Dosyasız saldırılar kaçamaktır ve bir cihaza virüs bulaştırmak için kötü amaçlı yazılım veya yeni yazılım yüklemesi gerektirmez.
Siber dünya güvenlik olaylarıyla doludur. Çoğu siber saldırı, sisteminize sızmak için bir tür tuzağa ihtiyaç duyarken, korkusuz dosyasız kötü amaçlı yazılım şebekenin dışında yaşar ve meşru yazılımınızı kendisine karşı çevirerek bulaşır.
Ancak dosyasız kötü amaçlı yazılım, herhangi bir dosya kullanmıyorsa nasıl saldırır? Kullandığı en yaygın teknikler nelerdir? Cihazlarınızı dosyasız kötü amaçlı yazılımlardan koruyabilir misiniz?
Dosyasız Kötü Amaçlı Yazılım Nasıl Saldırır?
Yüklü yazılımınızın içindeki önceden var olan güvenlik açıkları üzerinde oynayarak dosyasız kötü amaçlı yazılım saldırıları.
Yaygın örnekler arasında, tarayıcıya kötü amaçlı kod çalıştırma komutunu veren tarayıcı güvenlik açıklarını hedefleyen, Microsoft'un Powershell yardımcı programını kullanarak veya makroları ve komut dosyalarını hedefleyen istismar kitleri bulunur.
Bu saldırıların kodu bir dosyada saklanmadığından veya kurbanın makinesine yüklenmediğinden, sistem komutları ve anında çalışırken kötü amaçlı yazılımları doğrudan belleğe yükler.
Yürütülebilir dosyaların olmaması, geleneksel antivirüs çözümlerinin bunları tespit etmesini zorlaştırır. Doğal olarak bu, dosyasız kötü amaçlı yazılımları daha da tehlikeli hale getirir.
Dosyasız Kötü Amaçlı Yazılım Tarafından Kullanılan Genel Teknikler
Dosyasız kötü amaçlı yazılımın başlatılması için koda veya dosyalara ihtiyacı yoktur, ancak yerel ortamın ve saldırmaya çalıştığı araçların değiştirilmesini gerektirir.
Dosyasız kötü amaçlı yazılımların cihazları hedeflemek için kullandığı bazı yaygın teknikler aşağıda verilmiştir.
Exploit Kitleri
İstismarlar, "sömürülen" kod veya dizilerin parçalarıdır ve bir istismar kiti, istismarların bir koleksiyonudur. Açıklar, diske herhangi bir şey yazmaya gerek kalmadan doğrudan belleğe enjekte edilebildiğinden dosyasız saldırı başlatmanın en iyi yoludur.
Bir istismar kiti saldırısı, kurbanın kimlik avı e-postaları veya sosyal mühendislik taktikleri yoluyla cezalandırıldığı tipik bir saldırı ile aynı şekilde başlatılır. Kitlerin çoğu, kurbanın sisteminde önceden var olan bir dizi güvenlik açığı için istismarlar ve saldırganın bunu kontrol etmesi için bir yönetim konsolu içerir.
ellekte Bulunan Kötü Amaçlı Yazılım
Kayıt defterinde yerleşik kötü amaçlı yazılım olarak bilinen bir tür kötü amaçlı yazılım, dosyasız saldırılar tarafından yaygın olarak kullanılır. Bu kötü amaçlı kod, işletim sistemini her açtığınızda başlatılmak üzere programlanır ve kayıt defterinin yerel dosyalarının içinde gizli kalır.
Dosyasız kötü amaçlı yazılım Windows kayıt defterinize yüklendikten sonra, tespit edilmekten kaçınarak kalıcı olarak orada kalabilir.
Yalnızca Bellek Kötü Amaçlı Yazılım
Bu tür kötü amaçlı yazılımlar yalnızca bellekte bulunur.
Saldırganlar, kötü niyetli kodlarını bilgisayarınızın belleğine enjekte etmek için çoğunlukla yaygın olarak kullanılan sistem yönetimi ve güvenlik araçlarını (PowerShell, Metasploit ve Mimikatz dahil) kullanır.
