Home-theater-designers
Siber dünya güvenlik olaylarıyla dolu. Çoğu siber saldırı, sisteminize sızmak için bir tür yem gerektirse de, korkusuz, dosyasız kötü amaçlı yazılım şebekeden uzakta yaşar ve meşru yazılımınızı kendisine karşı çevirerek bulaşır.
Ancak dosyasız kötü amaçlı yazılım, herhangi bir dosya kullanmıyorsa nasıl saldırır? Kullandığı en yaygın teknikler nelerdir? Cihazlarınızı dosyasız kötü amaçlı yazılımlardan koruyabilir misiniz?
Dosyasız Kötü Amaçlı Yazılım Nasıl Saldırır?
Yüklü yazılımınızın içindeki önceden var olan güvenlik açıkları üzerinde oynayarak dosyasız kötü amaçlı yazılım saldırıları.
Yaygın örnekler arasında, Microsoft'un Powershell yardımcı programını kullanarak veya makroları ve komut dosyalarını hedefleyerek tarayıcıya kötü amaçlı kod çalıştırma komutu vermek için tarayıcı güvenlik açıklarını hedefleyen istismar kitleri bulunur.
Bu saldırıların kodu bir dosyada saklanmadığından veya kurbanın makinesine yüklenmediğinden, sistem komut verdiğinde ve anında çalıştığında kötü amaçlı yazılımı doğrudan belleğe yükler.
Yürütülebilir dosyaların olmaması, geleneksel antivirüs çözümlerinin bunları tespit etmesini zorlaştırır. Doğal olarak bu, dosyasız kötü amaçlı yazılımları daha da tehlikeli hale getirir.
Dosyasız Kötü Amaçlı Yazılım Tarafından Kullanılan Genel Teknikler
Dosyasız kötü amaçlı yazılım, başlatmak için koda veya dosyalara ihtiyaç duymaz, ancak yerel ortamın ve saldırmaya çalıştığı araçların değiştirilmesini gerektirir.
Dosyasız kötü amaçlı yazılımın cihazları hedeflemek için kullandığı bazı yaygın teknikler aşağıda verilmiştir.
İstismar Kitleri
İstismarlar, 'sömürülen' kod veya dizilerin parçalarıdır ve bir istismar kiti, bir istismar koleksiyonudur. Açıklar, diske herhangi bir şey yazmaya gerek kalmadan doğrudan belleğe enjekte edilebildikleri için dosyasız bir saldırı başlatmanın en iyi yoludur.
Bir istismar kiti saldırısı, kurbanın kimlik avı e-postaları veya sosyal mühendislik taktikleri yoluyla çekildiği tipik bir saldırıyla aynı şekilde başlatılır. Çoğu kit, kurbanın sisteminde önceden var olan bir dizi güvenlik açığından yararlanma ve saldırganın onu kontrol etmesi için bir yönetim konsolu içerir.
Bellekte Bulunan Kötü Amaçlı Yazılım
Kayıt defterinde yerleşik kötü amaçlı yazılım olarak bilinen bir tür kötü amaçlı yazılım, dosyasız saldırılar tarafından yaygın olarak kullanılır. Bu kötü amaçlı kod, işletim sistemini her açtığınızda başlayacak şekilde programlanmıştır ve kayıt defterinin yerel dosyalarının içinde gizli kalır.
Windows kayıt defterinize dosyasız kötü amaçlı yazılım yüklendikten sonra, algılanmadan kalıcı olarak orada kalabilir.
Yalnızca Bellek Kötü Amaçlı Yazılım
Bu tür kötü amaçlı yazılımlar yalnızca bellekte bulunur.
Saldırganlar, kötü amaçlı kodlarını bilgisayarınızın belleğine enjekte etmek için çoğunlukla PowerShell, Metasploit ve Mimikatz dahil olmak üzere yaygın olarak kullanılan sistem yönetimi ve güvenlik araçlarını kullanır.
Çalınan Kimlik Bilgileri
Dosyasız bir saldırı gerçekleştirmek için kimlik bilgilerini çalmak çok yaygındır. Çalınan kimlik bilgileri, gerçek kullanıcı numarasıyla bir cihazı hedeflemek için kolayca kullanılabilir.
Saldırganlar çalınan bir kimlik bilgisi aracılığıyla bir cihazı ele geçirdikten sonra, saldırıyı gerçekleştirmek için Windows Yönetim Araçları (WMI) veya PowerShell gibi yerel araçları kullanabilirler. Çoğu siber suçlu, herhangi bir sisteme erişmek için kullanıcı hesapları da oluşturur.
