Avatar
Kişisel Blog

Malware Analizi - 01

Malware (Zararlı Yazılım)

Staj zamanı edindiğim bilgilerin bir derlemesi olan bu yazı serisi büyük bir dökümanın parçalara ayrılmış halidir. Bölümlerin fazla uzun olmamasına dikkat ederek bazı spesifik konularda ise yazı uzun olmasa bile yeni bir bölüme eklemeye çalıştım. Hatalı gördüğünüz yerleri bildirirseniz memnun olurum. Konuya çalışırken kullanmış olduğum kaynakları link olarak kaynakça kısmında belirttim. Keyifli okumalar.

NOT: Seri boyunca kullandığım uygulamalar;
malware.exe.zip : infected
inno.exe.zip

Malware Nedir

Malware (Malicious Software), virüsler, fidye yazılımı (ransomware) ve casus yazılım (spyware) gibi çeşitli kötü amaçlı yazılımların ortak adıdır. Kötü amaçlı yazılımlar genellikle veri ve sistemlere büyük zarar vermek veya bir ağa yetkisiz erişim sağlamak için tasarlanmış siber saldırganlar tarafından geliştirilen kodlardan oluşur. Kötü amaçlı yazılımlar genellikle e-posta üzerinden bir bağlantı veya dosya şeklinde gönderilir ve kullanıcının kötü amaçlı yazılımı yürütmek için bağlantıyı tıklatmasını veya dosyayı açmasını gerektirir.

Kötü amaçlı yazılımlar, Creeper* virüsünün ilk ortaya çıktığı 1970’lerin başından beri bireyler ve kuruluşlar için birer tehdit oluşturdu. O zamandan beri, dünya yüzlerce farklı kötü amaçlı yazılım türevinin saldırısına uğradı ve bunların hepsi mümkün olduğunca fazla hasar verme niyetindeydi.

Creeper: 1971 yılında ARPANET üzerindeki az sayıda bilgisayarı hedef alan yazılım, kötü amaçlı yazılımlar için bir milat oluştursa da tamamen zararsızdır. BBN Technologies’te programcı olarak çalışan Bob Thomas tarafından geliştirilen bu yazılım ekrana “I’m the Creeper: catch me if you can.” yazısını basarken aynı anda ağdaki diğer bilgisayarları tarayıp onlara atlıyordu. Yeni bulaştığı bilgisayarda da aynı işlemleri yaparak yayılıyordu. Bob’un amacı ağ üzerinden bir programın kendi kendine yayılabileceğini kanıtlamaktı.

Malware Türleri

Malwarelar kendini her seferinde farklı şekillerde gösterebilir. Kişisel bilgileri çalmaktan tutun siber suçlara kadar çok geniş bir yelpazede değerlendirebiliriz. Her geçen gün kullanılan araçlar ve teknikler değişmekte ve daha sofistike hale gelmektedir. Kötü amaçlı yazılımları, davranışları ve yayılım şekillerine göre kategorilere ayırıp inceleyebiliriz.

Virüs

Muhtemelen en yaygın kötü amaçlı yazılım türü olan virüsler, genellikle temiz olan programlara zararlı kodların enjekte edilmesiyle meydana gelir. Kurban tarafından çalıştırılmayı ya da otomatik olarak çalışan bir programsa vaktinin gelmesini bekler. Biyolojik bir virüs gibi hızlı bir şekilde yayılıp, sistemlerin temel işlevlerine zarar verebilir ya da dosyaları bozup kullanıcıların oturumunu kitleyebilir. Genellikle çalıştırılabilir dosyalar üzerinde bulunurlar.

Worms (Solucanlar)

Sistemlere bulaşma şekillerinden dolayı bu ismi almışlardır. Enfekte olan bir makineden başlayıp aynı ağda bulunan en yakın makineye sıçrayarak yayılmaya devam eder. Hızlı bir şekilde yayılmaları ile ünlüdürler.

Spyware (Casus Yazılım)

Casus yazılımlar adından anlaşılacağı gibi, kullanıcıların neler yaptığını gözetlemek üzere tasarlanmıştır. Arka planda çalışmaya başlayan bir casus yazılım, kullanıcının kredi kartı bilgilerini, parolalarını ve diğer hassas bilgilerini kullanıcının haberi olmadan toplar.

