Zararlı Yazılım :
Günümüzde teknolojinin gelişmesi ile birlikte İnternet kullanımı oldukça arttı. Banka kartları ile tek tıklama yapılarak fatura ödemeleri başta olmak üzere, alışveriş vb. eylemler saniyeler içerisinde gerçekleşiyor. Zararlı yazılım analizi adı altında birçok program yüklenerek, bilgilere kolay ulaşılıyor. Durum bu şekilde olunca ciddi zarar kaybı yaşanmasına olanak tanınmış olunuyor.
Son zamanları özellikle fidye yazılım saldırılarının artması başta devletin önemli kurumları olmak üzere birçok kuruma ciddi derecede zarar vermiştir. Ödenen yüksek fiyatlı fidyeler haricinde firmalara olan güven kaybını ciddi derecede olumsuz yönde etkiliyor. Siber saldırı yapılmadan önce birçok zararlı yazılımlar kullanılır.
Siber saldırılarda ‘’solucan, rootkit, casus yazılımı, Truva atı’’ vb. sayısız casus yazılım çeşidi kullanılabiliyor. Zararlı yazılım analizi nasıl yapılır? Sorusunun siber güvenlik sayfalarında sıklıkla arandığını görüyoruz. Zararlı yazılım analizi, kullanılan bilgisayarın işletim sistemini olumsuz yönde etkileyecek şekilde zarar veriyor. En önemlisi de bilgisayar ağasına sızıntı yaprak veri akışında ki bilgilerini kopyalanmasına sebep oluyor.
Zararlı Yazılım Tespiti :
Zararlı yazılım tespit ve analiz yöntemleri tespiti yapılırken ‘’metinsel yara’’ diye ya da binary pattern’lere dayalı malware kuralları oluşturulabilir. Bir dosya içerisine ‘’text string’’ aramak gibi Yara kuralları ya da belirli bir sanal hafıza(bellek) adresinde bulunan verilerde Yara kuralları bulunur.
Yara kuralları Virustotal tarafından geliştirdi. Malware, araştırmacılarının malware örneklerini tanımlanmasına yardımcı olmayı amaçlar. Hatta sınıflandırmaya bile yardımcı olur. Fakat sadece bunlarla sınırlı olmayan açık kaynak kodlu bir araç olduğunu belirleniyor. Malware analizinin süreci sizlerin işini kolaylaştırarak, tespitin daha detaylı olmasını sağlar.
Zararlı Yazılım Türleri :
Zararlı yazılım için bilgisayara veya ağa zarar vermek maksadı ile kullanılan yazılım çeşididir olarak tanımlanır. Zararlı yazılımlar 3 temel teknikte incelenir.
Statik Analiz
Zararlı yazılımı aktif hale getirmeden önce bilgilerin toplanma işlemine denir. Bu yöntem sayesinde dosyanın zararlı yazılıma sahip olup olmadığı anlaşılır. Tıpkı bir virüs programının zararlı dosyaları bularak, uyarı vermesi gibidir. Analiz yönteminde zararlı yazılımların kesinlikle saptanamaz.
Hybrid Analiz
Statik ve dinamik analiz yöntemlerinin birleşerek, birlikte gerçekleştirilen analiz yöntemidir.
Dinamik Analiz
Bu analiz yöntemi diğerlerine göre farklıdır. Davranışsal olarak bilinir. Sisteme zarar verecek yazılımları çalıştırarak IP adreslerine kadar bilgiler edinilebilir.
Bunun için gerçekleştirilen işlemler, etki alanı ve oluşturulmuş komutların detayı önemlidir. En önemlisi bu yöntem aktif olarak kullanılması durumunda ‘’tersine mühendislik’’ hakkında tüm detayın bilgi sahibi olunması, zararlı dosyaların çalıştırıldığı andan itibaren ağa zarar vermemesi için koruma (izole) konumunda olması açısından büyük önem taşır.
Zararlı Yazılımlar Nasıl Güçlenir ?
Günümüz teknolojisinin yaygın olması yazılım analizlerini güçlendiriyor. ‘’Malware’’ isminde zararlı yazılıma sahip analizlerini gerçekleşmesini sağlayan ‘’sanbox’’ sistemler vardır. Bu sistemler sayesinde de analizler otomatize edilir. Sanboxların zararları statik ve dinamik analizleri otomatize olarak gerçekleşir. Daha sonra bunu düzenli bir rapor halinde sunarlar. Ne yazık ki sandbox yazılı haricinde ki diğer yazılımlar işletim sistemini çalıştırsa da sanallaştırma servisleri gibi teknikle geliştirilebilir. Zararlı yazılımlar hem sistemin çökmesine hem de kişisel bilgilerin kolayca kopyalanmasına sebep olur. Zararlı yazılımların güçlenmesi için profesyonel destek alınmalıdır.
