Kötü Amaçlı Yazılım Türleri

Kötü amaçlı yazılımın tanımı çok geniştir ve her gün yeni kötü amaçlı yazılımlar yaratılıyor. Bu durum kötü amaçlı yazılımları sınıflandırmayı zorlaştırabilir. Bazı temel türleri incelerken, lütfen önemli örtüşmeler olduğunu unutmayın. Örneğin, virüs olarak dağıtılan fidye yazılımlarıyla veya truva atı olarak dağıtılan fidye yazılımlarıyla karşılaşabilirsiniz. Fidye yazılımı olması, başka bir tür kötü amaçlı yazılım olmasını da engellemez.

Solucanlar, Virüsler ve Truva Atları

Solucanlar, kullanıcı etkileşimi olmadan yayılan ve kendi kendine çoğalan programlardır. Kodları genellikle gizli bir yürütülebilir dosya gibi bağımsız bir nesne içinde saklanır. Solucanlar genellikle konakçılarına ciddi zarar vermezler, çünkü hızlı, üstel yayılma ile ilgilenirler.

Örnek; Stuxnet
Stuxnet 2010 yılında özellikle İran’ın nükleer tesislerini hedef alan bir solucandı. Solucan eşi benzeri görülmemiş dört sıfırıncı gün saldırısı kullandı ve USB flash sürücüler ve Uzaktan Prosedür Çağrıları (RPC’ler) yoluyla yayılmak üzere tasarlandı. Bu şekilde, yayılmak için sadece ağlara bağlı kalmadı. Nihayetinde Stuxnet’in yükü, motorları kontrol eden ve santrifüjleri tahrip edecek şekilde çok hızlı dönmelerini sağlayan PLC cihazlarını programlamak için kullanılan kodu hedef almıştır. Stuxnet ayrıca izlerini örtmek için etkileyici bir rootkit kullanmıştır. Gelişmişlik düzeyi göz önüne alındığında Stuxnet’in ABD ve İsrail tarafından geliştirildiğine inanılmaktadır.

Virüsler genellikle, virüslü dosyayı bir makineden diğerine kopyalamak gibi kullanıcı etkileşimi gerektirir ve kodlarını bir makinedeki başka bir dosyanın içinde saklar. Yürütülebilir bir dosya, virüs kodunun standart program kodundan önce çalıştırılan ayrı bir sayfaya eklenmesiyle enfekte olabilir. Virüsler, yerel olarak yayılmak için önemli kaynaklar kullanabileceğinden konakçıya oldukça zarar verebilir. Virüs terimi de ne yazık ki aşırı yüklü bir terimdir. Popülerliği nedeniyle, bazı düşük becerili tehdit aktörleri tarafından birçok farklı kötü amaçlı yazılım türünü ifade etmek için sıklıkla kullanılmaktadır.

Örnek; Konsept Virüs
Concept virüsü, Microsoft Word makro virüsünün ilk örneğiydi. Virüs kendisini Microsoft Word dosyalarının içine saklamış ve çoğaltma görevlerini yerine getirmek için Word’ün gömülü makro dilini kullanmıştır. Virüsler daha sonra Excel ve yeterince sofistike ancak nihayetinde güvensiz dahili komut dosyası dillerine sahip diğer programlar için yaratıldı.

Truva atı, kendisini yasal yazılım olarak gizleyen bir kötü amaçlı yazılım türüdür. Kullanıcıları kötü amaçlı kodu yüklemeleri, çalıştırmaları veya kötü amaçlı koda ekstra ayrıcalıklar vermeleri için istismar ettiği kadar bir yazılım istismarına dayanması gerekmez. Truva atları (Trojanlar), diğer birçok yük için bir saldırı vektörü olarak kullanılabildiklerinden en popüler kötü amaçlı yazılım türüdür. Bu isim, bir Truva atının hediye kılığına sokularak kuşatılmış bir kasabaya verildiği Yunan mitolojisinden gelmektedir. Büyük atın içinde gece yarısı dışarı çıkıp şehrin kapılarını açan gizli birlikler vardı.

Örnek; Emotet
Emotet, 2014 yılında e-postalar aracılığıyla yayılan bir bankacılık truva atıdır. Kullanıcının kodunu indirmesini sağlamak için kötü amaçlı bağlantılardan veya makro özellikli belgelerden yararlanmıştır. Emotet, şu anda ortalama bir milyon olay düzeltme maliyeti olan en maliyetli ve yıkıcı kötü amaçlı yazılım parçalarından biri olmuştur. Tespit edilmekten kaçınmak ve daha da sofistike kötü amaçlı yazılımlardan yararlanmak için uyarlanmaya devam ediyor.

