Yönetici Özeti
DDoS tehdit ortamı 2025'in üçüncü çeyreğinde köklü bir değişime uğradı. Gelişmiş saldırı üretim yetenekleri nedeniyle 'TurboMirai' olarak sınıflandırılan Mirai türevi botnet Aisuru, şimdiye kadar kaydedilen en büyük hacimsel DDoS saldırısını gerçekleştirdi: 69 saniye boyunca sürdürülen 29.7 terabit/saniye, 14.1 milyar paket/saniye ile zirve yaptı. Bu rakamlar teorik öngörüler değil; üretim ortamlarında gözlemlenen, ölçülen ve bertaraf edilen gerçek saldırıları temsil ediyor.
Aisuru'yu özellikle endişe verici kılan şey verimliliği. Geleneksel botnet'ler anlamlı trafik hacimleri üretmek için devasa cihaz sayıları gerektiriyordu. Aisuru'nun TurboMirai mimarisi bu denklemi dramatik biçimde değiştiriyor ve tahmini 1 ila 4 milyon ele geçirilmiş IoT cihazından—eski botnet'lerin karşılaştırılabilir çıktı için ihtiyaç duyacağının bir kesri—terabit ölçekli saldırıları mümkün kılıyor. Bu verimlilik artışı, güvenlik ekiplerinin hesaba katması gereken tehdit modelinde yapısal bir değişimi temsil ediyor.
Bu analiz, Aisuru'nun teknik mimarisini, enfeksiyon vektörlerini ve saldırı metodolojilerini kapsamlı şekilde inceliyor. Daha da önemlisi, bir dakikadan kısa sürede tamamlanan ve manuel müdahaleye zaman bırakmayan saldırılara karşı kurumsal altyapıyı korumak için gereken savunma stratejilerini ortaya koyuyor. Dakikanın altında, çok terabitlik saldırılar çağı başladı.
Temel Bulgular
Şimdiye kadar kaydedilen en büyük DDoS saldırısı, 2025 Q3'te Cloudflare tarafından azaltıldı
Cloudflare Q3 2025 DDoS Tehdit RaporuAisuru botnet'teki küresel olarak tahmini ele geçirilmiş IoT cihazları
NETSCOUT ASERT Tehdit ÖzetiTehdit Genel Bakışı
Aisuru, Ağustos 2024'te nispeten bilinmeyen bir botnet olarak ortaya çıktı ancak hızla güvenlik araştırmacılarının artık 'botnet'lerin zirvesi' olarak adlandırdığı seviyeye evrildi. Özelliklerini anlamak, etkili savunmalar geliştirmek için esastır:
TurboMirai Sınıflandırması
Düğüm başına optimize edilmiş saldırı trafiği üretimi ile geliştirilmiş Mirai varyantı, geleneksel botnet'lerden daha küçük cihaz havuzlarından terabit ölçekli saldırıları mümkün kılıyor.
IoT Tabanlı Altyapı
Ele geçirilmiş tüketici yönlendiricileri (Totolink, Zyxel, D-Link, Linksys), CCTV kameraları, DVR sistemleri ve diğer CPE cihazları saldırı ağını oluşturuyor.
UDP Carpet-Bombing
Eski savunmaları atlatmak için sözde-rastgele paket öznitelikleriyle saniyede ~15.000 hedef porta yönelik imza saldırı yöntemi.
Residential Proxy Entegrasyonu
Hem DDoS platformu hem de residential proxy ağı olarak işlev gören çift kullanımlı yetenek, diğer siber suç faaliyetleri için trafik anonimleştirmesini mümkün kılıyor.
Kiralık DDoS Modeli
Günlük 150$'dan haftalık 600$'a kadar abonelik kademeleri ile ticari kiralık botnet hizmeti, terabit ölçekli saldırı yeteneklerine erişimi demokratikleştiriyor.