Zararlı Yazılımlar Nasıl Engellenir ?
Saldırganların ağınıza sızıp bilgilerinizi almasında en yaygın kullanılan yöntemlerin başında gelen anti-virüs programları önemlidir. Her yazılım zararlı yazılım olmasa bile gelişmiş bir yazılımın modifiye edilerek hedefe yönelmesini mümkündür. Her yeni yazılım gelişmiş özelliklerde zararlı bir yazılımın modifiye edilerek özel düzenlenmiş varyasyonunu ifade eder.
Ağınıza sizin haberiniz olmadan İnternet üzerinden komuta konrol sunucusuna bağlanır. Elde edilen bilgiler saldırgana gönderilir. Daha sonra yeni komutlar alınır. 360 derece ağ akışı takibi ile ortalama +100 protokolü çözümleme yapılır. Deep Discovery İnspector hedefe yönelik tüm saldırılarını algılamak için ağ genelinin tamamında izlenebilir.
Kurumsal Ağlata Yönelik Zararlı yazılım Saldırıları
Ağ ortamlarında sıkça rastlanan ve ‘’Antivirüs, HIP’’ gibi programların klasik yazılımları analizinin etkilenmemesini sağlamak için faaliyetinin bütününü oluşmasını sağlar. İşletim sisteminde birçok zararlı yazılım bulunabilir. Bunun için bellek alanlarının sürekli güncel tutulması ve sızıntı yaşanmaması için birtakım önlemler alınır.
Zararlı yazılımlar kendi alanlarında enjekte etmek gibi yöntemler kullanılır. Bunun için bir bellekte yer edinme işleminin gerçekleşmesi gerekir. Bunun nedeni özetlemek gerekirse: işlemcilerin çalıştıracağı kodların tamamının kendi ön belleğinde saklanmasıdır. Önbellek Senkron edilmesinden kaynaklı sistemde aktif olarak çalışan süreçlerin tamamı bellek analizi ile tespit edilebilir. Kurumsal ağalarda hiç umulmayacak durumlarda zararlı yazılımlar oluşabilir. Bunu ağa üzerinden gerçekleştirilse de alınan yüklenen dosya, indirilen program sayesinde zararlı yazılıma sahip olunma olanağı olunuyor. Uzmanlar zararlı yazılımlara karşı tedbirli olunması gerektiğini belirtiyor.
Zararlı Yazılımlar Nasıl Çalışır ?
Zararlı yazılım yazarları günümüzde çok yaratıcı. "Ürünleri" yamaları yüklenmemiş sistemlerde, zamanı geçmiş güvenlik önlemleri sayesinde güvenlik açıkları yoluyla yayılıyor. Hafızada saklanıyor ya da tespit edilmemek için meşru uygulamaları taklit ediyorlar.
Bununla birlikte, bugün bile zararlının bulaşması için en etkili vektörlerden biri, zincirin en zayıf halkası olan insandır. İyi hazırlanmış zararlı ekleri olan e-postalar'ın bir sistemi tehlikeye atmanın etkili ve ucuz bir yolu olduğu kanıtlanmıştır. Ve bunu başarmak için sadece bir yanlış tıklama yeterlidir.
Zararlı yazılım geliştiriciler için faaliyetlerinden para kazanmanın çeşitli yolları vardır. Bazı kötü amaçlı yazılımlar olabildiğince fazla hassas veri çalmak için bir sistemin içine sızmaya çalışırlar. Operatörleri daha sonra veriyi satarlar ya da kurbanı gasp etmek için kullanırlar. Siber suçlular arasında popüler bir yöntem kullanıcının verilerini veya diskini şifrelemek ve hasarı geri almak için fidye talep etmek.
Ve bazı siber suç grupları var ki belirli hedeflerin peşinden giderler ve amaçları sadece finansal kazanç sağlamak için değildir. Faaliyetlerini finanse etmek için nasıl para kazandıklarını söylemek zor. Paranın ulus devletlerden mi, karanlık web girişimciliğinden mi yoksa kim bilir-nereden geldiği hakkında sadece spekülasyon yapabiliriz. Elbette söyleyebildiğimiz, bu operasyonların bazılarının karmaşık, iyi organize edilmiş ve iyi finanse edilmiş olmasıdır.
