Sürekli değişen siber güvenlik alanında, tehdit aktörleri sistem ihlallerine karşı her zaman yeni ve daha etkili yaklaşımlar geliştiriyor.
Temel bilgisayar virüslerinden günümüzün karmaşık kalıcı tehlikelerine kadar, kötü amaçlı yazılımlar son derece dramatik bir şekilde gelişmiştir.
Kötü amaçlı yazılımlar, dosyasız kötü amaçlı yazılımlar büyüdükçe, dosya tabanlı veriler kullanarak saldırıya uğramış cihazlarda iz bırakan geleneksel kötü amaçlı yazılımların yerine daha tehlikeli bir alternatif olarak gelişti.
Modern güvenlik çözümleri, tamamen bellekte çalıştıkları ve kurbanın sabit diskinde bu tür bir saldırının neredeyse hiçbir izinin kalmadığı için bu tür saldırıları tespit etmekte büyük zorluk çekiyor.
Dosyasız kötü amaçlı yazılımlar, öncekilerden farklı olarak sıradan sistem araçlarını ve tekniklerini kullanarak kötü niyetli niyetlerini ileterek göz önünde gizlenir.
Dosyasız kötü amaçlı yazılımlara yönelik etkili tespit ve önleme prosedürleri, işletmeler siber güvenlik sistemlerini geliştirdikçe daha da önemli hale geliyor.
Bu bilgi açığı birçok güvenlik çözümünü savunmasız hale getirdiğinden, güvenlik uzmanlarının bellek tabanlı saldırıları anlaması gerekir.
Dosyasız Kötü Amaçlı Yazılım Nedir?
Dosyasız kötü amaçlı yazılım taktikleri, daha geleneksel kötü amaçlı yazılım türlerinden daha nazik ve dikkatli bir şekilde bilgisayara sızmayı amaçlar.
Dosyasız kötü amaçlı yazılımlar sabit sürücüde hiçbir kayıt bırakmazken, geleneksel kötü amaçlı yazılımlar tamamen bilgisayarın rastgele erişim belleğinde (RAM) çalışır.
Bu yeni strateji nedeniyle, geleneksel antivirüs programlarının riski keşfetmesi ve ortadan kaldırması biraz daha zordur.
Dosyasız kötü amaçlı yazılımlar, önceden yüklenmiş araçlardan ve standart sistem etkinliklerinden yararlanabileceğinden kolayca gözlemlenebilir.
Bu istismarlar, tehlikeli kodları aktif belleğe getirmek için Windows’un yerleşik yönetim araçlarını kullanıyor, dolayısıyla geleneksel güvenlik önlemlerini atlatıyor.
Daha karmaşık türler tipik olarak sistemin yeniden başlatılmasından daha uzun süre dayanacak kalıcılık mekanizmaları içerse de, virüs yalnızca bellektedir ve sistem yeniden başlatıldığında kendini siler.
Son birkaç yılda geniş çapta rapor edilen birkaç dosyasız saldırı, bunların gücünü doğruluyor.
2017 yılında PowerShell komut dosyalarını kullanan dosyasız bir saldırı büyük bir finansal hizmetler kuruluşunun ağını tehlikeye attığında hassas veriler ortadan kayboldu.
2019’da aynı derecede endişe verici olan şey, düşmanca komutlar yürüten Windows Yönetim Araçları (WMI) kullanılarak geliştirilmiş dosyasız saldırılardı.
Bu kampanyalar dünyanın her yerindeki devlet dairelerini etkiledi. Bu grafikler, bellek tabanlı saldırıların geleneksel güvenlik sistemlerini atlatmak için ne kadar sık ve başarılı bir şekilde değiştiğini gösterdi.
Dosyasız Kötü Amaçlı Yazılım Sistemlere Nasıl Sızıyor?
Dosyasız kötü amaçlı yazılımlar genellikle insan hatalarından ve güvenlik açıklarından yararlanarak bilgisayarları görünüşte zararsız erişim bağlantı noktaları aracılığıyla bulur.
