Sıklıkla duyulan bir görüş, güvenlik çözümünüzün bir fidye yazılımı saldırısını fark etmesi durumunda artık çok geç olduğudur. Şifreleme işleminin fidye yazılımı saldırısı olduğunu düşünürseniz, bunda pek çok gerçek payı var. Ancak günümüzde şifreleme, birçok fidye yazılımı saldırısının yalnızca bir parçasıdır.
Fidye yazılımı grupları olarak adlandırdığımız bazı siber suçlular, çok “gürültülü” olduğu için şifreleme sürecini kullanmayı tamamen bıraktılar. Oluşturmak için kullanılan elektronlara değecek herhangi bir yapay zeka tabanlı çözüm, sistemdeki şifreleme ve yedeklerin silinmesi ile ilgili etkinlikleri fark edecektir.
Fidye yazılımının ilk günlerinde siber suçlular, sisteminize kötü amaçlı yazılım bulaştırmak için bir eki açmanızı veya bir bağlantıya tıklamanızı umarak size bir e-posta gönderdiler. Ancak kötü amaçlı yazılımın tespit edilmeden kalmayı umabileceği kısa bir zaman aralığı vardır. Yaygın kötü amaçlı yazılımların tespit edilmesi genellikle yalnızca bir güncelleme uzaktadır.
Dolayısıyla bu çetelerin birçoğu varlıklarını gizlemek için çok daha sessiz operasyonlara başvurdu. Bu tipik saldırı akışını düşünün:
- İlk erişim, hedefin ortamında bulunan yazılım veya donanımdaki güvenlik açıklarından yararlanılarak elde edilir.
- Güvenlik açığından yararlanma, kimlik avı veya parola saldırıları yoluyla elde edilen geçerli kimlik bilgileriyle suçlular, kendilerine komuta ve kontrol seçenekleri sağlayacak bir dayanak oluşturabilecekleri, internete açık bir hizmete erişim sağlar.
- Buradan hedefin ağı boyunca yanal hareket başlatabilir ve izinlerini yükseltmenin yollarını bulabilirler.
- Bir sonraki adıma genellikle veri sızdırma adı verilir; bu, ilginç görünen dosyaların, suçluların onlara iyice bakabileceği, kendi kontrolleri altındaki bir konuma kopyalanmasından başka bir şey değildir.
Gördüğünüz gibi bu adımlarda herhangi bir kötü amaçlı yazılım bulunmuyor. Her bir adım, halihazırda mevcut olan yazılım kullanılarak yapılabilir. Yanal hareket genellikle PowerShell, PsExec veya Windows Yönetim Araçları (WMI) gibi yerleşik araçların dağıtılmasıyla yapılır.
Bu tekniğe Arazide Yaşamak (LOTL) diyoruz. LOTL saldırıları normal davranışı taklit ederek gerçekleştirilir ve BT ekiplerinin ve güvenlik çözümlerinin kötü amaçlı etkinlik işaretlerini tespit etmesini son derece zorlaştırır.
Tespit edilmekten kaçınmanın bir başka yolu da dosyasız kötü amaçlı yazılım kullanmaktır. Dosyasız kötü amaçlı yazılımların yalnızca bellekte yerleşik olması ve ideal olarak yürütüldükten sonra hiçbir iz bırakmaması amaçlanmaktadır. Yani kötü amaçlı veri yalnızca bilgisayarın belleğinde bulunur; bu da hiçbir şeyin doğrudan sabit sürücüye yazılmayacağı anlamına gelir. Kural olarak, kötü amaçlı yazılım yazarları güvenlik satıcıları tarafından tespit edilmekten kaçınamıyorlarsa, en azından bunu mümkün olduğu kadar geciktirmek isterler. Bu, dosyasız kötü amaçlı yazılımları, kötü amaçlı yazılımlarla güvenlik ürünleri arasındaki silahlanma yarışında bir adım öne çıkardı.
Tespit edilmekten kaçınmanın çok farklı bir başka yöntemi de, gerçek saldırı başlatılmadan önce yerleşik güvenlik yazılımını devre dışı bırakmaktır. Bu yıl gördüğümüz bunu başarmanın bir yolu imzalı sürücüleri kullanmaktır. Sürücüler yalnızca saldırganın güvenliği ihlal edilmiş sistemlerde yönetici ayrıcalıklarına sahip olması durumunda dağıtılabilir. Sürücüler sistemin önyükleme işleminin başında yüklenir ve bu nedenle daha sonra yüklenen programlara müdahale edebilir.
Sürücüleri kullanan en yaygın saldırı türü, saldırganların güvenlik açıklarını bilen ve bunlardan yararlanabilen meşru bir yazılım yayıncısının sürücüsünü kullandığı “kendi savunmasız sürücünüzü getir” (BYOVD) yaklaşımıdır. Sürücü meşru olduğundan, güvenlik kontrollerini atlayacak ve sisteme yüklendikten sonra saldırganın sürücüden yararlanmasına olanak tanıyacaktır.
Ancak, Microsoft imzası almak için kötü amaçlı sürücüler gönderen çeşitli geliştirici programı hesaplarının da kötüye kullanılması söz konusudur. Güvenilir bir yazılım yayıncısının imzaları, sürücünün güvenlik yazılımının müdahalesi olmadan Windows’a girme olasılığını artırır.
Malwarebytes de dahil olmak üzere birçok kötü amaçlı yazılımdan koruma çözümü, kurcalamaya karşı korumaya sahiptir; bu nedenle, korumayı devre dışı bırakacak yöntemler bulmak, kötü amaçlı yazılım yazarları için büyük bir meseledir.
Radarın altında kalmak üzere tasarlanmış kötü amaçlı etkinlik işaretlerini bulmak uzmanların işidir; bu nedenle birçok kuruluş Yönetilen Tespit ve Yanıt (MDR) hizmetleri arıyor.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.