Bazı Popüler Zararlı yazılımlar
Casus Yazılım
Kullanıcılara ait bilgileri ve cihazda gerçekleştirilen çevrimiçi aktiviteleri, kişinin bilgisi olmadan toplar ve alıcıya iletir. Çoğunlukla kullanım alışkanlıklarınızı saptamayı ve satmayı, kredi kartı veya banka hesabı bilgilerinizi ele geçirmeyi amaçlar. Sistemde gizlenir ancak saptanınca kaldırılması da kolaydır. Bir kez bulaştıktan sonra kendi kopyasını oluşturarak daha fazla yayılmaya ihtiyaç duymaz.
Fidye Yazılım
Siber saldırganlara doğrudan maddi getiri sağladığı için giderek büyüyen bir tehdit türüdür. Adından da anlaşılacağı üzere, fidye ödenene kadar bir bilgisayar sistemine veya verilere erişimi reddetmek üzere tasarlanır. Genellikle oltalama saldırıları (phishing), kötü amaçlı reklamlar veya güvenlik açıklarından yararlanarak bulaşır. Sızdığı cihazdaki verileri şifreler ve bloke eder. Özellikle son zamanlarda kripto para cinsinden fidye talep edilir ancak ödeme yapılsa bile siber saldırganların verileri iade etme sözünü tutması beklenemez.
Aldatma Yazılım
Aldatma yazılımı, hileli tarayıcı yazılımı veya sahtekârlık yazılımı olarak da bilinir. Genelde açılır pencereler halinde, makul uyarılar gibi belirirler. Olmayan bir problemi varmış gibi göstermeye çalışırlar: Örneğin cihazınıza virüs bulaştığını iddia eden bir anti virüs yazılımı uyarısı gibi. Böylece güvenliğinden kuşku duyan kullanıcı farkında olmadan kötü amaçlı web sitelerine tıklar, sahte programları satın alır, zararlı programı indirir ve hatta kredi kartı bilgilerini açık eder.
Keylogger
Klavyede yaptığınız her tıklamayı izleyen, kaydeden ve kötü amaçlı kişilere gönderen bir tür casus yazılımdır.
RootKit
Virüs bulaşmış bir cihaza yönetim erişimi sağlayan ve onu farklı cihaz ve yazılımlara zarar vermek için kullanan kötü amaçlı yazılımdır.
Saygılarımla...
Günümüzde teknolojinin gelişmesi ile birlikte İnternet kullanımı oldukça arttı. Banka kartları ile tek tıklama yapılarak fatura ödemeleri başta olmak üzere, alışveriş vb. eylemler saniyeler içerisinde gerçekleşiyor. Zararlı yazılım analizi adı altında birçok program yüklenerek, bilgilere kolay ulaşılıyor. Durum bu şekilde olunca ciddi zarar kaybı yaşanmasına olanak tanınmış olunuyor.
Son zamanları özellikle fidye yazılım saldırılarının artması başta devletin önemli kurumları olmak üzere birçok kuruma ciddi derecede zarar vermiştir. Ödenen yüksek fiyatlı fidyeler haricinde firmalara olan güven kaybını ciddi derecede olumsuz yönde etkiliyor. Siber saldırı yapılmadan önce birçok zararlı yazılımlar kullanılır.
Siber saldırılarda ‘’solucan, rootkit, casus yazılımı, Truva atı’’ vb. sayısız casus yazılım çeşidi kullanılabiliyor. Zararlı yazılım analizi nasıl yapılır? Sorusunun siber güvenlik sayfalarında sıklıkla arandığını görüyoruz. Zararlı yazılım analizi, kullanılan bilgisayarın işletim sistemini olumsuz yönde etkileyecek şekilde zarar veriyor. En önemlisi de bilgisayar ağasına sızıntı yaprak veri akışında ki bilgilerini kopyalanmasına sebep oluyor.
Zararlı Yazılım Tespiti :
Zararlı yazılım tespit ve analiz yöntemleri tespiti yapılırken ‘’metinsel yara’’ diye ya da binary pattern’lere dayalı malware kuralları oluşturulabilir. Bir dosya içerisine ‘’text string’’ aramak gibi Yara kuralları ya da belirli bir sanal hafıza(bellek) adresinde bulunan verilerde Yara kuralları bulunur.
Yara kuralları Virustotal tarafından geliştirdi. Malware, araştırmacılarının malware örneklerini tanımlanmasına yardımcı olmayı amaçlar. Hatta sınıflandırmaya bile yardımcı olur. Fakat sadece bunlarla sınırlı olmayan açık kaynak kodlu bir araç olduğunu belirleniyor. Malware analizinin süreci sizlerin işini kolaylaştırarak, tespitin daha detaylı olmasını sağlar.
