Güvenlik ekipleri, orada neler olduğunu anlamak ve kuruluşlarını güvende tutmak için tehdit raporlarına güvenir. Ancak yeni bir rapor, bu raporların hikayenin sadece bir kısmını ortaya çıkarabileceğini gösteriyor. Gizli kötü amaçlı yazılım varyantları sessizce geçmiş savunmaları kaydırıyor ve ekipleri yanlış bir güvenlik duygusu ile bırakıyor.
Merdiven boşluğu Gizli Kötü Yazılım Raporu 2025 Mart 2023 ile Temmuz 2025 arasında yayınlanan 769 tehdit raporu analiz edildi. Bu raporlar 10.000’den fazla kötü amaçlı yazılım dosyası tanımlayıcısı içeriyordu. Araştırmacılar bu dosyaları daha derinlemesine kazarak, orijinal raporlara dahil olmayan 16.000’den fazla ek kötü amaçlı yazılım varyantını ortaya çıkardılar.
Kötü amaçlı yazılım varyantları ve neden önemlidir?
Kötü amaçlı yazılım varyantları, mevcut kötü amaçlı yazılımların biraz değiştirilmiş sürümleridir. Saldırganlar nadiren sıfırdan yeni kötü amaçlı yazılımlar inşa eder. Bunun yerine, neyin işe yaradığını ve bir dosyayı yeniden paketleme, kod değiştirme veya kısımlarını yeniden adlandırma gibi küçük değişiklikler yaparlar. Bu değişiklikler tamamen farklı bir karma üretmek için yeterlidir, bu da çoğu güvenlik aracı kötü amaçlı yazılımı bu şekilde izler.
Sorun şu ki, birçok aracın genellikle kesin eşleşmelere dayanmasıdır. Bir dosyanın karma değişirse, artık bilinen imzalarla eşleşmeyebilir ve bu da algılamayı geçmesine izin verir. Saldırganlar tamamen yeni tehditler yaratmaya gerek kalmadan bu şekilde ilerliyorlar.
Savunucular için bu, bir kötü amaçlı dosyanın yakalanmasının sadece başlangıç olduğu anlamına gelir. İlgili varyantları ortaya çıkarmadan, güvenlik ekipleri daha büyük resmi kaçırabilir ve saldırganların saklanabileceği boşlukları bırakabilir.
“Statik karmalara güveniyorsanız, dünkü tehditlerle savaşıyorsunuz,” dedi Stairway’den CTO Mike Wiacek.
Rapor ne buldu
Çalışma, varyant sorununun ne kadar yaygın olduğunu vurgulamaktadır. Ortalama olarak, her tehdit raporu bilinen kötü amaçlı yazılım örneklerinin 13 karmasını içeriyordu. Aynı dosyalar daha fazla analiz edildiğinde, ortalama 21 ilave ek kötü amaçlı yazılım varyantı keşfedildi.
Zamanla, raporlarda paylaşılan karmaların sayısı da arttı. 2023’te ortalama bir rapor 11 karma içeriyordu. 2025 yılına gelindiğinde, bu sayı 18’e yükseldi. Bu, satıcılar daha fazla bilgi paylaşırken, keşfedilmemiş kötü amaçlı yazılım miktarının daha da hızlı büyüdüğünü göstermektedir.
Rapor ayrıca, eski kötü amaçlı yazılım ailelerinin daha fazla varyantlara sahip olduklarını belirtiyor. Başarılı kötü amaçlı yazılımlar, tespitten kaçınmak için küçük ayarlamalar yapan saldırganlar tarafından genellikle kopyalanır ve yeniden kullanılır. Bu, iyi belgelenmiş tehditlerin bile gelişmeye ve savunmalardan kaçmaya devam ettiği bir döngüye yol açar.
Gizli tehdit riskleri
Kötü amaçlı yazılım varyantları tespit edilmediğinde, sonuç zararlı olabilir. Güvenlik ekipleri bir tehdidin kaldırıldığına inanabilirken, gerçekte değiştirilmiş sürümler hala çevrede aktiftir. Bu, saldırganların uzun süre sömürebileceği kör noktalar yaratır.
En büyük tehlike yanlış güvendir. Savunmaların olmadığı zaman etkili olduğuna inanmak, gecikmiş yanıt sürelerine ve yayılmadan önce bir saldırıyı durdurma fırsatlarına yol açabilir.
Takımlar nasıl yanıt verebilir
Rapor, yalnızca zaman içinde taramalara veya statik imzalara güvenmek yerine sürekli analiz ihtiyacını vurgulamaktadır. Güvenlik ekipleri savunmalarını geliştirmek için adımlar atabilir:
- Çeşitli algılama yöntemlerini kullanarak sürekli olarak tehdit avı avlamak.
- Kesin karmaların ötesindeki kalıpları tanımlamak için Yara kuralları gibi kuralları yazma ve güncelleme.
- Sadece bilinen göstergeler değil, uzlaşma belirtileri için günlükler ve sistemler arasında arama.
- Yeni tehdit istihbaratı kullanılabilir hale geldikçe dosyaları düzenli olarak yeniden canlandırıyor.
Temellere Dönüş Web Semineri: CIS Security En İyi Uygulamalarının Ekosistemi