Genellikle zararlı makrolar içeren kimlik avı e-postaları veya tarayıcı açıklarını kullanan saldırıya uğramış web siteleri ile başlayan bu tür saldırılar, Bilinmeyen’den onlara yayılır ve bu zarar verici öğelerle bağlantı kurmak, insanların sistemleri ihlal etmesine neden olur.
Dosyasız kötü amaçlı yazılımlar gerçek sistem yardımcı programlarını ele geçirebileceğinden çok tehlikelidir. PowerShell ve Windows Yönetim Araçları (WMI) gibi önceden yüklenmiş Windows yönetimine yönelik araçlar, düşman için silah olabilir.
Genellikle beyaz listeye alınan ve yüksek sistem haklarına sahip olan bu güvenilir programlar, yasa dışı faaliyetler için en iyi saklanma yerini sunar.
Kötü amaçlı yazılım bir kez açıldığında, verileri diske yazmak yerine yükünü hemen bellekte çalıştırır.
Genellikle daha az tehlikeli kötü amaçlı yazılımların küçük bir komut dosyasıyla indirilmesiyle başlayıp çalışan uygulamalara eklenmesiyle başlar, ana bilgisayar olarak geçerli Windows işlemlerini kullanır ve eklenen kod tamamen RAM’de çalışır.
Geleneksel dosya tabanlı algılama teknikleriyle şüpheli dosyalar üretilmediğinden, bulaşma neredeyse tamamen göz ardı edilir.
Tamamen bellekte bulunan dosyasız kötü amaçlı yazılım, güvenilir sistem özelliklerini kullanarak geleneksel güvenlik önlemlerini ortadan kaldırır.
Dosyasız Saldırılarda Kullanılan Teknikler
Modern dosyasız saldırılar, sistem süreçlerine ve araçlarına duyulan güveni kullanmak için karmaşık bir araç setini bir araya getirir.
Kod Enjeksiyonu: En yaygın kullanılan tekniklerden biri, daha önce çalıştırılan Explorer.exe veya svchost.exe gibi meşru uygulamalara doğrudan tehlikeli kod enjekte eden kod enjeksiyonudur. Bu strateji, düşman aktörlerin güvenilir prosedürleri kapsamasına olanak tanır ve böylece sistem tarafından görülemeyen zararlı operasyonlara olanak tanır.
Arazi Dışında Yaşama (LotL) Teknikleri: Dosyasız saldırıların en önemli bileşenleri aynı zamanda arazide yaşama (LotL) teknikleridir.
Saldırganlar, Windows’un yerleşik özelliklerinden ikisi olan PowerShell ve Windows Yönetim Araçları’nı kullanarak yıkıcı işlemler gerçekleştirir.
Saldırganlar, WMI aracılığıyla kalıcılık oluşturabilir ve PowerShell’i kullanarak ağ bilgisayarları arasında yanal olarak hareket ederek ek yükleri doğrudan belleğe indirebilir ve çalıştırabilir.
Kayıt Defteri Manipülasyonu: Saldırganlar genellikle Windows Kayıt Defterini, sistemin yeniden başlatılması sırasında bile kalıcılığın korunacağı şekilde değiştirir.
Kötü amaçlı yazılımlar, sistem başlatılırken kayıt defteri anahtarlarında tutulan komutları yavaşça yeniden yürüterek disk temizleme araçları tarafından algılanmayı önleyebilir. Bu yöntemi kapsamlı bir şekilde kullanan Poweliks kötü amaçlı yazılım kampanyası, fark edilmeden kayıt defteri girişlerindeki şifrelenmiş verileri gizledi.
Yansıtıcı DLL Enjeksiyonu: Yansıtıcı DLL enjeksiyonu adı verilen modern bir yöntem, düşman aktörlerin dinamik bağlantı kitaplıklarını doğrudan diskten bir işlemin bellek bölgesine kaydetmeden yüklemesine olanak tanır.
