Bilinmeyen kötü amaçlı yazılım, önemli bir siber güvenlik tehdidi oluşturur ve hem kuruluşlara hem de bireylere ciddi zararlar verebilir. Kötü amaçlı kod tespit edilmediğinde gizli bilgilere erişebilir, verileri bozabilir ve saldırganların sistemlerin kontrolünü ele geçirmesine olanak sağlayabilir. Bu durumlardan nasıl kaçınacağınızı ve bilinmeyen kötü niyetli davranışları verimli bir şekilde nasıl tespit edeceğinizi öğrenin.
Yeni tehditlerin tespit edilmesindeki zorluklar
Bilinen kötü amaçlı yazılım aileleri daha öngörülebilir ve daha kolay tespit edilebilirken, bilinmeyen tehditler çeşitli biçimler alabilir ve bu da tespit edilmeleri için bir dizi zorluğa neden olabilir:
-
Kötü amaçlı yazılım geliştiricileri, aynı kötü amaçlı yazılımın benzersiz varyantlarını oluşturmak için kötü amaçlı kodu değiştirmelerine olanak tanıyan polimorfizmi kullanır.
-
Hâlâ tanımlanmamış ve tespit edilecek herhangi bir kural seti olmayan kötü amaçlı yazılım var.
-
Bazı tehditler bir süreliğine Tamamen Saptanamaz (FUD) olabilir ve çevre güvenliğini zorlayabilir.
-
Kod genellikle şifrelenir, bu da imza tabanlı güvenlik çözümlerinin algılamasını zorlaştırır.
-
Kötü amaçlı yazılım yazarları, bir ağ üzerinden uzun bir süre boyunca az miktarda kötü amaçlı kod göndermeyi içeren ve bu da tespit edilmesini ve engellenmesini zorlaştıran “düşük ve yavaş” bir yaklaşım kullanabilir. Bu, özellikle çevreye görünürlük eksikliğinin tespit edilemeyen kötü niyetli faaliyetlere yol açabileceği kurumsal ağlarda zararlı olabilir.
Yeni tehditlerin tespiti
Bilinen kötü amaçlı yazılım ailelerini analiz ederken, araştırmacılar kötü amaçlı yazılımı algılamak ve yanıt vermek için davranışı, yükleri ve bilinen güvenlik açıkları gibi mevcut bilgilerden yararlanabilir.
Ancak yeni tehditlerle uğraşan araştırmacıların aşağıdaki kılavuzu kullanarak sıfırdan başlaması gerekir:
Aşama 1. Amacını ve kötü amaçlı doğasını belirlemek için kötü amaçlı yazılımın kodunu analiz etmek için tersine mühendislik kullanın.
Adım 2. Davranışını, yüklerini ve güvenlik açıklarını belirlemek üzere kötü amaçlı yazılımın kodunu incelemek için statik analizi kullanın.
Aşama 3. Yürütme sırasında kötü amaçlı yazılımın davranışını gözlemlemek için dinamik analizi kullanın.
Adım 4. Sisteme zarar vermeden davranışını gözlemlemek için kötü amaçlı yazılımı yalıtılmış bir ortamda çalıştırmak için korumalı alan oluşturmayı kullanın.
Adım 5. Gözlenebilir kalıplara ve davranışlara dayalı potansiyel olarak kötü niyetli kodu belirlemek için buluşsal yöntemleri kullanın.
Adım 6. Kodun kötü amaçlı olup olmadığını belirlemek için tersine mühendislik, statik analiz, dinamik analiz, sanal alan oluşturma ve buluşsal yöntemlerin sonuçlarını analiz edin.
İlk 5 adımda ilerlemenize yardımcı olacak Process Monitor ve Wireshark’tan ANY.RUN’a kadar pek çok araç vardır. Ancak kesin bir sonuca nasıl varılır, tüm bu verilere sahipken nelere dikkat edilmelidir?
Cevap basit – kötü niyetli davranış göstergelerine odaklanın.
Etkili algılama için şüpheli etkinlikleri izleyin
Tehditleri tespit etmek için farklı imzalar kullanılır. Bilgisayar güvenliği terminolojisinde imza, bir bilgisayar ağına veya sistemine yönelik kötü niyetli bir saldırıyla ilişkili tipik bir ayak izi veya kalıptır.
Bu imzaların bir kısmı davranışsal olanlardır. İşletim sisteminde bir şey yapmak ve iz bırakmamak imkansızdır. Şüpheli faaliyetleri aracılığıyla hangi yazılım veya komut dosyası olduğunu tespit edebiliriz.