Oyun Sektörü Odağı
Birincil hedefler çevrimiçi oyun platformlarını içerir, ancak ticari model herhangi bir sektörü potansiyel hedef haline getirir.
Tehdit istihbaratı kaynaklarına göre, Aisuru operasyonu Snow, Tom ve Forky kod adlı üç kilit figür tarafından yönetilmektedir. Bu grup, daha önce Aisuru ekibini oluşturmadan önce catddos botnet üzerinde işbirliği yapmıştı. Operatörler, masum şirketleri hedef alma ve 'sadece eğlenceli olduğu için' yıkıcı ISP saldırıları başlatma dahil olmak üzere düzensiz davranışları nedeniyle yeraltı topluluklarında tartışmalı bir itibar kazanmıştır. Özellikle, kamu, kolluk kuvvetleri, askeri ve ulusal güvenlik hedeflerine saldırmaktan kaçındıkları bildirilmektedir—bu da operasyonel güvenlik farkındalığını ve olası yargı yetkisi değerlendirmelerini düşündürmektedir.
Enfeksiyon Vektörleri ve Yayılma
Aisuru'nun büyüme seyri, modern botnet'lerin fırsatçı istismar yoluyla nasıl hızla ölçeklendiğini gösteriyor. Botnet operatörleri geleneksel IoT ele geçirme tekniklerini—Telnet kimlik bilgisi kötüye kullanımı ve CVE istismarı—daha sofistike tedarik zinciri saldırılarıyla birleştiriyor. Bu çok yönlü yaklaşım, savunucular enfekte sistemleri tespit edip temizlese bile sürekli cihaz kazanımını sağlıyor.
Nisan 2025 Totolink tedarik zinciri saldırısı bir dönüm noktası oldu. Firmware güncelleme sunucusunu ele geçirerek ve yükseltme URL'sini kötü amaçlı bir yük iletecek şekilde değiştirerek, saldırganlar rutin bir güvenlik güncellemesini enfeksiyon vektörüne dönüştürdü. Standart firmware güncellemesi yapan herhangi bir Totolink yönlendiricisi bilmeden botnet'e katıldı. Haftalar içinde bu tek saldırı vektörü Aisuru'nun altyapısına 100.000'den fazla yeni düğüm ekledi.
Operatörler cihaz havuzlarını aktif güvenlik açığı araştırması ve hızlı istismar entegrasyonu ile sürdürüyor. Yeni CVE'ler açıklandığında—özellikle tüketici yönlendiricileri, IP kameralar ve DVR sistemlerini etkileyenler—Aisuru operatörleri bunları hızla silahlandırıyor. Bu operasyonel tempo, botnet'in altyapısını sürekli yenilediği, temizlenen cihazları yeni ele geçirilenlerle değiştirdiği anlamına geliyor.
İstismar Edilen Güvenlik Açıkları
| CVE / İstismar | Etkilenen Cihazlar | CVSS | Açıklama |
|---|---|---|---|
| CVE-2023-28771 | Zyxel ZyWALL, USG, VPN, ATP Serisi | 9.8 Kritik | Kimliği doğrulanmamış uzaktan kod çalıştırmayı mümkün kılan hatalı hata mesajı işleme |
| CVE-2023-50381 | Realtek Jungle SDK | Yüksek | Çok sayıda yönlendirici OEM'ini etkileyen komut enjeksiyonu güvenlik açığı |
| CVE-2013-1599 | D-Link DCS-3411 | Yüksek | IP kameralarda cmd.cgi aracılığıyla uzaktan kod çalıştırma |
| CVE-2017-5259 | Cambium cnPilot | Yüksek | Kablosuz erişim noktalarında kimlik doğrulama atlama |
| Tedarik Zinciri | Totolink Yönlendiriciler | N/A | Kötü amaçlı yükleri dağıtan ele geçirilmiş firmware güncelleme sunucusu |
| Telnet Kötüye Kullanımı | Birden Fazla Üretici | N/A | Tüketici IoT cihazlarında varsayılan kimlik bilgisi istismarı |
| AMTK Kamera RCE | A-MTK Kameralar | Yüksek | cmd.cgi uç noktası aracılığıyla uzaktan kod çalıştırma |
Ele Geçirilmiş Cihaz Kategorileri
Aisuru botnet düğümleri, birden fazla tüketici ve küçük işletme ağ ekipmanı kategorisini kapsar:
Tüketici Yönlendiricileri
Totolink, T-Mobile, Zyxel, D-Link, Linksys, Nexxt - öncelikle güncel olmayan firmware'e sahip geniş bant erişim yönlendiricileri.
