Şu senaryoyu hayal edin: Koruma yazılımınız mükemmel çalışıyor. Sistemler korunuyor, tanımlar güncel, davranış analizi aktif. Daha sonra aniden ağınızdaki dosyalar şifrelenmeye başlar. Yedeklemeler siliniyor. Fidye notları makinelerinizde görünür. Güvenlik yazılımınız hiçbir şey göstermiyor. Uyarı yok, algılama yok, engellenen süreç yok. Bu nasıl mümkün olabilir?
Bu varsayımsal bir durum değil. Bu, fidye yazılımı operatörlerinin karmaşık koruma sistemlerini bile atlatmak için aktif olarak kullandığı gerçek bir saldırı tekniğidir. Saldırı, güvenlik yazılımının nasıl çalıştığına ilişkin temel bir varsayımdan yararlanıyor: kötü amaçlı işlem ve saldırıya uğrayan dosyaların aynı makinede olduğu varsayımı. Bu varsayım bozulduğunda geleneksel savunmalar başarısız olur.
Malwarebytes fidye yazılımı koruması birden fazla savunma katmanı aracılığıyla çalışır. Bunlar arasında yapay zeka tabanlı analiz, makine öğrenimi modelleri, imza algılama, çalışma zamanı korumalı alan oluşturma, kötüye kullanımın azaltılması ve web koruması yer alır. Her katman tehditleri farklı aşamalarda durdurur. Anti-Ransomware davranışsal katmanı, gerçek dosya şifreleme davranışını gerçek zamanlı olarak izler. Malwarebytes, savunmasının tüm katmanlarını sürekli olarak geliştirir.
Bu makalede, son dönemdeki bir yenilik tartışılmaktadır. Fidye Yazılımına Karşı Davranışsal İzleme Teknolojisi. Sonuç, dosya izleme, ağ oturumu izleme, davranış analizi ve gerçek zamanlı tehdit korelasyonu alanlarındaki yenilikleri birleştiren kapsamlı bir geliştirmedir.
Geleneksel koruma neden başarısız oluyor?
Bir ağ üzerinden yapılan fidye yazılımı saldırısının neden bu kadar etkili olduğunu anlamak için bu teknolojinin nasıl çalıştığını anlamamız gerekir. tipik olarak çalışıyor. Anti-Ransomware bileşeni, uygulamalar ile dosya sistemi arasında yer alır ve her dosya işlemini tamamlanmadan önce görmesine olanak tanır.
Bir süreç bir dosyayı açmaya, okumaya veya yazmaya çalıştığında özel geri aramalar tetiklenir. Bunları, güvenlik sürücüsünün olup biteni inceleyebileceği ve işleme izin verilip verilmeyeceğine karar verebileceği güvenlik kontrol noktaları olarak düşünün. Yazılım kalıplara bakıyor: Bu süreç birçok dosyayı hızlı bir şekilde şifreliyor mu? Şüpheli uzantılar mı ekliyor? Yedek Kopyaları silmeye mi çalışıyor? Bu davranışsal göstergeler bir araya getirildiğinde fidye yazılımının sinyalini verir.
Bu mimari, fidye yazılımı işlemi ve şifrelenen dosyalar aynı makinede olduğunda mükemmel çalışır. Sürücü süreci görür, zaman içindeki davranışını izler, bir tehdit profili oluşturur ve önemli bir hasar oluşmadan önce bunu engelleyebilir.
Peki fidye yazılımı bir cihazda çalışıp diğer cihazdaki dosyalara saldırdığında ne olur? Örneğin, bir saldırgan korumasız bir aygıtın, geçerli koruması olmayan eski bir aygıtın veya yönetilmeyen bir konuk aygıtın güvenliğini ihlal eder ve bunu, ağ paylaşımları aracılığıyla korumalı sistemlerdeki dosyaları şifrelemek için kullanır. Makineniz herhangi bir şüpheli programın çalıştığını görmüyor. Birisi ağ üzerinden dosyalara erişiyor gibi görünüyor ki bu her zaman oluyor.
