting this mail
arrive. Great help to me!
Örnekteki gibi bir içerik ve başlık antispam yazılımını bu mesajı filtrelemesinin karşısını alacaktır. Bununla birlikte saldırının daha etkili olması için maile pdf türü büyük boyutda dosyalarda göndermek olur.Antispam araçları pdf ve çalıştırılabilir olmayan dosya türlerini genelde zararlı olamayacağı için filtrelemez.
3.Atak yönü
Bu mail bombalama yöntemiyle atak yapmak isteyen biri daha etkili olabilmesi için saldıracağı hedef networke bağlı mail adreslerin çoğunu bulması şartdır.Bunun için o network’ün dahili mail listini bilmek çok önemlidir.
Bir çok network’te mail listeleri internetden mesaj kabulüne açık oldukları gibi,yalnızca
Lokal intranet’le sınırlandırılmış olanlarıda vardır.Bunu genelde o networkün yöneticisine sosyal mühendislik yöntemlerini uygulayarak öyrenebilirsiniz.
Buradan sonuç olarak şirketlerin %50’nin dağıtımlı saldırılara karşı zayıf kaldığını çıkarabiliriz.
Sıradaki amaç ise bombalanması gereken bu email listelerindeki adresleri öyrenmektir.
Bunun için birkaç yöntem var.Bunlardan birisi deneme yanılma yöntemi ile,yani accounts@target, marketing@target ve s. gibi mail adreslerine mail göndererek o adresin mevcut olup olmadığını gelecek hata mesajlarından anlayarak öğrenilebilir.Diğer bir yöntem ise yine sosyal mühendislik yöntemlerini uygulamaktır.
Diger bir yöntem ise o networke hackerlik yöntemleri siteye girerek o listeyi bulmaya çalışmaktır.
Brute Force ‘da kullanılabilecek bir yöntemdir.Bu yöntemin rastgele isimlerden oluşturulan tüm email hesaplarına mail bombalamanın uygulanmasıdır.Fakat bu yöntem çok etkili olmaz ,çünkü rastgele oluşturulan mail hesapların doğru olması fazla olası değildir.
Daha fazla zarar vermek gönderilecek maillere bazı dosyalar eklenebilir.Bu dosyalar
önceden belirtdiğimiz gibi pdf ve doc uzantılı değilde exploit içeren jpg uzantılı dosyalar,ve ya daha tanınmamış virüslerin ve trojanların olması daha uygun olur.Bu durumda karşı taraftaki anti spam aracı bir çok mail’in geçmesine izin vermese bile karşı tarafa geçecek bir kaç maildeki exploit veya virüs bilgisayarı ele geçirmemize ve zarar vermemize yarayacaktır.
4.Hayali zaman grafiği
Bir şirkete bu mail bomblaması yaptığımızı tasavvur edelim.Bunlardan çoğunun yerine ulaştığını kabul edelim. Ve her maille birlikte eklenmiş rastgele normal pdf uzantılı veya exploitli jpg’lerin olduğunu varsayalım.
İşe gelen bir çok personel mail hesaplarının rastgele maillerle dolu olduğunu görecektir.
Ve bir çok personelden de kesinlikle güvenlik bilgisi az olanlar olacaktır ki bu maillerin bazılarını açarak bakmaya çalışacaktır.Ve böylece içine zararlı kodlar koyduğumuz exploitlerden bir kısmı çalışacak veya isteğimiz doğrultuda bu lokal intraneti ele geçirmiş olacağız.Maillere ne kadar çok tuzak(farklı türde bilnmeyen virüs,trojan,exploit vs.) eklersek o kadar fazla etkili olabiliriz.
5.Etkileri
Hedef networkte yapabildiğimiz 5 etki :
1)Personeler kendi gerçek maillerini bir sürü çöp mail arasında bulmaya zorlanacaklar.Bu çöp mailleri silerken bilmeden gerçek mailleri de silebilirler.
2)IT departmanı bununla baş etmekte zorlanacaklar.Bu sorunla uğraşan IT departmanı normal güvenlik seviyesini tutmakta zorlanacak ve network başka tehlikelere(örnegin sıradan DoS atakları) açık hale gelecek.
3)Veri kaybı oluşacak.
4)Her tür amaç için kullanılabilecek exploit,virüs,trojanların networke yerleşecek.Örneğin bu trojanlarla networkte personelin banka hesap ve şifrelerini,şirketle ilgili her türlü bilgiyi ele geçirebiliriz.
5)Network sistemininde oluşan hasar ve bunun temizlenmesi büyük masraf teşkil edecektir.
Bu atak yönteminin en güzel yanı otomatikman program vasıtasıyla çalışmasıdır.Yani aynı hedefe yeni bir atağı hiç bir engelle karşılaşmadan yeniden gerçekleştire bilirsiniz.
6.Sonuç
Şimdilik bu yönteme karşı koyacak bir sistem mevcut değil.Bu sistem daha teoride mevcutsada gerçekleşmesi muhtemeldir.Bu tür saldırıların hiç bir tanesi daha gerçekleşmeden bu tür atağa karşı koruyacak sistemin geliştirilmesi çok önemlidir.Böyle bir atağın gerçek hale gelmesi bir çok kişiyi ve şirketleri mağdur edebilir.