IP Kameralar ve DVR'ler
A-MTK, D-Link DCS, LILIN, UNIMO, TBK, Shenzhen TVT - ağ bağlantılı güvenlik sistemleri.
Diğer CPE Cihazları
Farklı markalı ürünlerde ortak savunmasız kod tabanlarını paylaşan çeşitli OEM firmware varyantları.
Saldırı Metodolojisi
'TurboMirai' sınıflandırması, saldırı verimliliğinde temel bir mimari iyileştirmeyi tanımlıyor. Geleneksel Mirai varyantları cihaz sayısıyla doğru orantılı trafik üretiyordu—daha fazla düğüm daha fazla bant genişliği demekti. Aisuru'nun optimizasyonları bu ilişkiyi değiştiriyor ve her ele geçirilmiş cihazdan önemli ölçüde daha fazla saldırı trafiği çıkarıyor. Sonuç, orijinal Mirai kod tabanı altında gigabit ölçekli saldırılar üretecek bir botnet'ten terabit ölçekli yeteneğe ulaşmak.
Aisuru yalnızca doğrudan yollu taşkına dayanıyor. Trafik hacimlerini çoğaltmak için yanlış yapılandırılmış DNS, NTP veya Memcached sunucularını istismar eden yükseltme saldırılarının aksine, doğrudan yollu saldırılar botnet düğümlerinin kendisinden kaynaklanıyor. Bu yaklaşım kaynak atıfını basitleştiriyor—savunucular saldıran IP'leri tespit edebiliyor—ancak konut IP aralıklarından gelen meşru trafik yan hasara neden olmadan toptan engellenemediğinden azaltmayı zorlaştırıyor.
İmza saldırı kalıbı UDP carpet-bombing'dir. Trafiği belirli portlara yoğunlaştırmak yerine, Aisuru paketleri saniyede yaklaşık 15.000 hedef porta dağıtırken kaynak portları ve TCP bayraklarını rastgeleleştiriyor. Bu, port veya protokol kalıplarına dayanan geleneksel filtreleme kurallarını etkisiz kılıyor. Etkili savunma, kasıtlı olarak rastgeleleştirilmiş paket özniteliklerine rağmen carpet-bombing imzasını tanımlayabilen davranışsal analiz gerektiriyor.
Saldırı Karakteristikleri
| Karakteristik | Spesifikasyon | Savunma Etkisi |
|---|---|---|
| Paket Boyutu | 540-750 bayt (orta) | Küçük paket filtrelerini tetiklemeden bant genişliği doygunluğu için optimize edilmiş |
| Port Hedefleme | ~15.000 port/saniye | Carpet-bombing yaklaşımı port tabanlı filtrelemeyi devre dışı bırakır |
| Kaynak Portlar | Sözde-rastgele | Basit kaynak port filtreleme kurallarını engeller |
| TCP Bayrakları | Rastgele kombinasyonlar | TCP bayrak tabanlı tespit imzalarından kaçınır |
| Saldırı Süresi | 30-69 saniye tipik | Kısa patlamalar saniyenin altında tespit ve azaltma gerektirir |
| Zirve Hacim | 1+ Tbps rutin, 29.7 Tbps maksimum | Büyük azaltma kapasitesi gerektirir |
| Vektörler | Tek vektörlü doğrudan yol | Yükseltme yok - trafik botnet düğümlerinden kaynaklanır |
2025 Saldırı Zaman Çizelgesi
Aisuru saldırıları o kadar yıkıcı olabilir ki, doğrudan hedef alınmadıklarında bile internet servis sağlayıcılarını aksatabilir. 1.5 Tbps'yi aşan saldırılar, müşteri cihazları botnet'in parçası olan geniş bant sağlayıcılarına yan hasar vermiştir. Ekim 2025 oyun platformu saldırısı, AT&T, Comcast, Verizon, T-Mobile ve Charter dahil olmak üzere büyük ABD ISP'lerini geçici olarak etkiledi—hedef olarak değil, ağlarındaki enfekte müşteri cihazları tarafından üretilen büyük kötü amaçlı trafik akışlarının taşıyıcıları olarak.
