Sophos, dosyasız kötü amaçlı yazılımların DNA'sını çözer ve yeni koruma teknolojisi sunar. Dinamik Kabuk Kodu Koruması, fidye yazılımı veya uzaktan erişim aracıları gibi geçici depolamada çalışan kötü amaçlı yazılımları algılar ve koruma programlarını atlamak için popüler bir bilgisayar korsanlığı tekniğini engeller.
Sophos, kötü amaçlı yazılımın kendisini etkilenen bilgisayarın geçici belleğinde dosyalar olmadan yüklediği siber saldırılara karşı yeni korumasını sunar. Dinamik Kabuk Kodu Koruması, Sophos Intercept X'te yerleşiktir ve saldırı kodunun, belleğin dinamik yığın bölgesinde yuvalanmasını önleyebilir.
Bellek: Kötü amaçlı yazılımlar için popüler saklanma yeri
Saldırıya uğramış bir bilgisayarın bellek alanı, güvenlik taramaları genellikle belleği kapsamadığından, kötü amaçlı yazılımlar için popüler bir saklanma yeridir. Sonuç olarak, kötü amaçlı yazılımın algılanma ve engellenme olasılığı daha düşüktür. Bu şekilde etkinleştirmeye çalışan kötü amaçlı yazılım türleri, fidye yazılımı ve uzaktan erişim aracılarını içerir. İkincisi genellikle yaklaşan bir saldırının temelini oluşturur, ne kadar erken keşfedilir ve engellenirse o kadar iyidir. Sophos araştırmacıları, Dinamik Kabuk Kodu Koruması ile artık davranışına dayalı olarak bu tür dosyasız kötü amaçlı yazılımlara karşı savunma yapmanın bir yolunu bulmuşlardır. İşin püf noktası, bu belirli saldırı kodlarının, belirli kod türü veya amacı ne olursa olsun, bellekte ortak bir davranış sergilediklerinin keşfedilmesidir. Sophos araştırmacıları "Gizli Kod Bellekte Bir Yığın Sorunla Karşı Karşıya" başlıklı blog yazısında keşiflerini ayrıntılı olarak anlatıyor.
Sophos Dinamik Kabuk Kodu Koruması nasıl çalışır?
Yürütme ayrıcalıklarına sahip uygulamalardan gelen kod genellikle belleğe yüklenir. Ek olarak, uygulamalar genellikle, örneğin verilerin paketinden çıkarılması veya depolanması için ek, geçici bir bellek içi çalışma alanı gerektirir. Bu değişken çalışma alanına "yığın" bellek adı verilir. Çoğu siber saldırıda, bir uzaktan erişim aracısının yükleyicisi doğrudan yığına enjekte edilir. Bunun, Uzaktan Erişim Aracısının gereksinimlerini karşılamak için yığından daha fazla yürütülebilir bellek çekmesi gerekir. Buna "yığın-yığın" bellek ayırma davranışı denir. Sophos güvenlik uzmanları, bu tür davranışları potansiyel olarak şüpheli etkinliğin açık bir göstergesi olarak tanımladılar ve bir yığın bellekten diğerine yürütme izinlerini engelleyen bir koruma olan Dinamik Kabuk Kodu Korumasını geliştirdiler.
Bellekteki kötü amaçlı yazılım genellikle fark edilmez
“Kötü amaçlı kod, örneğin gizlenerek ve doğrudan belleğe paketlenerek her zaman tespit edilmekten kurtulmaya çalışır. Bu tür kodlar, çıkarılsa bile genellikle güvenlik araçları tarafından tanınmaz. Sophos'ta adli tıp ve güvenlik araştırmacıları, yığından yığına bellek ayırmanın çok aşamalı uzaktan erişim ajanlarının ve diğer saldırı kodlarının çok tipik bir eylemi olduğunu kabul etti," dedi Sophos mühendislik direktörü Mark Loman. “Birincil amaç, saldırganların tek tek bilgisayarları veya tüm ağı ele geçirmesini engellemektir. Bu nedenle, örneğin kimlik bilgilerine erişimi, hakların yükseltilmesini, ağdaki yanal hareketleri veya bilgilerin toplanmasını, paylaşılmasını ve çalınmasını önlemek için kötü amaçlı yazılımların çok erken tespit edilmesi gerekir. Dinamik Kabuk Kodu Koruması ile artık tam olarak bu gereksinimleri daha etkin bir şekilde karşılayabilecek durumdayız."
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.