Son zamanlarda araştırmacılar, yürütülemeyen dosyalardan (.txt, .log vb.) kod kullanan, giderek artan sayıda kötü amaçlı yazılım örneği buldular; bu, özellikle standart algılama prosedürlerinin ötesine geçmek için oluşturulmuş bir stratejidir.
Bu dosyalar genellikle aldatıcı derecede basittir ve yalnızca bir veya iki satır base64 veya hex kodlu kod içerir.
Kötü amaçlı yazılımlar, tarayıcının veya sunucunun doğrudan çalıştırabileceği.js (JavaScript) ve.php (Hypertext Preprocessor) dosyaları gibi belirli dosya formatlarında daha sık keşfedilir.
Manipülasyon kolaylığı ve kötü amaçlı kod çalıştırma yetenekleri nedeniyle bu dosya formatları saldırganların tercih ettiği seçenektir. Saldırgan bu basit ve etkili yaklaşımı kullanarak web sitesinin veya sunucunun kontrolünü ele geçirebilir.
Güvenlik sistemlerinin çoğunluğu bunu standart olarak benimsedi ve bu da olası riskleri ararken belirli dosya formatlarına yoğunlaşmalarına neden oldu. Ancak saldırganların taktikleri, kötü amaçlı yazılım tespit teknolojileriyle birlikte gelişti.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Yürütülemeyen .txt ve .log Dosyalarının Gizli Kullanımı
Sucuri, bazı senaryolarda kötü amaçlı kodun aynı ortamda bir PHP dosyasının arkasına gizlenerek beklediğini bildiriyor.
PHP’nin genellikle iki önemli bileşeni vardır: (tipik olarak) gizlenmiş kötü amaçlı yazılım içeren göze çarpmayan bir.txt veya.log dosyasının konumuna yönlendiren bir kod parçası ve dizenin kodunu çözen ve kötü amaçlı yazılımı web sitesinde çalıştıran ikinci bir satır. ‘eval’ ve ‘base64_decode’ komutları.
Web sitesinin dosyalarını ve kaynak kodunu sürekli kontrol eden en dikkatli web yöneticisi bile bu numaraya kolaylıkla aldanabilir.
Raporda, “.log dosyası base64 kodlu kod içeriyor; bu kod, tüm kabuk komut dosyasından herhangi bir şey olabilir veya yalnızca web sitesine yeniden virüs bulaştırmak veya ek kötü amaçlı yazılım yüklemek için kullanılan basit bir arka kapı olabilir”, diyor.
Bu durumda,.tott.log dosyasındaki kod, genellikle kötü amaçlı kirlilikle iletişim kuran Japonca spam ağ geçidi sayfaları oluşturmaktan sorumluydu.[.]xyz alan adı.
Her ne kadar bu durumda.txt dosyası PHP kodu içerse de, site incelemesi sırasında kolaylıkla atlanabilir.
Pek çok kişi kötü amaçlı yazılım ararken metin dosyalarını atlıyor PHP kodunu burada görsel olarak tanımlamak zordur ve bunun PHP kodu olduğunu fark edip çalıştırmayı deneseniz bile,.txt dosyalarının her biri eksik olduğundan hata alırsınız.
Sonuç olarak bu taktik, saldırganın kodunun fark edilmeden çalışmasını ve birçok yaygın güvenlik önlemi ile fark edilmeden amacına ulaşmasını sağlar.
Azaltma
- Dosyaları sık sık inceleyin ve değişiklikleri takip edin
- Son teknoloji ürünü kötü amaçlı yazılım tespit yazılımını kullanın
- Yazılımı güncelle
- Web sitelerini sık sık yedekleyin
- Bir web sitesi güvenlik duvarı uygulayın
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.