Çift Kullanımlı İş Modeli: DDoS + Residential Proxy
Kiralık DDoS hizmetleri yalnızca aktif saldırılar sırasında gelir üretiyor. Bu kısıtlamayı fark eden Aisuru operatörleri, 2025'in sonlarında residential proxy hizmetlerine genişledi—botnet altyapısını sürekli olarak monetize eden bir iş modeli. Ele geçirilmiş ev yönlendiricileri artık ikili amaç taşıyor: DDoS kampanyaları sırasında saldırı platformları, kampanyalar arasında proxy müşterileri için anonimleştirme düğümleri.
Proxy hizmeti farklı kullanım senaryolarıyla farklı bir müşteri tabanına hitap ediyor. Müşteriler trafiklerini konut IP adresleri üzerinden yönlendirmek için ödeme yaparak meşru ev kullanıcıları görünümü kazanıyor. Bu anonimleştirme, hız sınırlamayı atlatan kimlik bilgisi doldurma saldırılarını, bot tespitini atlatan web kazımayı, IP itibar kara listelerinden kaçan spam kampanyalarını ve tüketici ağlarından kaynaklanıyor görünen oltalama altyapısını mümkün kılıyor. Çok terabitlik bir DDoS saldırısına katılan aynı enfekte yönlendirici, saatler sonra sahte giriş denemelerini yönlendirebilir.
Güvenlik araştırmacıları örtüşmeyi doğruladı. Ticari residential proxy havuzlarında görünen IP adresleri, bilinen Aisuru botnet komuta-kontrol iletişimleriyle eşleşiyor. Bu yakınsama daha dayanıklı bir tehdit yaratıyor: kiralık DDoS talebi azalsa bile, proxy gelir akışı devam eden botnet bakımını ve genişlemesini haklı kılıyor. Operatörler, aynı ele geçirilmiş altyapıyı istismar eden birden fazla gelir kanalına sahip sürdürülebilir bir suç örgütü inşa etti.
Teknik Evrim (Mart 2025)
Mart 2025'te, Aisuru operatörleri botnet zararlı yazılımına devam eden geliştirme yatırımını gösteren önemli teknik güncellemeler yayınladı:
Geliştirilmiş Şifreleme
Sürüm 1: C2 iletişimleri için ChaCha20 şifrelemesiyle ECDH-P256 anahtar değişimi. DNS-TXT kod çözme base64+XOR olarak değişti.
Sadeleştirilmiş Protokol
Sürüm 2: Performans için ECDH-P256 anahtar değişimi kaldırıldı. Bütünlük doğrulaması için değiştirilmiş xxhash.
Anti-Analiz Önlemleri
Wireshark, VMware, VirtualBox ortamlarının tespiti. telnetd, dhclient olarak gizlenmek için süreç adı sahtekarlığı.
Kalıcılık Teknikleri
Çalışma süresini uzatmak için Out-of-Memory Killer'dan kaçınma. Örnek dize şifre çözme için değiştirilmiş RC4.