Zararlı Yazılım Türleri :
Zararlı yazılım için bilgisayara veya ağa zarar vermek maksadı ile kullanılan yazılım çeşididir olarak tanımlanır. Zararlı yazılımlar 3 temel teknikte incelenir.
Statik Analiz
Zararlı yazılımı aktif hale getirmeden önce bilgilerin toplanma işlemine denir. Bu yöntem sayesinde dosyanın zararlı yazılıma sahip olup olmadığı anlaşılır. Tıpkı bir virüs programının zararlı dosyaları bularak, uyarı vermesi gibidir. Analiz yönteminde zararlı yazılımların kesinlikle saptanamaz.
Hybrid Analiz
Statik ve dinamik analiz yöntemlerinin birleşerek, birlikte gerçekleştirilen analiz yöntemidir.
Dinamik Analiz
Bu analiz yöntemi diğerlerine göre farklıdır. Davranışsal olarak bilinir. Sisteme zarar verecek yazılımları çalıştırarak IP adreslerine kadar bilgiler edinilebilir.
Bunun için gerçekleştirilen işlemler, etki alanı ve oluşturulmuş komutların detayı önemlidir. En önemlisi bu yöntem aktif olarak kullanılması durumunda ‘’tersine mühendislik’’ hakkında tüm detayın bilgi sahibi olunması, zararlı dosyaların çalıştırıldığı andan itibaren ağa zarar vermemesi için koruma (izole) konumunda olması açısından büyük önem taşır.
Zararlı Yazılımlar Nasıl Güçlenir ?
Günümüz teknolojisinin yaygın olması yazılım analizlerini güçlendiriyor. ‘’Malware’’ isminde zararlı yazılıma sahip analizlerini gerçekleşmesini sağlayan ‘’sanbox’’ sistemler vardır. Bu sistemler sayesinde de analizler otomatize edilir. Sanboxların zararları statik ve dinamik analizleri otomatize olarak gerçekleşir. Daha sonra bunu düzenli bir rapor halinde sunarlar. Ne yazık ki sandbox yazılı haricinde ki diğer yazılımlar işletim sistemini çalıştırsa da sanallaştırma servisleri gibi teknikle geliştirilebilir. Zararlı yazılımlar hem sistemin çökmesine hem de kişisel bilgilerin kolayca kopyalanmasına sebep olur. Zararlı yazılımların güçlenmesi için profesyonel destek alınmalıdır.
Zararlı Yazılımlar Nasıl Engellenir ?
Saldırganların ağınıza sızıp bilgilerinizi almasında en yaygın kullanılan yöntemlerin başında gelen anti-virüs programları önemlidir. Her yazılım zararlı yazılım olmasa bile gelişmiş bir yazılımın modifiye edilerek hedefe yönelmesini mümkündür. Her yeni yazılım gelişmiş özelliklerde zararlı bir yazılımın modifiye edilerek özel düzenlenmiş varyasyonunu ifade eder.
Ağınıza sizin haberiniz olmadan İnternet üzerinden komuta konrol sunucusuna bağlanır. Elde edilen bilgiler saldırgana gönderilir. Daha sonra yeni komutlar alınır. 360 derece ağ akışı takibi ile ortalama +100 protokolü çözümleme yapılır. Deep Discovery İnspector hedefe yönelik tüm saldırılarını algılamak için ağ genelinin tamamında izlenebilir.
Kurumsal Ağlata Yönelik Zararlı yazılım Saldırıları
Ağ ortamlarında sıkça rastlanan ve ‘’Antivirüs, HIP’’ gibi programların klasik yazılımları analizinin etkilenmemesini sağlamak için faaliyetinin bütününü oluşmasını sağlar. İşletim sisteminde birçok zararlı yazılım bulunabilir. Bunun için bellek alanlarının sürekli güncel tutulması ve sızıntı yaşanmaması için birtakım önlemler alınır.
Zararlı yazılımlar kendi alanlarında enjekte etmek gibi yöntemler kullanılır. Bunun için bir bellekte yer edinme işleminin gerçekleşmesi gerekir. Bunun nedeni özetlemek gerekirse: işlemcilerin çalıştıracağı kodların tamamının kendi ön belleğinde saklanmasıdır. Önbellek Senkron edilmesinden kaynaklı sistemde aktif olarak çalışan süreçlerin tamamı bellek analizi ile tespit edilebilir. Kurumsal ağalarda hiç umulmayacak durumlarda zararlı yazılımlar oluşabilir. Bunu ağa üzerinden gerçekleştirilse de alınan yüklenen dosya, indirilen program sayesinde zararlı yazılıma sahip olunma olanağı olunuyor. Uzmanlar zararlı yazılımlara karşı tedbirli olunması gerektiğini belirtiyor.