Bu, fidye yazılımları için mükemmel bir saklanma noktası oluşturur. Saldıran cihazda herhangi bir güvenlik yazılımı yüklü olmayabilir. Dosyaların şifrelendiği ana bilgisayarınızda, güvenlik yazılımı dosyaların değiştiğini görür ancak buna hangi programın neden olduğunu anlayamaz. Kötü amaçlı program ile dosyalarınız arasındaki bağlantı gizlidir.
Birden fazla fidye yazılımı çeşidi bu tekniği benimsemiştir. Ağ klasörlerini ve ortak sürücüleri hedeflemek için belirli komutlar kullanırlar. Bunlar rastgele saldırılar değil. Uzaktan şifreleme yoluyla güvenlik yazılımını atlayacak şekilde dikkatli bir şekilde tasarlandılar
Bunlar fırsatçı saldırılar değil. Uzaktan şifreleme yoluyla geleneksel fidye yazılımına karşı korumayı atlayacak şekilde dikkatle tasarlandılar.
İki parçalı koruma mimarisi
Bu sorunu çözmek, iki farklı saldırı vektörünün ele alınmasını gerektiriyordu. Bölüm 1, uzak dosyalara saldıran yerel bir işlemi içerirken, Bölüm 2, yerel dosyalara saldıran uzak bir işlemi içerir. Her biri farklı teknik yaklaşımlar gerektiriyordu.
Bölüm 1: Yerelden uzaklara saldırıları tespit etme
Bir program ağınızdaki veya paylaşılan klasörlerinizdeki dosyalara erişmeye çalıştığında Malwarebytes, programın şüpheli davranıp davranmadığını kontrol eder. Program hızla birçok dosyayı değiştiriyor ve fidye notları oluşturuyorsa sistem gerçek zamanlı olarak bir tehdit puanı oluşturur.
En önemli yenilik, Malwarebytes’in yerel ve ağ etkinliğini ayrı ayrı izlemesidir. Bir program, ağ üzerinden başka bir cihazdaki dosyalara saldırırken bilgisayarınızdaki dosyalarla güvenli bir şekilde çalışıyor olabilir. Her ikisini de izleyerek fidye yazılımlarını yanlış alarmlar olmadan yakalayabiliriz. Malwarebytes fidye yazılımı davranışını tespit ettiğinde, kötü amaçlı programı anında engeller ve dosyalarınız şifrelenmeden saldırıyı durdurur.
Bölüm 2: Uzaktan ve yerel saldırıları tespit etmek
İkinci zorluk ise daha zor: Peki ya fidye yazılımı başka bir cihazda çalışıyorsa ve dosyalarınıza uzaktan saldırıyorsa? Bilgisayarınızda engellenecek kötü amaçlı bir program yok.
Çözümümüz ağ bağlantılarını izler. Dosyalara ağınızdaki başka bir cihazdan erişildiğinde, Windows hangi cihazın bağlandığına ilişkin bilgileri tutar. Malwarebytes bu bilgileri yakalar ve birçok dosyayı hızla değiştirmek, şüpheli dosya uzantıları eklemek veya fidye notları oluşturmak gibi şüpheli davranışları izler. Başka bir cihazdan gelen bir saldırı tespit ettiğimizde söz konusu bağlantının dosyalarınıza erişmesini engelleriz.
Fidye yazılımı korumasında yenilik
Uygulamamız özel bileşenlerimiz aracılığıyla çalışır. Bu mimari hem performans hem de güvenlik açısından gereklidir. Her dosya işlemi filtremizden geçer, bu nedenle sistemin yanıt verme yeteneğinin etkilenmesini önlemek için kararları mikrosaniyeler içinde işlememiz gerekir.
Birden fazla optimizasyon katmanı uyguladık. İlk olarak, kategorik olarak fidye yazılımıyla ilgili olamayacak dosya işlemlerini filtreliyoruz. Bir dosyayı salt okunur erişim için açmak bir tehdit değildir, bu nedenle ayrıntılı analizi atlıyoruz. Yalnızca meta verileri sorgulayan işlemler Windows’ta sürekli olarak gerçekleşir ve fidye yazılımı algılama amacıyla güvenli bir şekilde göz ardı edilebilir.
Analiz gerektiren operasyonlar için gelişmiş bir gösterge yaşam süresi (TTL) sistemi uyguladık. Davranışsal göstergeler zamanla bozulur. Bu, dosya senkronizasyon araçları veya yedekleme yazılımı gibi meşru faaliyetlerden kaynaklanan hatalı pozitif sonuçları önler.
Ağ oturumu izleme bileşeni, Windows ağıyla derin entegrasyon gerektiriyordu. Windows’un ağ dosyası sunumu için kullandığı dahili yapılara erişerek oturum bilgilerini çıkarıyoruz. Hariç tutma sistemimiz ağ aralıkları için IPv4, IPv6, ana bilgisayar adlarını ve CIDR gösterimini destekler.
Bu korumayı farklı kılan nedir?
Malwarebytes yaklaşımını diğer çözümlerden ayıran çeşitli faktörler vardır.
Birincisi kapsamlılıktır. Birçok güvenlik satıcısı bu konuyu kısmen ele alıyor. Yerel dosyalara saldıran uzak işlemler veya yerel işlemlerin uzak dosyalara saldırdığı yer. Tek bir uç noktanın güvenliğini ihlal eden bir saldırgan, yine de paylaşılan kaynakları şifreleyebilir. Malwarebytes her iki vektöre karşı da koruma sağlar.
İkincisi kesinliktir. Çoğu çözüm, tehdit tespit ettiğinde tüm ağ bağlantılarını engeller veya hesapları kilitler. Malwarebytes daha kesindir. Yalnızca belirli kötü amaçlı bağlantıları engelleriz. Aynı cihazdaki diğer etkinlikler normal şekilde çalışmaya devam eder. Yalnızca fidye yazılımının erişimi durdurulur.
Üçüncüsü performanstır. Malwarebytes bilgisayarınızı yavaşlatmadan verimli bir şekilde çalışır.
Dördüncüsü kanıtlanmış korumadır. Bu teknoloji birçok farklı iş ve ev ağında test edilmiş ve uygulanmıştır. Gerçek dünya koşullarında çalıştığı kanıtlanmıştır.
Daha geniş anlamlar
Bu koruma, tek tür fidye yazılımı saldırısını durdurmaktan fazlasını yapar. Ağ farkındalığına sahip güvenlik konusunda yeni bir düşünme biçimini temsil eder. Eski yaklaşım her cihazı ayrı ayrı ele alıyordu ancak saldırganlar tehditleri yaymak için ağ bağlantılarını kullandığında bu yöntem işe yaramıyordu. Güvenlik çözümlerinin, saldırıların ağdaki herhangi bir cihazdan gelebileceğini ve erişilebilir tüm dosyaları hedef alabileceğini anlaması gerekir.
Geliştirdiğimiz teknoloji fidye yazılımlarını durdurmaktan daha fazlasını yapabilir. Ağ bağlantılarını izleyen ve şüpheli davranışları izleyen aynı sistem, birinin verilerinizi çalmaya çalışması veya görüntüleme iznine sahip olmaması gereken dosyalara erişmesi gibi diğer tehditlerin tespit edilmesine yardımcı olabilir.
Saldırganlar yöntemlerini geliştirmeye devam edecek. Şu anda gördüğümüz saldırılar daha karmaşık hale gelecek. Kendilerini normal bilgisayar bakımı veya dosya yönetimi olarak gizlemeye çalışabilirler. Korumamız uyum sağlayacak şekilde tasarlanmıştır. Bilinen belirli saldırıları aramak yerine şüpheli davranış kalıplarını izlediğinden, sürekli güncellemelere ihtiyaç duymadan yeni varyasyonları tespit edebilir.
Fidye yazılımı gelişmeye devam ediyor ve saldırganlar sürekli olarak güvenliği aşmanın yeni yollarını buluyor. Malwarebytes gerçek inovasyonla önde olmaya kararlıdır. Bu geliştirme, birçok güvenlik programının çok geç olana kadar ele almadığı kritik bir açığı kapatıyor.
Güvenlik yazılımı seçiyorsanız veya mevcut korumanızı gözden geçiriyorsanız kendinize şunu sorun: Bu yazılım, ağ paylaşımları yoluyla yayılan fidye yazılımlarına karşı koruma sağlıyor mu? Fidye yazılımı saldırılarının bu tekniği kullanması nedeniyle bu durum giderek daha önemli hale geliyor.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.