İlgili: İşyerinde Ele Geçirilmiş Kimlik Bilgileri ve İçeriden Gelen Tehditlerin Riski
Dosyasız Saldırı Örnekleri
Dosyasız kötü amaçlı yazılımlar bir süredir ortalardaydı, ancak yalnızca 2017'de tehdit aktörleri tarafından PowerShell çağrılarını entegre eden kitler oluşturulduğunda ana akım bir saldırı olarak ortaya çıktı.
İşte, bazıları hakkında hiç şüphe duymayacağınız bazı ilginç dosyasız kötü amaçlı yazılım örnekleri.
Karanlık İntikamcı
Bu, dosyasız kötü amaçlı yazılım saldırılarının habercisidir. Eylül 1989'da keşfedildi, ilk teslimat noktası olarak bir dosya gerektirdi, ancak daha sonra bellek içinde çalıştı.
Bu saldırının arkasındaki temel amaç, virüslü bir bilgisayarda her çalıştırıldığında yürütülebilir dosyalara bulaşmaktı. Kopyalanan dosyalar bile virüs bulaşır. Bu saldırının yaratıcısı ünlü olarak 'Karanlık Yenilmez' olarak bilinir.
frodo
Frodo, gerçek anlamda dosyasız bir saldırı değildir, ancak bir bilgisayarın önyükleme sektörüne yüklenen ve kısmen dosyasız hale getiren ilk virüstür.
mp3 dosya boyutu nasıl küçültülür
Ekim 1989'da, virüslü bilgisayarların ekranlarında 'Frodo Lives' mesajını flaş etmek amacıyla zararsız bir şaka olarak keşfedildi. Ancak, kötü yazılmış kod nedeniyle, aslında ana bilgisayarları için yıkıcı bir saldırıya dönüştü.
Kobalt Kitty Operasyonu
Bu ünlü saldırı Mayıs 2017'de keşfedildi ve bir Asya şirketinin sisteminde gerçekleştirildi.
Bu saldırı için kullanılan PowerShell komut dosyaları, Cobalt Strike Beacon virüsü de dahil olmak üzere bir dizi saldırı başlatmasını sağlayan harici bir komuta ve kontrol sunucusuna bağlandı.
misfox
Bu saldırı, Microsoft Incident Response ekibi tarafından Nisan 2016'da tespit edildi. PowerShell aracılığıyla komut çalıştırmanın yanı sıra kayıt defteri sızması yoluyla kalıcılık kazanmanın dosyasız metodolojilerini kullanır.
Bu saldırı Microsoft güvenlik ekibi tarafından tespit edildiğinden, Windows Defender'a bu kötü amaçlı yazılımdan korunmak için bir paket çözüm eklenmiştir.
İstiyorumMaden
Bu saldırı, ana bilgisayarda kripto para madenciliği yapılarak gerçekleştirilir.
Saldırı ilk olarak 2017 yılının ortalarında, herhangi bir dosya tabanlı program izi olmadan bellekte çalışırken fark edildi.
mor tilki
Purple Fox, orijinal olarak 2018'de, cihazlara bulaşmak için bir istismar kiti gerektiren dosyasız bir indirici truva atı olarak yaratılmıştı. Ek bir solucan modülü ile yeniden yapılandırılmış bir biçimde yeniden ortaya çıktı.
İlgili: Purple Fox Kötü Amaçlı Yazılım Nedir ve Windows'a Nasıl Yayılabilir?
beni bu numaradan kim aradı
Saldırı, Windows tabanlı sistemleri otomatik olarak tarayan ve bunlara bulaşan solucan yükünü ileten bir kimlik avı e-postası tarafından başlatılır.
Purple Fox, savunmasız bağlantı noktalarını tarayarak kaba kuvvet saldırılarını da kullanabilir. Hedef port bulunduğunda, enfeksiyonu yaymak için infiltre edilir.
Dosyasız Kötü Amaçlı Yazılım Nasıl Önlenir
Özellikle bazı güvenlik paketleri onu algılayamadığı için, dosyasız kötü amaçlı yazılımların ne kadar tehlikeli olabileceğini belirledik. Aşağıdaki beş ipucu, her tür dosyasız saldırıyı azaltmaya yardımcı olabilir.
1. Şüpheli Bağlantıları ve Ekleri Açmayın
Naif e-posta kullanıcıları kötü niyetli e-posta bağlantılarını açmaya çekilebildiğinden, e-posta, dosyasız saldırılar için en büyük giriş noktasıdır.
linklere tıklamayın hakkında yüzde yüz emin değilsin. URL'nin ilk nerede bittiğini kontrol edebilir veya gönderenle olan ilişkinize ve e-postanın içeriğine güvenip güvenemeyeceğinizi toplayabilirsiniz.