Zararlı Yazılımlar Nasıl Çalışır ?
Zararlı yazılım yazarları günümüzde çok yaratıcı. "Ürünleri" yamaları yüklenmemiş sistemlerde, zamanı geçmiş güvenlik önlemleri sayesinde güvenlik açıkları yoluyla yayılıyor. Hafızada saklanıyor ya da tespit edilmemek için meşru uygulamaları taklit ediyorlar.
Bununla birlikte, bugün bile zararlının bulaşması için en etkili vektörlerden biri, zincirin en zayıf halkası olan insandır. İyi hazırlanmış zararlı ekleri olan e-postalar'ın bir sistemi tehlikeye atmanın etkili ve ucuz bir yolu olduğu kanıtlanmıştır. Ve bunu başarmak için sadece bir yanlış tıklama yeterlidir.
Zararlı yazılım geliştiriciler için faaliyetlerinden para kazanmanın çeşitli yolları vardır. Bazı kötü amaçlı yazılımlar olabildiğince fazla hassas veri çalmak için bir sistemin içine sızmaya çalışırlar. Operatörleri daha sonra veriyi satarlar ya da kurbanı gasp etmek için kullanırlar. Siber suçlular arasında popüler bir yöntem kullanıcının verilerini veya diskini şifrelemek ve hasarı geri almak için fidye talep etmek.
Ve bazı siber suç grupları var ki belirli hedeflerin peşinden giderler ve amaçları sadece finansal kazanç sağlamak için değildir. Faaliyetlerini finanse etmek için nasıl para kazandıklarını söylemek zor. Paranın ulus devletlerden mi, karanlık web girişimciliğinden mi yoksa kim bilir-nereden geldiği hakkında sadece spekülasyon yapabiliriz. Elbette söyleyebildiğimiz, bu operasyonların bazılarının karmaşık, iyi organize edilmiş ve iyi finanse edilmiş olmasıdır.
Bazı Popüler Zararlı yazılımlar
Casus Yazılım
Kullanıcılara ait bilgileri ve cihazda gerçekleştirilen çevrimiçi aktiviteleri, kişinin bilgisi olmadan toplar ve alıcıya iletir. Çoğunlukla kullanım alışkanlıklarınızı saptamayı ve satmayı, kredi kartı veya banka hesabı bilgilerinizi ele geçirmeyi amaçlar. Sistemde gizlenir ancak saptanınca kaldırılması da kolaydır. Bir kez bulaştıktan sonra kendi kopyasını oluşturarak daha fazla yayılmaya ihtiyaç duymaz.
Fidye Yazılım
Siber saldırganlara doğrudan maddi getiri sağladığı için giderek büyüyen bir tehdit türüdür. Adından da anlaşılacağı üzere, fidye ödenene kadar bir bilgisayar sistemine veya verilere erişimi reddetmek üzere tasarlanır. Genellikle oltalama saldırıları (phishing), kötü amaçlı reklamlar veya güvenlik açıklarından yararlanarak bulaşır. Sızdığı cihazdaki verileri şifreler ve bloke eder. Özellikle son zamanlarda kripto para cinsinden fidye talep edilir ancak ödeme yapılsa bile siber saldırganların verileri iade etme sözünü tutması beklenemez.
Aldatma Yazılım
Aldatma yazılımı, hileli tarayıcı yazılımı veya sahtekârlık yazılımı olarak da bilinir. Genelde açılır pencereler halinde, makul uyarılar gibi belirirler. Olmayan bir problemi varmış gibi göstermeye çalışırlar: Örneğin cihazınıza virüs bulaştığını iddia eden bir anti virüs yazılımı uyarısı gibi. Böylece güvenliğinden kuşku duyan kullanıcı farkında olmadan kötü amaçlı web sitelerine tıklar, sahte programları satın alır, zararlı programı indirir ve hatta kredi kartı bilgilerini açık eder.
Keylogger
Klavyede yaptığınız her tıklamayı izleyen, kaydeden ve kötü amaçlı kişilere gönderen bir tür casus yazılımdır.
RootKit
Virüs bulaşmış bir cihaza yönetim erişimi sağlayan ve onu farklı cihaz ve yazılımlara zarar vermek için kullanan kötü amaçlı yazılımdır.
Saygılarımla...