Trojans

Adını Truvalıların saldırı biçiminden alan bu yazılımlar, kendisini zararlı olmayan başka bir programın içine gizler ve çalıştırılmayı bekler. Sisteme bir kere bulaştıktan sonra içeride istediği gbi at koşturabilen bu yazılımlar, sisteme çok büyük zararlar verebilir. Sistemde bir arka kapı oluşturarak uzaktan erişim sağlayabilir. Diğer zararlı yazılımların yayılması için ortam oluşturabilir.

Ransomware (Fidye Yazılımı)

Scareware olarak da bilinen bu kötü amaçlı yazılım türü bulaştığı sistemdeki bütün dosyaları şifreler ve şifrenin kırılması için gereken anahtar için fidye talep eder. Fidyenin ödenmemesi halinde dosyalar bir daha kurtarılamayabilir. Her ne kadar önlem almış olsak da insan faktöründen dolayı bu tür zararlı yazılımlar sistemlerimize ya da ağlarımıza bulaşabilmektedir. İnsanları eğitmek en güzel çözüm olsa da dikkatsizlikten dolayı bulaşabilen bir ransomwareden gelebilecek zararı en aza indirmemizde sistemlerin düzenli olarak alınan yedekleri hayat kurtarmaktadır.

Rootkit

Bu tür yazılımlar çalıştırıldıkları sistemde en yetkili kullanıcının haklarına erişmeyi hedefler. Çalıştırıldıktan sonra, sistemde saldırganın bu haklarla işlem yapmasına olanak sağlar.

RAT (Remote Access Trojan)

Trojanın bir türevi olan bu yazılım, sistemde arka kapı oluşturup saldırganın uzaktan erişmesini sağlar. Buradaki amaç, oluşturulan arka kapının sistem veya kullanıcı tarafından farkedilmemesi ve saldırganın kolayca erişebilmesini sağlamasıdır.

Adware (Reklam Yazılımı)

Kullanıcının tarayıcı geçmişini izleyerek veya indirilen dosyaları takip ederek kullanıcıya özel reklam sunmak için geliştirilen yazılımlardır. Günümüzde web tarayıcılar üzerinde sitelerin bizi tanıması için kullanılan cookieler yardımıyla bu yazılımlar apayrı bir boyuta taşınmıştır.

Keylogger

Sistem monitörü olarak da adlandırabileceğimiz bu tür yazılımlar sistemdeki her hareketi kaydeder. Bunlara, okunan mailler, ekran görüntüleri, tuş vuruşları ve açılan web sayfaları örnek olarak verilebilir.

Mobil Malware

Zararlı yazılımlar sadece bilgisayarları hedef almayıp mobil cihazlara da sıçramıştır. Bulaştığı mobil cihazlarda kamera, GPS ve mikrofon gibi bileşenlere erişim sağlamaktadır.

Malwarelar Nasıl Yayılır

Her kötü amaçlı yazılımın kendine has yayılma biçimi vardır. Bazıları e-postalar üzerindeki linkler aracılığıyla yayılırken bazıları da çalıştırılabilir dosyalar yolu ile yayılır. Anlık mesajlaşma ve sosyal mühendislik atakları ile bir kurumu ya da belli bir zümreyi hedef alarak özelleşmiş saldırılar ile yayılabilir. Bu saldırılardan bir kaçına değinelim.

Phishing Mailleri

Saldırganlar arasında popüler olan yöntemlerden birisidir. Kurum çalışanlarına veya kişilere gönderilen phishing mailleri özel bir kuruluştan ya da önemli birinden geliyormuş gibi lanse edilir. Mailin içerisinde bir dosya ya da bir link bulunur. Bu bağlantıya tıklanması durumunda genelde bir dosya iner. Bu dosya macrolu bir excel dosyası ya da çalıştırılabilir bir dosya olur. Kurbana bu dosyayı çalıştırmak için özel nedenler sunarak daha cazip hale getirilebilir. Çekilişler veya kampanyalar ile ilgili dosyaların ya da önemli birinden gelmesi beklenen bir dosyanın hiç kuşku duyulmadan açılması işten bile değildir.

Remote Desktop Protocol

Saldırganların mağdurları etkilediği giderek daha popüler olan bir mekanizma, Uzak Masaüstü Protokolü (RDP) üzerindendir. Adından da anlaşılacağı gibi, IT yöneticilerinin bir kullanıcının makinesini uzaktan yapılandırması veya makineyi kullanması için güvenli bir şekilde erişebilmesi amacıyla RDP protokolü oluşturulmuştur. RDP default olarak 3389 portunu kullanır.