Fidye Yazılımı

Wana Decrypt0r ekran görüntüsü adil kullanım kapsamında kullanılmıştır

Fidye yazılımı, dosyaları şifreleyen ve şifrelerini çözmek için fidye talep eden bir kötü amaçlı yazılım türüdür. Modern fidye yazılımları dosyaları hızlı bir şekilde şifrelemek için simetrik şifreleme kullanır ve ardından tehdit aktörünün ilgili özel anahtara sahip olduğu sabit kodlu bir genel anahtar kullanarak simetrik anahtarı asimetrik olarak şifreler. Fidye ödendiğinde, genellikle kripto para birimi aracılığıyla, tehdit aktörü kendi özel anahtarını kullanarak simetrik anahtarın şifresini çözebilir ve kullanıcı dosyaların şifresini çözmek için simetrik anahtarı kullanabilir.

Fidye yazılımı, verilerin genellikle dışarıya da sızdırıldığı bir veri ihlali olarak kabul edilir. Fidye ödendiğinde, tehdit aktörünün gerçekten şifre çözme işlemine başlayacağının garantisi olmadığını da belirtmek gerekir. Fidye yazılımlarının tipik hedefleri arasında kurumsal altyapı ve sağlık sistemleri yer almakla birlikte, fidye yazılımları belirsiz bir şekilde de yayılabilmektedir. Fidyelerin ödenmesi büyük bir para kazanma girişimi olabilir, bu nedenle birçok APT veya suç grubu bunu kullanabilir. Fidye yazılımları günümüzde siber istikrara yönelik en büyük tehdit olarak kabul edilmektedir.

Casus Yazılım

Casusluk/veri hırsızlığı için özel olarak tasarlanmış kötü amaçlı yazılımlar casus yazılım olarak bilinir. Fidye yazılımları gibi casus yazılımların da tehdit aktörü için parasal bir getirisi olabilir. Aktörler ödeme talep etmek için haraç kullanabilir ya da veriler sızdırılır. Bu genellikle ya dark web'de satıldığı ya da kamuya açık olarak yayınlandığı anlamına gelir. Bir kez daha, parasal kazanç olasılığı göz önüne alındığında, casus yazılımlar genellikle suç gruplarıyla ilişkilendirilir. APT'ler de casus yazılımları ulusal öneme sahip sırları elde etmek için kullanabilir.

Müşteri verileri, ticari sırlar, özel veriler ve devlet sırlarının tümü casus yazılımların hedefidir. Hükümet sistemleri dışında bile, kurumsal ortamda casus yazılımlar hala büyük bir tehdittir.

Dosyasız Kötü Amaçlı Yazılım
Kötü amaçlı yazılımlar genellikle belirli bir karmayla eşleşen dosyalar için depolama alanı taranarak veya dosyaların içinde kalıplar olup olmadığına bakılarak tespit edilir. Bu tespit tekniklerinin her ikisi de kötü amaçlı yazılımın bir dosyada saklanmasına dayanır. Dosyasız kötü amaçlı yazılımlar, dosya sisteminde hiçbir ayak izi bırakmayarak tespit edilmekten kaçınmaya çalışır. Bu tür kötü amaçlı yazılımlar, genellikle makine her yeniden başlatıldığında yeniden yüklenmek üzere oluşturulan bir kayıt defteri anahtarı ile kendisini belleğe yüklemek için yasal süreçleri kullanır. Bu, APT’ler ve suç grupları gibi sofistike tehdit aktörleri tarafından sıklıkla kullanılan kalıcı, tespit edilmesi zor bir kötü amaçlı yazılım türü oluşturur.

Cryptojacking (Gizli Kripto Para Madenciliği)

İş kanıtı algoritmalarını kullanan kripto para birimleri, programların işlemci döngülerini paraya dönüştürmesini her zamankinden daha kolay hale getirmiştir. Bazı kötü amaçlı yazılım türleri, kullanıcıların makinelerinde arka planda kripto para madenciliği yaparak bu durumdan faydalanmaktadır. Bu güç ve kaynak hırsızlığı, madencilikten elde edilen fonlar çevrimiçi cüzdanlarına yatırıldığında kötü amaçlı yazılım dağıtıcısı için gelir sağlayabilir.

Cryptojacking her zamankinden daha popülerdir, özellikle de virüslü makinelerden oluşan büyük botnet'lerin oluşturulduğu düşünüldüğünde. Cryptojacking, halihazırda birçok tehlikeye atılmış makinenin kontrolüne sahip olabilecek kötü niyetli aktörler için para kazanmaya giden daha basit bir yol yaratır.

Rootkit

Bir rootkit, bir sisteme arka kapı erişimi sağlamak için tasarlanmış gizli bir programdır. Gizli kalmak üzere tasarlanmışlardır ve hatta güvenlik yazılımlarını aktif olarak devre dışı bırakabilir veya atlatabilirler. Düşük seviyeli yapıları nedeniyle, birçok rootkit'in tespit edilmesi zor ve kaldırılması daha da zor olabilir.

