Fileless Malware nedir, bu saldırıları tespit etme ve korunma yolları

Fileless Malware çoğunuz için yeni bir terim olabilir ancak güvenlik endüstrisi bunu yıllardır biliyor. Bu yılın başında bankalar, telekomlar ve devlet kuruluşları da dahil olmak üzere 140’dan fazla Fileless Malware saldırı girişimi yapılıyor. Adı açıklandığı gibi Fileless Malware, süreçte herhangi bir dosya kullanmayan bir çeşit kötü amaçlı yazılımdır. Bununla birlikte, bazı güvenlik firmaları, kötü niyetli saldırıyı başlatmak için dosyasız saldırıdan ödün vermeyen ana bilgisayarda küçük bir ikili oluşturduğunu iddia ediyor. Bu tür saldırılar, son birkaç yılda önemli bir artış görmüş ve geleneksel malware saldırılarından daha risklidir.

Fileless Malware saldırıları

Fileless Malware saldırıları, aslında malware olmayan saldırılar olarak bilinir. Algılanabilen herhangi bir kötü amaçlı yazılım dosyası kullanmadan sistemlere girmek için bazı teknik kullanıyorlar. Son birkaç yılda, saldırganlar daha akıllı hale geldi ve saldırıları başlatmak için pek çok farklı yol geliştirdiler.

Fileless malware (dosyasız zararlı yazılımlar) bilgisayarların yerel sabit diskte hiçbir dosyanın kalmadığını, geleneksel güvenlik ve adli araçları boşa çıkarır.

Microsoft: “Bu saldırıları benzersiz kılan şey, makinenin dosya sisteminde iz bırakmadan tamamen ele geçirilmiş bir makinenin hafızasında kalmayı başaran, gelişmiş zararlı yazılımların kullanılmasıdır. Fileless kötü amaçlı yazılım, saldırganların statik dosya analizine (anti-virüsler) dayanan son nokta güvenlik çözümlerinde bile algılamayı engellemektedir. Fileless zararlı yazılımındaki en son gelişmeler, geliştiricilerin odaklanmasını, ağ operasyonlarını gizlemeye, kurbanın altyapısının içindeki yanal hareketi gerçekleştirirken algılamanın önüne geçmeye ittiğini gösteriyor” diyor.

Zararsız zararlı yazılım, bilgisayar sisteminizin RAM’inde (Random Access Memory) bulunur ve hiçbir virüsten koruma programı doğrudan belleği incelemez; bu nedenle saldırganların bilgisayarınıza girip tüm verilerinizi çalması için en güvenli moddur. Hatta en iyi antivirüs programları bazen bellekte çalışan zararlı yazılımları özlüyor.

Bilgisayar sistemlerine dünya çapında virüs bulaştıran bazı Fileless Malware enfeksiyonları şunlardır: Kovter, USB Thief, PowerSniff, Poweliks, PhaseBot, Duqu2 vb.

Fileless Malware nasıl çalışır?

Hafızaya girdiğinde zararsız zararlı yazılım (fileless malware), yerel ve sistem yönetimsel PowerShell, SC.exe ve netsh.exe gibi Windows dahili araçları kötü niyetli kodu çalıştırmak ve yönetime sisteminize erişmek için dağıtabilir; Komutları söyle ve verilerinizi çal. Fileless Malware bazen Rootkit’te veya Windows işletim sisteminin Kayıt Defterinde gizlenebilir.

Saldırganlar sisteme girdiğinde, kötü amaçlı yazılım mekanizmasını gizlemek için Windows Thumbnail önbelleğini kullanıyor. Bununla birlikte, kötü amaçlı yazılımın ana PC’ye girmesi için hala statik bir ikiliğe ihtiyacı vardır ve e-posta, bunun için kullanılan en yaygın araçtır. Kullanıcı kötü niyetli eki tıkladığında, Windows Kayıt Defteri’nde şifreli bir yük dosyası yazar.

Fileless Malware’in, Mimikatz ve Metaspoilt gibi araçları kullanarak PC’nizin belleğine kod enjekte etmek ve orada depolanan verileri okuması da bilinmektedir. Bu araçlar, saldırganların bilgisayarınıza daha derinlemesine müdahale etmesine ve tüm verilerinizi çalmasına yardımcı olur.

Davranışsal analiz ve Fileless kötü amaçlı yazılım

Normal virüsten koruma programlarının çoğunun bir kötü amaçlı yazılım dosyasını tanımlamak için imzalar kullandığı için, dosyasız zararlı yazılımların (fileless malware) tespit edilmesi zordur. Böylece, güvenlik firmaları kötü amaçlı yazılımları tespit etmek için davranış analizi kullanmaktadır. Bu yeni güvenlik çözümü, önceki saldırıların ve kullanıcıların ve bilgisayarların davranışlarının üstesinden gelmek için tasarlandı. Daha sonra kötü niyetli içeriğe işaret eden anormal davranışlar uyarılarla bildirilir.

Davranışsal analiz, hiçbir bitiş noktası çözümü, dosyasız zararlı yazılımları (fileless malware) algılayamadığında, şüpheli giriş etkinliği, olağandışı çalışma saatleri veya herhangi bir atipik kaynak kullanımı gibi anormal davranışları tespit eder. Bu güvenlik çözümü, kullanıcıların herhangi bir uygulamayı kullandıkları, bir web sitesine göz attığı, oyun oynadığı, sosyal medyada etkileşim kurduğu oturumlar sırasında olay verilerini alıyor.

Microsoft: Fileless kötü amaçlı yazılımlar daha akıllı ve daha yaygın hale gelecektir. Düzenli imza tabanlı teknikler ve araçlar, bu karmaşıklığı keşfetmek için daha zor bir zamana sahip olacak, gizlilik odaklı kötü amaçlı yazılım türü” olduğunu söylüyor.

Fileless Malware’e karşı korunma yolları

Windows bilgisayarınızı güvence altına almak için temel önlemleri izleyin:

  • En son Windows Güncellemelerini – özellikle güvenlik güncelleştirmelerini işletim sisteminize uygulayın.
  • Yüklü tüm yazılımların yamalı olduğundan ve en yeni sürümlerine güncellendiğinden emin olun.
  • Bilgisayarlarınızın belleğini etkili bir şekilde tarayabilir ve Exploit’leri barındırıyor olabilecek kötü amaçlı web sayfalarını engelleyebilecek iyi bir güvenlik ürünü kullanın.
  • Herhangi bir e-posta ekini indirmeden önce dikkatli olun.
  • Ağ trafiğini etkin bir şekilde kontrol etmenizi sağlayan güçlü bir Firewall-Güvenlik Duvarı kullanın.

Bu konuyla ilgili daha fazla bilgi edinmeniz gerekiyorsa, Microsoft‘a gidin ve bu teknik incelemeyi McAfee PDF belgesinden kontrol edin.


Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir