Dosyasız kötü amaçlı yazılım, siber suçluların fark edilmeden sistemlere sızmasının popüler bir yoludur. Kötü amaçlı yazılım olmayan, sıfır ayak izi veya makro saldırı olarak da bilinen bu yazılım, kurbanın bilgisayarına bulaşmak için kötü amaçlı yazılım yüklemeye gerek duymaması nedeniyle geleneksel kötü amaçlı yazılımlardan farklıdır.
Bunun yerine, cihazdaki mevcut güvenlik açıklarından yararlanır: Kötü amaçlı yazılım, bilgisayarın RAM'inde yuvalanır ve javaw.exe veya iexplore.exe gibi normalde güvenli, güvenilir işlemlere kötü amaçlı kod enjekte etmek için yaygın sistem araçlarını kullanır.
Saldırı teknikleri ve dosyasız kötü amaçlı yazılımların nasıl çalıştığı
Siber suçluların dosyasız bir kötü amaçlı yazılım saldırısı başlatmak için kullanabileceği birçok teknik vardır. Örneğin, "kötü amaçlı reklamcılık" olarak adlandırılan kötü amaçlı banner reklamları yoluyla. Kullanıcılar reklamı tıkladıklarında, meşru görünen ve ne yazık ki güvenlik açıkları olan Flash'ı yükleyen kötü amaçlı bir web sitesine yönlendirilirler. Flash, RAM'de çalışırken komut satırından komutları çalıştırmak için Windows PowerShell aracını kullanır. PowerShell daha sonra bir botnet'ten veya güvenliği ihlal edilmiş başka bir sunucudan kötü amaçlı kod indirip yürütür ve ardından kod, saldırgana gönderilecek verileri arar.
Dosyasız kötü amaçlı yazılım herhangi bir dosya indirme gerektirmediğinden tespit edilmesi, engellenmesi ve kaldırılması oldukça zordur. Geleneksel antivirüs programlarının onu algılamasına izin veren tanımlanabilir bir kodu veya imzası yoktur. Ayrıca belirli bir davranışı yoktur, bu nedenle buluşsal tarayıcılar onu algılayamaz. Ek olarak, kötü amaçlı yazılım zaten sistemde bulunan onaylı uygulamaların güvenlik açıklarından yararlandığından, bir bilgisayara yalnızca onaylı uygulamaların yüklenmesini sağlayan bir süreç olan uygulama beyaz listesi tarafından sağlanan korumayı da yenebilir.
Dosyasız Kötü Amaçlı Yazılım Belirtileri
Ancak, bilgisayarınızı yeniden başlatmak, dosyasız bir kötü amaçlı yazılım güvenlik ihlalini durdurabilir. Bunun nedeni, RAM'in verilerini yalnızca bilgisayar açıkken tutmasıdır. Kapandığında, enfeksiyon artık aktif değildir. Ancak, saldırganlar bu güvenlik açığını bilgisayardan veri çalmak veya güvenlik açığını kalıcı hale getirmek için diğer kötü amaçlı yazılım türlerini yüklemek için kullanmaya devam edebilir. Örneğin, bir bilgisayar korsanı, saldırıya devam etmek için sistem yeniden başlatıldığında çalışacak komut dosyaları ayarlayabilir.
Dosyasız bir kötü amaçlı yazılım saldırısını apaçık hale getirecek yeni dosyalar yüklenmemiş veya tipik ihbar davranışı bulunmamakla birlikte, dikkat edilmesi gereken bazı uyarı işaretleri vardır. Bunlardan biri, bilgisayarın botnet sunucularına bağlanması gibi alışılmadık ağ kalıpları ve izleridir. Sistem belleğindeki güvenlik ihlallerinin işaretlerinin yanı sıra kötü niyetli kodun arkalarında bırakmış olabileceği diğer eserler de aranmalıdır.
Dosyasız kötü amaçlı yazılım koruması en iyi uygulamaları
Şirketlerin Dosyasız Kötü Amaçlı Yazılım bulaşmasını önlemek veya bir bulaşma durumunda zararı sınırlamak için atabilecekleri bazı adımlar şunlardır:
- Gereksiz fonksiyon ve uygulamalara son: Kullanılmayan servis ve program fonksiyonları devre dışı bırakılmalıdır. Ayrıca şirketler, iş için kullanılmayan veya gerekli olmayan uygulamaları kaldırmalıdır.
- Ayrıcalıkların korunması: Kuruluşlar, yönetici kullanıcılar için ayrıcalıkları sınırlamalı ve kullanıcılara işlerini yapmak için yalnızca gerektiği kadar izin vermelidir.
- Düzenli yazılım güncellemeleri: Tüm yazılımlar her zaman güncel olmalı ve düzenli olarak güncellenmelidir.
- Ağ trafiği izleme: Ağ trafiği izlenmeli ve anormallikler için etkinlik günlükleri kontrol edilmelidir.
- Uç nokta koruması: Kuruluşlar, uç nokta korumasına sahip olduklarından emin olmalı ve ağlarını korumak için uzak ve mobil cihazlar dahil olmak üzere bu cihazların her birini güvence altına almalıdır.
- PowerShell: PowerShell'i kullanmak ve güvenliğini sağlamak için en iyi uygulamalar da dikkate alınmalıdır.
- Parola hijyeni: Parolalar, dosyasız bir kötü amaçlı yazılım bulaşması tanımlandıktan ve başarıyla temizlendikten sonra değiştirilmelidir.
- Çalışan eğitimi: Kapsamlı son kullanıcı güvenlik eğitimi, dosyasız kötü amaçlı yazılım bulaşmalarını önlemede de uzun bir yol kat edebilir.
Dosyasız kötü amaçlı yazılım, genellikle istismar kitlerine zaten dahil edildiğinden, suçlular tarafından kolayca kullanılabilir. Ek olarak, bazı bilgisayar korsanları bir hizmet olarak dosyasız kötü amaçlı yazılım saldırıları da sunuyor. Kötü amaçlı yazılım, diğer kötü amaçlı yazılımlarla eşleşme esnekliği her ikisini de yapmasına izin vermesine rağmen, kalıcılıktan çok gizliliğe dayanır. Bu nedenle kuruluşlar, bu tehditlerle etkin bir şekilde mücadele etmek için en iyi uygulamalar, güvenlik çözümleri ve çalışan eğitiminden oluşan çok katmanlı bir yaklaşımı içeren bir güvenlik stratejisi uygulamalıdır.
[yıldız kutusu kimliği=6]