Rootkitler genellikle gizlendikleri katmana göre sınıflandırılır:

Firmware Rootkit

Donanım yazılımı, bir donanım cihazının çalışmak için kullandığı koddur. Genellikle aygıtı kurmak ve aygıtla arayüz oluşturmak için kullanılan ince bir komut katmanıdır. Bir aygıt yazılımı rootkit'i bir anakartın BIOS'unda bulunabilir ve kaldırılması çok zor olabilir.

Bootloader Rootkit

Önyükleyici, tipik olarak çekirdeği belleğe yükleyerek sistemi bir işletim sistemi çekirdeğini önyüklemeye hazırlar. Bir önyükleyici rootkit, kendisini ayrı bir bellek alanına yüklemek veya yüklenmekte olan çekirdeği manipüle etmek için bu süreci ele geçirebilir.

Kernel-mode Rootkit

Linux da dahil olmak üzere birçok işletim sistemi çekirdeği dinamik modülleri yükleme yeteneğine sahiptir. Bu çekirdek modülleri işletim sistemi çekirdeği işlemlerine tam erişime sahiptir. Çekirdek modundaki bir rootkit'i canlı olarak tespit etmek zor olabilir çünkü rootkit'i tespit etme talimatları verilen işletim sistemi çekirdeğine artık güvenilemez.

Uygulama Rootkit'i

Bir uygulama veya kullanıcı modu rootkit genellikle arka planda yönetici ayrıcalıklarıyla çalışan bir uygulama olarak yüklenir. Bu rootkitler genellikle geliştirilmesi ve dağıtılması en kolay olanlardır, sistemin kullandığı donanım hakkında düşük seviyede bilgi sahibi olmak gerekmez, ancak aynı zamanda tespit edilmesi ve kaldırılması da en kolay olanlardır.

Sony Rootkit
2005 yılında Sony, Microsoft Windows sistemlerinde çalışmak üzere tasarlanmış bir uygulama rootkit’i içeren müzik yazılımlarının CD’lerini piyasaya sürdü. Rootkit arka planda ısrarla çalışarak sistemleri yavaşlatıyor ve programı kaldırmak için bir kaldırıcı bulunmuyordu. İşletim sisteminin ses CD’lerinden bilgi kopyalamasını önlemek için tasarlanmıştı, ancak aynı zamanda diğer kötü amaçlı yazılımlar tarafından istismar edilebilecek çeşitli güvenlik açıkları da vardı. Nihayetinde rootkit Sony BMG aleyhine çok sayıda toplu davaya yol açmış ve Federal Ticaret Komisyonu ile Sony’nin rootkit’ten zarar gördüğünü bildiren müşterilere geri ödeme yapmasını gerektiren bir uzlaşmaya varılmasına neden olmuştur.

Botnet

Botnet, tek bir tarafça kontrol edilen ve istismar edilen ana bilgisayarlardan oluşan bir ağdır. Bu ana bilgisayarlar masaüstü bilgisayarlar, sunucular ve hatta nesnelerin interneti (IoT) cihazları olabilir. Botnetler genellikle büyük ölçekli dağıtılmış hizmet reddi (DDoS) saldırılarında kullanılır; burada saldırının doğası birçok makinenin tek bir makineyi trafikle doldurmasıdır. Botnetler, SMTP e-posta aktarıcısına erişimleri internet servis sağlayıcılarına (ISP) bağlı olarak değişebileceğinden spam e-postalar göndermek için de kullanılabilir.

Botlar genellikle bir komuta ve kontrol (C2, C&C) sunucusu aracılığıyla kontrol edilir. Bu C2 sunucusu özel bir protokol kullanabilirken, modern botnetlerin diğer altyapılara güvenmesi çok daha tipiktir. C2 trafiği botlara komut göndermek ve botlardan veri almak için SSH, HTTP, Internet Relay Chat (IRC) ve hatta Discord kullanabilir.

RAT

RAT, Uzaktan Erişim Truva Atı anlamına gelir ve uzak bir hedefe tam erişim ve kontrol sağlamak için kullanılır. Kötü amaçlı yazılım dağıtıcısı bilgisayardaki dosyalara göz atabilir, tuş vuruşları ve fare hareketleri gönderebilir, ekranı görüntüleyebilir ve/veya mikrofon ve kameradan gelen girdileri izleyebilir. RAT'ler genellikle güvenlik kontrollerini aktif olarak atlar ve bu nedenle tespit edilmeleri zor olabilir.