Sektöre Göre Etki Değerlendirmesi
| Sektör | Saldırı Sıklığı | Tipik Etki | Risk Seviyesi |
|---|---|---|---|
| Çevrimiçi Oyun | Çok Yüksek (Birincil Hedef) | Hizmet kesintileri, oyuncu kaybı, gelir kaybı | Kritik |
| Bulut Hizmet Sağlayıcıları | Yüksek | Çok kiracılı aksama, SLA ihlalleri | Kritik |
| İnternet Servis Sağlayıcıları | Yüksek (Yan) | Ağ tıkanıklığı, müşteri şikayetleri | Yüksek |
| Finansal Hizmetler | Orta | İşlem hataları, düzenleyici inceleme | Kritik |
| E-Ticaret | Orta | Ödeme hataları, sepet terk | Yüksek |
| Sağlık | Düşük (Kaçınılıyor) | Operatör politikası nedeniyle sınırlı hedefleme | Orta |
| Kamu | Çok Düşük (Kaçınılıyor) | Operatörlerin bu hedeflerden kaçındığı bildirildi | Düşük |
Kurumsal Azaltma Stratejileri
Aisuru sınıfı saldırılara karşı savunma, reaktiften proaktif, otomatik savunmaya temel bir geçiş gerektirir. Manuel aktivasyon gerektiren geleneksel talep üzerine DDoS azaltma hizmetleri yetersizdir—saldırılar bir dakikadan kısa sürede tamamlanır ve insan müdahalesi için zaman bırakmaz.
Her Zaman Açık Otomatik Koruma Dağıtın
Dakikalar değil saniyeler içinde tespit eden ve yanıt veren otomatik DDoS azaltma uygulayın. Kuruluşunuz saniyeler içinde tespit ve azaltma yapamıyorsa, Aisuru sınıfı bir saldırı kesintiye neden olacaktır.
Yeterli Azaltma Kapasitesi Sağlayın
DDoS korumanızın çok terabitlik saldırıları karşılayabildiğini doğrulayın. Gigabit ölçekli tehditler için tasarlanan eski çözümler, Aisuru'nun rutin 1+ Tbps saldırılarına karşı yetersizdir.
Tüm Ağ Kenarlarını Donatın
Müşteri toplama noktaları ve eşleme bağlantıları dahil tüm ağ kenarlarında tespit ve azaltma dağıtın. Hem gelen hem de giden/çapraz DDoS tespitini etkinleştirin.
Hız Sınırlama ve Davranışsal Analiz Uygulayın
Hız sınırlama, coğrafi çitleme ve davranışsal analitik yapılandırın. Aisuru'nun sözde-rastgele öznitelikleri, imza tabanlı filtreleme yerine davranışsal tespit gerektirir.
Ağınızdaki IoT Cihazlarını Güvenli Hale Getirin
Tüm IoT cihazlarını denetleyin ve yamalayın. Gereksiz hizmetleri devre dışı bırakın, varsayılan kimlik bilgilerini değiştirin ve IoT cihazlarını kritik altyapıdan segmente edin.
Giden Saldırı Tespitini Etkinleştirin
Ağınızdaki cihazların Aisuru saldırılarına katılıp katılmadığını tespit edin. Geri izleme ve abone bilgileriyle korelasyon, ele geçirilmiş cihazların tanımlanmasını ve iyileştirilmesini sağlar.
Kritik Savunma Gereksinimleri
Gözlemlenen Aisuru saldırı karakteristiklerine dayalı olarak, etkili kurumsal savunma gerektirir:
Saniyenin Altında Tespit
İlk kötü amaçlı paketler geldikten milisaniyeler içinde saldırı kalıplarını tanımlayan AI destekli anomali tespiti.
Donanım Hızlandırma
Çok terabitlik saldırı yüklerinde performans düşüşü olmadan hat hızında paket işleme ve filtreleme.