Finansal kurumlara yönelik daha önceki saldırılarda görüldüğü gibi bellekte yerleşik bankacılık truva atlarını dağıtan bu yaklaşım, disk tabanlı tespit sistemlerinden tamamen kaçıyor. Güvenlik protokollerinden ve geleneksel yükleme mekanizmalarından kaçınır.
Dosyasız Kötü Amaçlı Yazılımları Tespit Etmedeki Zorluklar
Dosyasız kötü amaçlı yazılımların tespit edilmesiyle ilgili belirli sorunlarla uğraşırken geleneksel güvenlik yöntemleri yeterli değildir.
Bu saldırılara karşı genellikle işe yaramayan, çoğunlukla imza tabanlı algılama yöntemlerine dayanan geleneksel antivirüs yazılımı, taranacak veya imzaları eşleştirilecek tehlikeli dosyalar olmadığından işe yaramaz.
Çağdaş saldırı teknikleri ile geleneksel güvenlik politikaları arasındaki temel uyumsuzluk, birçok şirketin savunma taktiklerinin oldukça yetersiz olmasına neden oluyor.
Davranış analizi ve hafıza taraması tespit açısından daha fazla potansiyel gösterse de bu teknolojilerin yine de bazı zorlukları var.
Hem iyi huylu hem de yıkıcı davranışlar aynı sistem araçlarını kullanabilse bile davranış analizinin bunları birbirinden ayırması gerekir.
Bu, güvenlik personelinin çoğu zaman yanlış pozitiflerle bunaltılmasına neden olan fayda ve güvenlik arasında hassas bir denge oluşturur.
Her ne kadar hatırı sayılır bir vaatte bulunsa da, RAM’in değişkenliği ve sürekli bellek izlemenin kaynak yoğun doğası, bellek taramasının gerçekçi sınırlara sahip olduğu anlamına gelir.
Gelişmiş dosyasız kötü amaçlı yazılımlar, bellek incelemesine odaklanıldığında davranışını da değiştirebilir. Özellikle performans etkisinin azaltılması gereken büyük ölçekli işletmelerde, mevcut tespit teknikleri çoğu zaman hafızada yerleşik riskleri gerçek zamanlı olarak yeterince değerlendirememektedir.
Bu kusurlar, sistem performansını tehlikeye atmadan dosyasız saldırıları etkili bir şekilde tespit edip durdurabilen gelişmiş tespit tekniklerinin acil gerekliliğine dikkat çekmektedir.
Azaltma ve Savunma Stratejileri
Dosyasız kötü amaçlı yazılımlarla mücadele, sıkı güvenlik kurallarını çağdaş teknolojik çözümlerle birleştiren çok yönlü bir stratejiyi gerektirir.
- Uç Nokta Tespiti ve Yanıtı (EDR): İlk savunma katmanı, sistem etkinliğini izleyen ve şüpheli davranışları gerçek zamanlı olarak belgeleyen her zaman uç nokta tespit ve yanıt (EDR) sistemleridir.
- Bu teknolojiler, bellek değişikliklerini, tuhaf süreç bağlantılarını ve yasa dışı sistem yardımcı programı kullanımını tanıyarak dosyasız saldırıları tanımlar.
- Bellek Analizi: Savunma teknikleri temel olarak bellek analizine dayanır, çünkü sistem belleği tehlikeli eğilimler ve olağandışı eylemler açısından sürekli olarak taranır.
- Gelişmiş bellek tarama sistemleri, RAM enjekte edilmiş uygulamalarda veya şüpheli komut dosyalarında gizli olsa bile bunları tespit edebilir. Diskle hiçbir zaman etkileşime girmeyen risklerin tespiti oldukça büyük ölçüde bu yeteneğe bağlıdır.
- Kullanıcı Eğitimi: Yeterli kullanıcı eğitimi, erken uzlaşmanın önlenmesine yardımcı olur. Düzenli personel eğitimi, kötü amaçlı URL’ler ve karmaşık kimlik avı operasyonları gibi yaygın dosyasız saldırı kaynaklarını tespit etmelerine yardımcı olur.