Ayrıca, özellikle PDF'ler ve Microsoft Word belgeleri gibi indirilebilir dosyaları içerenler olmak üzere, bilinmeyen kaynaklardan gönderilen hiçbir ek açılmamalıdır.
2. JavaScript'i Öldürmeyin
JavaScript, dosyasız kötü amaçlı yazılımlar için harika bir etken olabilir, ancak onu tamamen devre dışı bırakmak yardımcı olmaz.
Ziyaret ettiğiniz çoğu sayfanın boş veya eksik öğeler olacağı gerçeğinin yanı sıra, Windows'ta JavaScript'e ihtiyaç duymadan bir web sayfasından çağrılabilen yerleşik bir JavaScript yorumlayıcısı da vardır.
En büyük dezavantajı, size dosyasız kötü amaçlı yazılımlara karşı yanlış bir güvenlik duygusu sağlayabilmesidir.
3. Flaşı Devre Dışı Bırak
Flash, bellekte çalışırken komut satırını kullanarak komutları yürütmek için Windows PowerShell Aracını kullanır.
Dosyasız kötü amaçlı yazılımlardan düzgün bir şekilde korunmak için, gerçekten gerekmedikçe Flash'ı devre dışı bırakmak önemlidir.
4. Tarayıcı Koruması Kullanın
Ev ve iş tarayıcılarınızı korumak, dosyasız saldırıların yayılmasını önlemenin anahtarıdır.
Çalışma ortamları için, tüm masaüstleri için yalnızca bir tarayıcı türünün kullanılmasına izin veren bir ofis ilkesi oluşturun.
Aşağıdaki gibi tarayıcı koruması yükleme Windows Defender Uygulama Koruması çok faydalıdır. Office 365'in bir parçası olan bu yazılım, dosyasız saldırılara karşı koruma sağlamak için belirli prosedürlerle yazılmıştır.
5. Sağlam Kimlik Doğrulamayı Uygulayın
Dosyasız kötü amaçlı yazılımın yayılmasının arkasındaki ana suçlu PowerShell değil, zayıf bir kimlik doğrulama sistemidir.
Sağlam kimlik doğrulama ilkeleri uygulamak ve En Az Ayrıcalık İlkesi'ni (POLP) uygulayarak ayrıcalıklı erişimi sınırlamak, dosyasız kötü amaçlı yazılım riskini önemli ölçüde azaltabilir.
Dosyasız Kötü Amaçlı Yazılımı Yen
Arkasında iz bırakmayan dosyasız kötü amaçlı yazılım, saldırıları gerçekleştirmek için bilgisayarınızdaki yerleşik 'güvenli' araçlardan yararlanır.
Ancak, dosyasız veya herhangi bir kötü amaçlı yazılımı yenmenin en iyi yolu, farkındalık kazanmak ve bu saldırıları gerçekleştirirken kullanılan farklı teknikleri anlamaktır.
Paylaş Paylaş Cıvıldamak E-posta 5 Yaygın Siber Suç Saldırısı Vektörü ve Onlardan Nasıl KaçınınSiber suçlular, sizi kandırmak için aynı grup saldırı vektörlerine güvenirler. Bu vektörlerin ne olduğunu öğrenin ve onlardan kaçının.
Sonrakini Oku İlgili konular- Güvenlik
- Çevrimiçi Güvenlik
- Windows Defender
- kötü amaçlı yazılım
Kinza, kocası ve iki çocuğuyla birlikte Kuzey Virginia'da yaşayan bir teknoloji meraklısı, teknik yazar ve kendini inek ilan etti. Bilgisayar Ağları alanında lisans derecesi ve çok sayıda BT sertifikası ile teknik yazıya başlamadan önce Telekomünikasyon endüstrisinde çalıştı. Siber güvenlik ve bulut tabanlı konularda bir niş ile, müşterilerinin dünya çapında çeşitli teknik yazı gereksinimlerini karşılamalarına yardımcı olmaktan keyif alıyor. Boş zamanlarında kurgu okumaktan, teknoloji bloglarından, esprili çocuk hikayeleri yapmaktan ve ailesi için yemek yapmaktan hoşlanıyor.
Kinza Yaşar'dan Daha FazlaHaber bültenimize abone ol
Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!
Abone olmak için buraya tıklayın