Reklam Yazılımı / Potansiyel Olarak İstenmeyen Programlar (PUP)

Reklam yazılımı, kullanıcı davranışını izlemek ve istenmeyen, bazen müdahaleci, özel reklamlar sunmak için tasarlanmış kötü amaçlı yazılımlardır. Reklam yazılımları bir sistemi yavaşlatabilir ve/veya sitelere reklam duvarları ekleyebilir. Bu tür kötü amaçlı yazılımlar genellikle kullanıcıların web tarayıcısını hedef alır.

Potansiyel Olarak İstenmeyen Programlar (PUP) genellikle başka bir programın kurulumunun bir parçası olarak indirilir. Ortak PUP'lar tarayıcı araç çubukları, PDF okuyucuları, sıkıştırma araçları veya tarayıcı uzantılarıdır. Bu programların içinde adware/spyware bileşenleri olabilir ve ayrıca sistemi yavaşlatabilir.

Önceki Ders: Kötü Amaçlı Yazılım Hedefleri

Sonraki Ders: Tehdit Belirtileri

 

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Dentin Oluşumu

Resim
  Dentinogenez (diş gelişimi) sırasında önemli bölgeler. Gösterge: P = pre-dentin, D = olgun dentin, oklar = pulpanın kenarında bulunan odontoblastların hücre gövdeleri. [Image credit: "Histological section of tooth" by Doc. RNDr. Josef Reischig, CSc. is licensed under CC BY-SA 3.0 / labels added] Dentinogenez , dentin oluşumu sürecidir (ve odontogenez kelimesi ile karıştırılmamalıdır). Dentinogenez diş gelişiminin çan evresi nde başlar. Odontoblastlar (Yukarıdaki şekil) dentin üreten hücrelerdir. İlk adım, iskele görevi gören kolajen de dahil olmak üzere proteinlerin salgılanmasıdır. İkinci adım, iskelenin etrafındaki mineralizasyondur. Başlangıçtaki proteinden zengin materyal pre-dentin dir, mineralize olduktan sonra dentin olarak adlandırılır. Amelogenez in aksine, üçüncü bir protein kaldırma (yeniden şekillendirme) adımı yoktur. İndüksiyon (veya Başlatma) Amelogenez ve dentinogenezin animasyonlu görünümü. İndüksiyon fazı sırasında odontoblast lar orta...
Daha fazla oku »

Periodonsiyum Klinik Uygulamalar

Resim
  Hiper-Sementoz Sementoblast lar yetişkin sementumun yüzeyinde ( PDL içinde) bulunduğu için, sementum yeniden şekillenme ve onarım geçirme yeteneğine sahiptir. Bu da sementumu dentine benzetir ancak mineden farklı kılar. Aşırı sementoblast fonksiyonu hiper-sementoz ile sonuçlanabilir. Bu durum, diş üzerindeki aşırı oklüzal kuvvetler nedeniyle kök ucunda daha sık görülür. Gigantizm/akromegali veya Paget hastalığı gibi büyüme faktörü bozukluklarından da kaynaklanabilir. Konkresans Konkresyon örnekleri.  [Image credit : “Second and third molars joined by cement, in teeth with and without hypercementosis” by Consolaro A et al is licensed under CC BY 4.0] Yeterli miktarda hiper-sementoz iki dişi köklerinden birbirine yapıştırabilir, buna konkresyon denir. Bu, diş çekimi öncesinde radyografinin neden gerekli olduğunu gösterir. Bu durum en sık ikinci ve üçüncü üst azı dişleri arasında görülür. Kök Çürükleri Semental çürükler. [Image credit: “Photograph showing ...
Daha fazla oku »

Ağız Mukozasının Genel Histolojisi

Resim
  Ağız mukozası , ağız boşluğunu kaplayan mukoza zarıdır. Deri ile aynı köken i paylaşır ve bu nedenle aynı doku tiplerini aynı sırada görürüz. Bununla birlikte, katmanları farklı isimler alır ve farklı şekilde sınıflandırılır. Deri tabakaları üç embriyonik germ tabakası na dayanarak bölünmüştür, ancak ağız mukozası bu bölündürmeye uymamıştır. İlk olarak, çok katlı yassı epitel ve altta yatan areolar bağ dokusu bir araya toplanır ve oral mukoza olarak adlandırılır. Çok katlı yassı epitel tek başına ağız epiteli olarak adlandırılabilir ve epidermis gibi ektoderm den türemiştir. Dermis in papiller tabakasına homolog olan areolar bağ dokusu tabakasına lamina propria denir. Mezoderm den türetilen hücreler tarafından üretilir. Ağız mukozasının derinliklerinde, sıkı düzensiz bağ dokusu tabakası alt mukoza olarak adlandırılır ve dermisin retiküler tabakasının homologudur. Alt mukoza da mezodermden türetilen hücreler tarafından üretilir. Ağız mukozasında artan keratin miktarı...
Daha fazla oku »