Çalıntı Kimlik Bilgileri
Dosyasız bir saldırı gerçekleştirmek için kimlik bilgilerini çalmak çok yaygındır. Çalınan kimlik bilgileri, gerçek kullanıcının iddiasıyla bir cihazı hedeflemek için kolayca kullanılabilir.
Saldırganlar, çalınan kimlik bilgileriyle bir cihazı ele geçirdikten sonra, saldırıyı gerçekleştirmek için Windows Yönetim Araçları (WMI) veya PowerShell gibi yerel araçları kullanabilirler. Çoğu siber suçlu, herhangi bir sisteme erişim sağlamak için kullanıcı hesapları da oluşturur.
Dosyasız Saldırılara Örnekler
Dosyasız kötü amaçlı yazılım epeydir ortalıkta dolaşıyordu, ancak 2017'de tehdit aktörleri tarafından PowerShell'e çağrıları entegre eden kitler oluşturulduğunda ana akım bir saldırı olarak ortaya çıktı.
İşte bazılarını hiç şüphesiz duymuş olacağınız dosyasız kötü amaçlı yazılımların bazı ilginç örnekleri.
Karanlık İntikamcı
Bu, dosyasız kötü amaçlı yazılım saldırılarının habercisidir. Eylül 1989'da keşfedildi, ilk teslimat noktası olarak bir dosya gerektirdi, ancak daha sonra hafızada çalıştırıldı.
Bu saldırının temel amacı, virüs bulaşmış bir bilgisayarda her çalıştırıldıklarında yürütülebilir dosyalara bulaşmaktı. Kopyalanan dosyalar bile etkilenebilir. Bu saldırının yaratıcısı ünlü olarak "Kara İntikamcı" olarak bilinir.
Frodo
Frodo gerçek anlamda dosyasız bir saldırı değil, ancak bir bilgisayarın önyükleme sektörüne yüklenen ilk virüstür, bu yüzden onu kısmen dosyasız hale getirir.
Ekim 1989'da, virüs bulaşmış bilgisayarların ekranlarında "Frodo Yaşıyor" mesajını yakmak amacıyla zararsız bir şaka olarak keşfedildi. Ancak, kötü yazılmış kod nedeniyle, aslında ana bilgisayarları için yıkıcı bir saldırıya dönüştü.
Kobalt Kitty Operasyonu
Bu meşhur saldırı Mayıs 2017'de keşfedildi ve bir Asya şirketinin sisteminde idam edildi.
Bu saldırı için kullanılan PowerShell komut dosyaları, Cobalt Strike Beacon virüsü de dahil olmak üzere bir dizi saldırı başlatmasını sağlayan harici bir komut ve kontrol sunucusuyla bağlantılıydı.
Misfox
Bu saldırı, Microsoft Olay Yanıtı ekibi tarafından Nisan 2016'da tespit edildi. Komutları PowerShell aracılığıyla çalıştırmanın yanı sıra kayıt defteri sızması yoluyla kalıcılık kazanmanın dosyasız metodolojilerini kullanır.
Bu saldırı Microsoft güvenlik ekibi tarafından tespit edildiğinden, Windows Defender'a bu kötü amaçlı yazılımdan korunmak için bir paket çözümü eklendi.
WannaMine
Bu saldırı, ana bilgisayarda kripto para madenciliği ile gerçekleştirilir.
Saldırı ilk olarak 2017 yılının ortalarında, dosya tabanlı bir programın izleri olmadan bellekte çalışırken tespit edildi.
Mor tilki
Purple Fox, ilk olarak 2018 yılında, cihazlara bulaşmak için bir istismar kiti gerektiren dosyasız bir indirme truva atı olarak oluşturuldu. Ek bir solucan modülü ile yeniden yapılandırılmış bir biçimde yeniden ortaya çıktı.
Saldırı, Windows tabanlı sistemleri otomatik olarak tarayan ve bunlara bulaşan solucan yükünü ileten bir kimlik avı e-postası tarafından başlatılır.