Çok Katmanlı Koruma
Kapsamlı kapsam için L7 uygulama katmanı analizi ile koordineli L3/L4 hacimsel filtreleme.
Dağıtık Azaltma
Saldırıları kaynaklarına yakın yerlerde absorbe etmek için coğrafi olarak dağıtılmış temizleme kapasitesi.
Davranışsal Analiz
Rastgele özniteliklere rağmen Aisuru'nun carpet-bombing tekniğini tanımlayan örüntü tanıma.
Otomatik Tırmanma
Manuel müdahale olmadan saldırı şiddetine göre azaltma yoğunluğunu ölçeklendiren kademeli yanıt.
TR7 Aisuru Sınıfı Tehditlere Karşı Nasıl Koruma Sağlar
TR7'nin DDoS koruma platformu, yeni nesil hacimsel saldırılara karşı savunma için tasarlanmıştır:
Anında Tespit ve Azaltma
AI destekli tespit, milisaniyeler içinde saldırı kalıplarını tanımlar ve 3 saniyenin altında otomatik azaltma devreye girer—69 saniyelik Aisuru saldırıları için kritik.
Donanım Hızlandırmalı Filtreleme
Hat hızında paket işleme, performans düşüşü veya hizmet etkisi olmadan çok terabitlik trafik hacimlerini karşılar.
Davranışsal Örüntü Tanıma
Gelişmiş analitik, imza tabanlı savunmalardan kaçan carpet-bombing ve sözde-rastgele saldırı kalıplarını tespit eder.
Adaptif Eşikler
Gerçek zamanlı trafik koşullarına ve tehdit seviyelerine göre dinamik eşik ayarı ile kuruluşa özel temeller.
Çok Katmanlı Savunma
Koordineli L4 hacimsel filtreleme ve L7 uygulama koruması, saldırıları mümkün olan en erken noktada durdurur.
Hizmet İzolasyonu
Donanım ve yazılım izolasyonu, bir hizmete yönelik saldırıların diğerlerini etkilememesini sağlayarak yan hasarı önler.
Güvenlik uzmanları, Aisuru sınıfı botnet'lere karşı savunmanın ekosistem çapında işbirliği gerektirdiğini vurguluyor. Inter-ASN FlowSpec uygulaması, giden trafik izleme ve koordineli kapatma çabaları, IoT botnet tehdidini çözmek için üreticiden bağımsız yaklaşımlar sunuyor. Çözümler mevcut—ancak yalnızca ekosistem genelinde dağıtılırlarsa çalışırlar. Bireysel kurumsal savunma gerekli ancak yeterli değil; telekomünikasyon ve ISP topluluğu kaynak adres doğrulama, ele geçirilmiş cihaz iyileştirme ve botnet altyapısı bozma konularında işbirliği yapmalıdır.
Uzlaşma Göstergeleri (IOC) Kaynakları
Tehdit istihbaratı entegrasyonu, Aisuru'ya karşı proaktif savunma için gerekli. Birden fazla araştırma kuruluşu zararlı yazılım hash'lerini, komuta-kontrol altyapısını ve bilinen botnet düğümü IP adreslerini kapsayan IOC koleksiyonları sürdürüyor. Bu göstergeler, ağınızdaki Aisuru ile ilgili aktivitenin erken tespitini sağlamak için güvenlik duvarlarına, SIEM platformlarına ve ağ izleme araçlarına dahil edilmelidir.
En yetkili IOC kaynakları arasında zararlı yazılım örneklerini ve C2 sunucu adreslerini belgeleyen QiAnXin XLab'ın teknik analizi, Aisuru ile ilgili dosya hash koleksiyonlarını içeren VirusTotal ve İnternet Güvenliği Merkezi'nin doğrulanmış IP engelleme listeleri bulunuyor. Tehdit istihbaratı platformlarına sahip kuruluşlar için bu beslemeler sürekli alım için otomatikleştirilebilir. Manuel entegrasyon, botnet geliştikçe düzenli güncellemeler gerektirir.