2017 yılında yayınlanan bir rapora göre internete açık 10 milyon makinede 3389 portunun açık olduğu tespit edilmiştir. Saldırganların bu servisi kullanarak Brute-Force saldırıları yardımıyla şifreleri kırması çok zor olmadı. Bu sayede sisteme giren saldırgan tam yetki ile sistemde istediğini yapabiliyordu.

USB ve Çıkarılabilir Medyalar

Zararlı yazılımlar bir diğer yayılma yolu da USB, SD Card ve diğer çıkarılabilir aygıtlardır. Yolda bulduğumuz bir USB bellek hiç de masum olmayabilir. Avusturalya’da 2016 yılında polis tarafından posta kutularındaki USB belleklerin kullanılmamasına dair bir duyuru yapıldı. Bu USB bellekler promosyonlu NetFlix üyeliği sağladığını iddaa ediyordu. Bundan şüphelenmeyen çoğu kişi bu zararlıyı bilgisayarına bulaştırmıştı bile.

Malwarelardan Nasıl Korunuruz

Kötü amaçlı yazılımların türlerinden ve yayılma şekillerinden etraflıca bahsettik. Peki bu kötü amaçlı yazılımlardan nasıl korunabiliriz.

Sisteminizi ve Yazılımlarınızı Güncel Tutun

Gerek kullanmış olduğunuz işletim sistemi, gerekse üzerinde çalışan yazılımlar sürekli geliştiriliyor ve hatalı yerleri düzeltiliyor. Geliştiriciler tarafından düzeltilen hatalar en kısa sürede yayınlanıyor. Yayınlanan güncellemeleri analiz eden saldırganlar henüz güncelleme yapılmayan sistemleri hedef alarak bunlar üzerinden sistemi ele geçirmeye çalışabilir. Sistemleri ve yazılımları bu yüzden güncel tutmalıyız.

E-postalardaki Bağlantılara Dikkat Edin

Göndericisine güvenmediğimiz e-postalar üzerinden gelen bağlantılara emin olmadığınız sürece tıklamayın. Hatta web tarayıcısı üzerinden açtığınız maillerde resimlerin ve giflerin gösterimini de engellemeniz sizin haberiniz olmadan başka yerlere istek yapılmasını engelleyecektir.

Sisteminizi Düzenli Olarak Yedekleyin

Sistemin düzenli olarak yedeğinin alınması, bulaşan bir ransomware’dan kurtulmanın en kesin çözümüdür. Ne ki, diğer zararlı yazılımlardan da en az zararla kurtulmanızı sağlar. Sistemi yedeklemek en kesin çözüm olarak görülse de maliyet açısından handikapı çok fazladır. Kişisel bilgisayarınızı yedeklemek çok büyük sorun teşkil etmesede Data Serverların yedeklenmesi bir süre sonra maliyeti ikiye hatta üçe katlayacaktır.

Güçlü Parolalar Kullanın

Günümüzde halen 123456 gibi parolalar revaçta olsa bile çoğu sistem artık bu tür tahmin edilebilir parolalara izin vermiyor. Kullandığınız parolaların içerisinde en az 1 tane büyük harf, en az 1 tane küçük harf, sayı ve özel karakterlerden oluşmasına özen göstermelisiniz. Her üyelik için farklı bir parola kullanın dediğim an “Ben bunları nasıl aklımda tutacağım?” gibi soruları duyar gibiyim. Parolalarımızı saklamak için LastPass gibi parola yöneticileri kullanabiliriz.

Firewall Kullanın

Güvenlik Duvarları imza tabanlı çalışan Virüs Tarayıcıları ile karıştırılmamalıdır. Firewallların en temel özelliklerinden birisi de ağ düzeyinde paket filtreleme yapabilmesidir. Bu özellik sayesinde sistemimizde açık olan portlara yapılan istekleri filtreleyip istemediğimiz bir paketin sistemimize veya ağımıza girmesini engelleyebiliriz. Hatta kullandığımız firewallu bir proxy server olarak tanımlayıp bütün interneti üzerinden geçirerek ağ üzerinde tam kontrol sahibi olabiliriz. Zararlı yazılım barındıran veya istemediğimiz bir siteye erişimi paket düzeyinde engelleyebiliriz.

all tags