Purple Fox, savunmasız bağlantı noktalarını tarayarak kaba kuvvet saldırıları da kullanabilir. Hedef bağlantı noktası bulunduğunda, enfeksiyonu yaymak için infiltre edilir.
Dosyasız Kötü Amaçlı Yazılım Nasıl Önlenir
Dosyasız kötü amaçlı yazılımların ne kadar tehlikeli olabileceğini belirledik, özellikle de bazı güvenlik paketleri onu algılayamadığı için. Aşağıdaki beş ipucu, her tür dosyasız saldırı türünü hafifletmeye yardımcı olabilir.
1. Şüpheli Bağlantıları ve Ekleri Açmayın
E-posta, dosyasız saldırılar için en büyük giriş noktasıdır çünkü saf e-posta kullanıcıları kötü niyetli e-posta bağlantılarını açmaya çekilebilir.
Yüzde 100 emin olmadığınız bağlantılara tıklamayın . Önce URL'nin nerede bittiğini kontrol edebilir veya gönderenle olan ilişkinizden ve aksi takdirde e-postanın içeriğinden ona güvenip güvenemeyeceğinizi öğrenebilirsiniz.
Ayrıca, bilinmeyen kaynaklardan gönderilen hiçbir ek, özellikle PDF'ler ve Microsoft Word belgeleri gibi indirilebilir dosyalar içerenler açılmamalıdır.
2. JavaScript'i Öldürmeyin
JavaScript, dosyasız kötü amaçlı yazılımlar için harika bir etkileyici olabilir, ancak tamamen devre dışı bırakmak yardımcı olmaz.
Ziyaret ettiğiniz çoğu sayfanın boş veya eksik öğeler olmasının yanı sıra, Windows'ta JavaScript'e ihtiyaç duymadan bir web sayfasından çağrılabilen yerleşik bir JavaScript yorumlayıcısı da vardır.
En büyük dezavantajı, size dosyasız kötü amaçlı yazılımlara karşı yanlış bir güvenlik hissi sağlayabilmesidir.
3. Flash'ı devre dışı bırakın
Flash, bellekte çalışırken komut satırını kullanarak komutları yürütmek için Windows PowerShell Aracını kullanır.
Dosyasız kötü amaçlı yazılımlardan düzgün şekilde korunmak için, gerçekten gerekli olmadıkça Flash'ı devre dışı bırakmak önemlidir .
4. Tarayıcı Korumasını Kullanın
Ev ve iş tarayıcılarınızı korumak, dosyasız saldırıların yayılmasını önlemenin anahtarıdır.
Çalışma ortamları için, tüm masaüstleri için yalnızca bir tarayıcı türünün kullanılmasına izin veren bir ofis ilkesi oluşturun.
Windows Defender Application Guard gibi bir tarayıcı koruması kurmak çok faydalıdır. Office 365'in bir parçası olan bu yazılım, dosyasız saldırılara karşı koruma sağlamak için özel prosedürlerle yazılmıştır.
5. Sağlam Kimlik Doğrulama Uygulayın
Dosyasız kötü amaçlı yazılımın yayılmasının arkasındaki ana suçlu PowerShell değil, zayıf bir kimlik doğrulama sistemidir.
Güçlü kimlik doğrulama politikaları uygulamak ve En Az Ayrıcalık İlkesini (POLP) uygulayarak ayrıcalıklı erişimi sınırlamak , dosyasız kötü amaçlı yazılım riskini önemli ölçüde azaltabilir.
Dosyasız Kötü Amaçlı Yazılımları Yen
Geride hiçbir iz bırakmayan dosyasız kötü amaçlı yazılım, saldırıları gerçekleştirmek için bilgisayarınızdaki yerleşik "güvenli" araçları kullanır.
Bununla birlikte, dosyasız veya herhangi bir kötü amaçlı yazılımı yenmenin en iyi yolu, bu saldırıları gerçekleştirirken kullanılan farklı tekniklerin farkına varmak ve anlamaktır.