Ancak IOC tabanlı tespitinin Aisuru'ya karşı doğuştan gelen sınırlamaları var. Mart 2025 zararlı yazılım güncellemeleri, operatörlerin statik tespiti atlatma taahhüdünü gösterdi—yeni şifreleme şemaları, değiştirilmiş hash'ler ve döndürülen altyapı mevcut göstergeleri geçersiz kılıyor. IOC'ler bilinen tehditleri tanımlamak için değerlidir ancak birincil savunma olarak yetersizdir. Aisuru'nun saldırı kalıplarını tanıyabilen davranışsal tespit daha güvenilir yaklaşım olmaya devam ediyor.
Sıkça Sorulan Sorular
Aisuru, ağırlıklı olarak tüketici yönlendiricileri, CCTV kameraları ve DVR sistemlerinden oluşan 1-4 milyon enfekte cihazı kapsayan TurboMirai sınıfı bir IoT botnet'tir. İlk olarak Ağustos 2024'te tespit edilmiş olup, 29.7 Tbps ve 14.1 milyar paket/saniye ile şimdiye kadar kaydedilen en büyük DDoS saldırılarından sorumlu hale gelmiştir.
Aisuru, Nisan 2025'te operatörlerin Totolink yönlendirici firmware güncelleme sunucusunu ele geçirdiği bir tedarik zinciri saldırısı ile hızlı büyüme elde etti. Güncelleme yapan herhangi bir yönlendirici zararlı kod indirdi ve botnet'in haftalar içinde 100.000 cihazı aşmasını sağladı. Zyxel, D-Link ve diğer tüketici cihazlarındaki bilinen CVE'lerin istismarıyla birleştiğinde, botnet milyonlarca düğüme ulaştı.
Aisuru öncelikle orta boyutlu paketlerle (540-750 bayt) doğrudan yollu UDP, TCP ve GRE paket taşkınları kullanır. İmza tekniği, sözde-rastgele özniteliklerle saniyede yaklaşık 15.000 hedef porta yönelik 'UDP carpet-bombing'dir. Botnet ayrıca HTTP uygulama katmanı DDoS yetenekleri ve trafik anonimleştirme için residential proxy hizmetleri içerir.
Aisuru'ya karşı savunma, saniyenin altında tespit ve azaltma yeteneklerine sahip otomatik, her zaman açık DDoS koruması gerektirir. Temel önlemler arasında donanım hızlandırmalı azaltma dağıtımı, giden tespit ile kapsamlı ağ kenarı koruması uygulaması, proaktif engelleme için tehdit istihbaratı kullanımı ve ağdaki IoT cihazlarının yamalı ve güvenli olmasını sağlamak yer alır.
Aisuru operatörleri öncelikli olarak çevrimiçi oyun platformlarını hedef alır ve gözlemlenen saldırıların çoğu oyun aktiviteleriyle ilgilidir. Ancak botnet, kiralık DDoS hizmeti olarak çalışır ve herhangi bir sektörü potansiyel hedef haline getirir. Finansal hizmetler, bulut sağlayıcıları ve ISP'ler de önemli saldırılar yaşamıştır. Özellikle, operatörlerin kamu, kolluk kuvvetleri ve askeri hedeflerden kaçındığı bildirilmektedir.
Aisuru saldırıları zorludur çünkü bir dakikadan kısa sürede (tipik olarak 30-69 saniye) tamamlanır, büyük azaltma kapasitesi gerektirir (rutin 1+ Tbps), imza tabanlı tespiti atlatan sözde-rastgele öznitelikler kullanır ve doğrudan hedef alınmadıklarında bile ISP'lere yan hasar verebilir. Manuel aktivasyonlu geleneksel talep üzerine azaltma hizmetleri yetersizdir.