Kötü amaçlı yazılımın davranışını gözlemlemek ve aşağıdakiler gibi herhangi bir kötü amaçlı davranışı belirlemek için şüpheli bir programı korumalı alanda çalıştırabilirsiniz:
- anormal dosya sistemi etkinliği,
- şüpheli süreç oluşturma ve sonlandırma
- anormal ağ etkinliği
- sistem dosyalarını okuma veya değiştirme
- sistem kaynaklarına erişim
- yeni kullanıcılar oluştur
- uzak sunuculara bağlan
- diğer kötü amaçlı komutları yürütün
- sistemdeki bilinen güvenlik açıklarından yararlanma
Microsoft Office PowerShell’i başlatıyor – şüpheli görünüyor, değil mi? Bir uygulama kendini zamanlanmış görevlere ekler – kesinlikle buna dikkat edin. Geçici kayıt defterinden bir svchost işlemi çalışır – bir şeyler kesinlikle yanlıştır.
Herhangi bir tehdidi, imzanız olmasa bile davranışından her zaman tespit edebilirsiniz.
Hadi kanıtlayalım.
Kullanım durumu #1
Burada bir örnek hırsız. Bu ne işe yarıyor? Kullanıcı verilerini, çerezleri, cüzdanları vb. çalar. Bunu nasıl tespit edebiliriz? Örneğin, uygulama Chrome tarayıcısının Oturum Açma Verileri dosyasını açtığında kendini gösterir.
 |
| Hırsızın şüpheli davranışı |
Ağ trafiğindeki etkinlik, tehdidin kötü niyetlerini de duyurur. Meşru bir uygulama, yerel olarak toplanan kimlik bilgilerini, işletim sistemi özelliklerini ve diğer hassas verileri asla göndermez.
Trafik durumunda, iyi bilinen özelliklerle kötü amaçlı yazılım tespit edilebilir. Ajan Tesla bazı durumlarda bunun gibi virüslü bir sistemden gönderilen verileri şifrelemez örnek.
 |
| Ağ trafiğinde şüpheli etkinlik |
Kullanım durumu #2
İşletim sistemini korumak veya kendisi için bir dışlama yapmak için Windows Defender’ı veya diğer uygulamaları durdurması gereken pek çok meşru program yoktur. Bu tür davranışlarla her karşılaştığınızda, bu şüpheli bir faaliyetin işaretidir.
 |
| Şüpheli davranış |
Uygulama gölge kopyaları siliyor mu? Fidye yazılımı gibi görünüyor. Gölge kopyaları kaldırır ve her dizinde beni oku metni olan bir TXT/HTML dosyası oluşturur mu? Bunun bir kanıtı daha.
Kullanıcı verileri işlem sırasında şifrelenirse bunun fidye yazılımı olduğundan emin olabiliriz. Bunda ne olduğu gibi kötü niyetli örnek. Ailesini bilmesek bile bu yazılımın ne tür bir güvenlik tehdidi oluşturduğunu tespit edip buna göre hareket ederek çalışma istasyonlarını ve kurum ağını korumak için önlemler alabiliriz.
 |
| Fidye yazılımı şüpheli davranışı |
Korumalı alanda gözlemlenen davranışa dayalı olarak neredeyse tüm kötü amaçlı yazılım türleri hakkında sonuçlar çıkarabiliriz. Denemek ANY.RUN çevrimiçi interaktif hizmet izlemek için – ilk sonuçları anında alabilir ve tüm kötü amaçlı yazılımların eylemlerini gerçek zamanlı olarak görebilirsiniz. Herhangi bir şüpheli faaliyeti yakalamak için tam olarak ihtiyacımız olan şey.
Yaz “HACKERNEWS2” İş e-posta adresinizi kullanarak [email protected] adresinde promosyon kodu ve 14 günlük ücretsiz ANY.RUN premium aboneliği edinin!
Sarma
Siber suçlular, işletmelerden zorla para almak ve büyük ölçekli siber saldırılar başlatmak için bilinmeyen tehditleri kullanabilir. Kötü amaçlı yazılım ailesi tespit edilmese bile, davranışı dikkate alınarak tehdidin işlevselliği hakkında her zaman sonuca varabiliriz. Bu verileri kullanarak, yeni tehditleri önlemek için bilgi güvenliği oluşturabilirsiniz. Davranış analizi, yeni ve bilinmeyen tehditlere yanıt verme yeteneğinizi geliştirir ve kuruluşunuzun korumasını ek maliyetler olmadan güçlendirir.