Gelişen Siber Tehditler: Yeni Bir Malware Türü Ortaya Çıktı
Son dönemlerde, siber güvenlik alanında araştırmacılar tarafından gerçekleştirilen çalışmalar, yeni bir tür malware ile ilgili önemli bulgular ortaya koydu. Fortinet tarafından yayımlanan rapor, bu yeni tehditin, "korrupt" DOS ve PE başlıkları kullandığını gösteriyor. Peki, bu durumun anlamı nedir ve kullanıcılar olarak ne tür önlemler alabiliriz?
DOS ve PE Başlıklarının Önemi
Öncelikle, DOS (Disk Operating System) ve PE (Portable Executable) başlıklarının, bir Windows PE dosyasının temel bileşenleri olduğunu unutmamak gerekiyor. DOS başlığı, yürütülebilir bir dosyanın MS-DOS ile geriye dönük olarak uyumlu olmasını sağlar. Diğer yandan, PE başlığı, Windows’un programı yüklemesi ve çalıştırması için gerekli olan metadata bilgilerini içerir.
Yapılan araştırmalara göre, bu başlıkların bozulması, analiz çabalarını zorlaştırmakta ve malware’in tespit edilmesini engellemektedir. Yani, kötü amaçlı yazılımlar, bu başlıkları bozulmuş halde sunarak kendilerini gizlemeye çalışıyorlar. Bu nedenle, siber güvenlik uzmanlarının bu tür malware’leri anlaması ve etkisiz hale getirmesi zorlaşmakta.
Çalışma Süreci ve Tespit Edilme Zorluğu
FortiGuard Incident Response Team‘den araştırmacılar Xiaopeng Zhang ve John Simmons, birkaç hafta boyunca bir sıkıntılı makinede çalışan bir malware keşfettiklerini bildirmektedir. Tehdit aktörlerinin, malware’i çalıştırmak için bir dizi script ve PowerShell komutunu kullandığı belirlenmiştir. Fortinet, malware’i doğrudan çıkaramadığı halde, çalışan malware işleminin bir hafıza dökümünü almayı başarmıştır.
Bu yeni tür malware’in dağıtım şekli henüz bilinmemekle birlikte, dllhost.exe süreci içerisinde çalıştığı tespit edilmiştir. 64-bit bir PE dosyası olarak tanımlanan bu malware, DOS ve PE başlıklarının bozulmuş haliyle araştırmacıların işini zorlaştırmaktadır. Yine de, Fortinet araştırmacıları, bu tür malware’i analiz edebilecek bir ortam yaratmayı başarmışlardır.
Komut ve Kontrol İletişimi
Malware çalıştırıldığında, hafızada depolanan komut ve kontrol (C2) alan adı bilgilerini şifre çözüp, yeni bir tehdit oluşturmak için sunucuya (örneğin: "rushpapers[.]com") bağlanmaktadır. Araştırmacılara göre, başlatıldıktan sonra ana iş parçacığı, iletişim iş parçacığı tamamlanana kadar uyku moduna geçmektedir. Bu süreç, malware’in iletişim için TLS protokolü üzerinden çalışmasını mümkün kılar.
Yapılan daha ayrıntılı analizlerde, bu malware’in bir uzaktan erişim trojanı (RAT) olduğu ve birçok yeteneğe sahip olduğu belirlenmiştir. Kullanıcıların ekran görüntülerini yakalama, sistem hizmetlerini inceleme ve manipüle etme gibi özellikleri bulunmaktadır. Ayrıca,恶bu malware, gelen "istemci" bağlantılarına cevap verebilecek bir sunucu gibi de işlev görebilmektedir.
Çoklu İş Parçacığı Mimarisi
Fortinet, malware’in çoklu iş parçacığı mimarisiyle çalıştığını ve yeni bir istemci (saldırgan) bağlandığında yeni bir iş parçacığı oluşturduğunu bildirmektedir. Bu yapı, eşzamanlı oturumları destekleyerek daha karmaşık etkileşimlerin gerçekleştirilmesine imkan tanır.
Bu durumda, malware, ele geçirilmiş sistemi uzaktan erişim platformuna dönüştürmekte ve saldırganın çeşitli eylemleri gerçekleştirmesine olanak sağlamaktadır. Yani, saldırganlar, bu sistemi kullanarak daha fazla saldırı başlatabilir veya mağdur adına çeşitli işlemler gerçekleştirebilirler.
Nasıl Korunmalıyız?
Yeni tür malware‘lere karşı etkili savunma yöntemleri geliştirmenin önemi her zamankinden daha fazla. Kullanıcılar, güncel bir antivirüs yazılımı kullanmalı ve sistemlerini düzenli olarak güncellemeleri gerekmektedir. Ayrıca, bilinmeyen kaynaklardan gelen e-postaları ve bağlantıları tıklamaktan kaçınmak da oldukça kritik bir önlemdir.
İş yerlerinde, çalışanların siber güvenlik konularında eğitim almaları sağlanmalı ve çeşitli senaryolar üzerinden farkındalık oluşturulmalıdır. Bu tür önlemler, kötü amaçlı yazılımlara karşı koymanın yanı sıra, şirketlerin itibarını koruma yönünde de büyük önem taşımaktadır.
Sonuç olarak, siber güvenlik alanında gelişen tehditlerle başa çıkmak için sürekli eğitim ve sistem güncellemeleri yapmak, güvenlik stratejilerini güçlendirmek adına kritik öneme sahiptir.