Sonuç
Aisuru, DDoS saldırılarının neye benzediğini yeniden tanımladı. Önceki nesil hacimsel tehditler gigabit/saniye ile ölçülüyordu; Aisuru rutin olarak terabitlerle çalışıyor. Önceki nesil dakikalardan saatlere sürdü; Aisuru 69 saniyenin altında tamamlanıyor. Önceki nesil savunuculara tepki vermek için zaman tanıyordu; Aisuru tanımıyor. Bunlar artımlı iyileştirmeler değil—reaktif savunmaları geçersiz kılan tehdit ortamında yapısal bir değişimi temsil ediyorlar.
İş modeli kalıcılığı garanti ediyor. Tedarik zinciri saldırısı verimli cihaz kazanımı sağlıyor. CVE istismarı, eski enfeksiyonlar temizlendikçe cihaz havuzunu sürdürüyor. Residential proxy hizmetleri saldırılar arasında sürekli gelir üretiyor. Mart 2025 zararlı yazılım güncellemeleri profesyonel geliştirme pratiklerini gösteriyor. Bu fırsatçı bir suç operasyonu değil—sürdürülebilir ekonomisi ve uzun vadeli altyapı yatırımı olan organize bir örgüt.
DDoS hazırlıklarını değerlendiren kuruluşlar için soru basit: savunmalarınız terabit ölçekli bir saldırıyı saniyeler içinde tespit edip bertaraf edebilir mi? Cevap hayır ise, Aisuru sınıfı bir saldırı kesintiye neden olacaktır. Çözüm, yeterli kapasiteye sahip otomatik, her zaman açık koruma, carpet-bombing kalıplarını tanıyabilen davranışsal tespit ve—tam savunma duruşu için—giden saldırılara katılan ele geçirilmiş IoT cihazlarının tespitini gerektiriyor. Tehdit evrimleşti. Savunmalar buna göre evrimleşmeli.
Referanslar ve Kaynaklar
Rekor 29.7 Tbps saldırı, 14.1 Bpps paket hızı ve Q3 2025 azaltma verileri dahil saldırı istatistiklerinin birincil kaynağı. Erişim: https://blog.cloudflare.com/ddos-threat-report-2025-q3/
Saldırı metodolojileri, ele geçirilmiş cihaz türleri ve azaltma önerileri dahil Aisuru ve TurboMirai sınıfı botnet'lerin teknik analizi. Erişim: https://www.netscout.com/blog/asert/asert-threat-summary-aisuru-and-related-turbomirai-botnet-ddos
Şifreleme güncellemeleri, enfeksiyon vektörleri ve operatör atıfı dahil Aisuru zararlı yazılımının detaylı teknik analizi. Erişim: https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru-en/
Aisuru'nun DDoS odaklı botnet'ten residential proxy hizmet sağlayıcısına evriminin haberi. Erişim: https://krebsonsecurity.com/2025/10/aisuru-botnet-shifts-from-ddos-to-residential-proxies/
Ekim 2025'te Azure altyapısına yönelik 15.72 Tbps saldırının dokümantasyonu. Erişim: https://techcommunity.microsoft.com/blog/azureinfrastructureblog/defending-the-cloud-azure-neutralized-a-record-breaking-15-tbps-ddos-attack/
Aisuru saldırı olaylarının haber haberleri ve teknik özetleri. Erişim: https://thehackernews.com/2025/12/record-297-tbps-ddos-attack-linked-to.html
Terabit Ölçekli DDoS Saldırılarına Karşı Koruyun
TR7'nin DDoS Koruma platformu, Aisuru sınıfı tehditlere karşı otomatik, saniyenin altında tespit ve azaltma sağlar. Donanım hızlandırmalı filtreleme ve AI destekli davranışsal analiz ile altyapınızı yeni nesil hacimsel saldırılara karşı koruyun.
DDoS Korumasını Keşfedin