- Kuruluşlar, kullanıcıların sistemin bütünlüğünün korunmasında üzerlerine düşenin farkında olduğu ve bu sorumluluğu üstlendiği güvenlik bilincine sahip bir kültür olmadan çalışamaz.
- Sistem Sertleştirme: Sistem sertleştirmesi yalnızca savunma sağlamakla kalmaz, aynı zamanda kötü aktörlerin kullanabileceği saldırı yüzeyini de azaltır.
- Bu süreç en az ayrıcalık kavramlarını takip eder, gereksiz yönetim araçlarını kaldırır ve PowerShell yürütmesini sıkı bir şekilde sınırlar. Uygulamaların beyaz listeye alınması ve düzenlenmiş yönetim işlevi kullanımı, dosyasız kötü amaçlı yazılım taktiklerini önemli ölçüde sınırladı.
Dosyasız Kötü Amaçlı Yazılımlara İlişkin Geleceğe Bakış
Dosyasız kötü amaçlı yazılım alanı baş döndürücü bir hızla dönüyor ve giderek karmaşıklaşan saldırı tekniklerine yönelik rahatsız edici bir eğilim var.
Gelecekteki sürümler sürekli olarak davranışlarını değiştirecek ve keşfedilmekten kaçınacaksa, büyük olasılıkla yapay zekayı kullanan gelişmiş kaçınma stratejilerini kullanacaklar.
Güvenlik uzmanları, daha karmaşık ve güçlü saldırılar gerçekleştirmek için daha geleneksel kötü amaçlı yazılımları dosyasız yöntemlerle birleştiren hibrit saldırılarda bir artış olacağını tahmin ediyor.
Ancak karşı önlem teknolojisi de hızla gelişiyor. Yeni düzeylerde yapay zeka ve makine öğrenimi, kalıp ve davranış analizi yoluyla risk tespitini dönüştürüyor.
Bu ilerlemeler, güvenlik sistemlerinin artık yeni saldırı alanlarını, potansiyel yıkıcı etkilerinin çok öncesinde tahmin etmesine ve tespit etmesine olanak tanıyor.
Sistem belleğini gerçek zamanlı olarak izlemek ve olası kötü amaçlı etkinlikleri ima eden küçük düzensizlikleri belirlemek için geliştirilen karmaşık sinir ağları vardır.
Güçlü davranışsal analizlerle birleştirilen kuantum hesaplama, saldırganlar ve savunucular arasındaki savaş yoğunlaştıkça hafızaya dayalı tehlikeleri tespit etme ve önleme stratejimizi temelden değiştirebilir.
Çözüm
Çağdaş siber güvenliğin en karmaşık sorunları arasında yer alan dosyasız kötü amaçlı yazılımlar, tehditler değiştikçe daha da sorunlu hale geliyor.
Çevredeki şirketler, sistem belleğinde saklanabilecekleri, yasal stratejiler kullanabilecekleri ve geleneksel güvenlik önlemlerinden kaçınabilecekleri için büyük risk altındadır.
Bu saldırıların başarısı, EDR teknolojisi ve kapsamlı kullanıcı eğitimi gibi yaratıcı tespit ve önleme tekniklerinin uygulanmasının önemini vurgulamaktadır.
Yeni tehlikelerin önünde durmak istiyorsak her zaman tetikte ve uyarlanabilir olmamız gerekir.
Giderek daha karmaşık hale gelen hafıza tabanlı saldırıları önlemek için kuruluşların güvenlik politikalarını iyileştirmeye, yeni teknolojileri uygulamaya ve güçlü savunma yöntemlerini korumaya kararlı olmaları gerekir.
Yazar Hakkında: Ahmed Olabisi Olajide – Ahmed Olajide, Boaze’de BT Başkanı ve yeni kurulmuş bir siber güvenlik şirketi olan Eybrids’in kurucu ortağıdır.