Dosyasız (Fileless) Kötü Amaçlı Yazılım – Algılama, Müdahale Ve Önleme

Günümüz kötü amaçlı yazılımları her zamankinden çok daha tehditkar ve kısır. Sadece geleneksel güvenlik araçlarıyla değil, kötü amaçlı yazılımdan koruma, izinsiz giriş önleme sistemleri ve akıllı e-posta filtreleri gibi gelişmiş çözümlerle bile erken tespitten kaçınabilirler.

Bu nedenle, dünyanın dört bir yanındaki saldırganlar tarafından yaygın olarak kullanılıyorlar. Kullanımda önemli bir artışa sahip bu tür tehditkar modern zaman kötü amaçlı yazılımlarından biri Dosyasız (fileless) kötü amaçlı yazılımlardır. Verilere göre, Dosyasız (fileless) kötü amaçlı yazılım oranları yaklaşık %900 arttı!

Ayak izi bırakmadığından, bu modern kötü amaçlı yazılımın tespit edilmesi zordur, ancak imkansız değildir. Peki, Dosyasız (fileless) kötü amaçlı yazılım saldırılarını nasıl algılar ve bunlara karşı koruma sağlarsınız?

Dosyasız (fileless) Kötü Amaçlı Yazılım Nedir?

Dosyasız (fileless) kötü amaçlı yazılım, sabit sürücü yerine doğrudan bir sistemin belleğinde çalışan ve ayak izi bırakmayan kötü amaçlı bir program / kod / yazılımdır.

Bellek tabanlı bir kötü amaçlı yazılım olan kod, doğrudan makineye yüklenmez veya makinede depolanmaz. Bunun yerine, kötü amaçlı içerik sabit sürücüye dokunmadan doğrudan belleğe gider. Kötü amaçlı dosyaların olmaması nedeniyle, Dosyasız (fileless) kötü amaçlı yazılımlar adını alır.

Geleneksel kötü amaçlı yazılımların aksine, hedef sisteme kod yüklenmesini gerektirmez. Bu nedenle, tespit etmek zordur. Bunun yerine, bu kötü amaçlı yazılım yerel, meşru ve başka türlü yararlı araç ve programlardan yararlanır. Bunlar, saldırıları yürütmek ve sistemleri tehlikeye atmak için zaten sistemde yerleşiktir. Bu nedenle Dosyasız (fileless) kötü amaçlı yazılımlar topraktan veya LOLbins'ten yaşamak olarak bilinir.

Dosyasız (fileless) Kötü Amaçlı Yazılım Saldırısı Nasıl Çalışır?

Saldırganlar Dosyasız (fileless) kötü amaçlı yazılım saldırıları başlatmak için kod yüklemese de, tekliflerini yapmak üzere yerel araçları değiştirmek için ortama erişmeleri gerekir. Bunu başarmak için aşağıdaki tekniklerden birini veya birkaçını kullanırlar:

• Sosyal mühendislik ve kimlik avı saldırıları. Burada kullanıcılar bir bağlantıyı tıklar veya kötü amaçlı bir eki indirir.
• Exploit kitleri.
• Dosyasız (fileless) fidye yazılımı.
• Çalınan kimlik bilgileri.
• Yalnızca belleğe yönelik kötü amaçlı yazılımlar.
• JavaScript, Microsoft Word ve Microsoft PowerShell gibi ele geçirilmiş yerel araçlar.
• Kayıt defterinde yerleşik kötü amaçlı yazılım.

Dosyasız (fileless) kötü amaçlı yazılım sisteme bulaştıktan sonra, bir cihazdan diğerine yanal hareket yapar. Saldırgan sisteme uzaktan erişim sağlar. Kimlik bilgilerini çalmalarını ve kalıcılığı korumak için bir arka kapı oluşturmalarını sağlar.

Çalınan kimlik bilgilerini ve arka kapıyı kullanarak, verilere ve sistemlere gayri meşru erişim elde ederler. Böylece veri çalabilir ve operasyonları sabote edebilirler.

Dosyasız (fileless) Kötü Amaçlı Yazılım Neden Bu Kadar Tehlikeli?

• Doğrudan RAM'e yazılan Dosyasız (fileless) kötü amaçlı yazılım, hileli bir program veya dosya değildir. Ayrıca, kötü amaçlı etkinlikleri yürütmek için güvenilir, yerel araçlar, uygulamalar ve yazılımlar kullanır. Kötü amaçlı yazılımdan koruma yazılımı, korumalı alan ve IPS sistemleri gibi gelişmiş araçlardan kaçar, sadece virüsten koruma ve güvenlik duvarları gibi temel araçlardan değil.
• Savunmalar orijinal komut dosyasını algılayıp kaldırsa bile, kötü amaçlı yazılım PowerSploit ve CobaltStrike gibi istismar kitlerini kullanarak çalışır durumda kalır.

Dosyasız (fileless) Kötü Amaçlı Yazılım Nasıl Tespit Edilir?

Dosya ve İmza Tabanlı Algılamayı Kullanmayın

Geleneksel dosya tabanlı ve imza tabanlı algılama teknikleri, Dosyasızlıkta (fileless) oldukça etkisizdir. Bunlar bilinen imzaları arar, statik kötü amaçlı / hileli dosyaları kontrol eder ve işletim sistemi işlemlerinin statik testini gerçekleştirir. Böylece, Dosyasız (fileless) kötü amaçlı yazılımları kaçırırlar.

Bu kötü amaçlı kötü amaçlı yazılımı etkili bir şekilde algılamak için davranış ve desen analizi, parmak izi alma ve küresel tehdit akışlarından yararlanmanız gerekir. Ayrıca, kötü amaçlı davranıştaki normal farkı otomatik olarak yeniden kalibre etmek ve mutasyona uğrasa bile kötü amaçlı yazılımları algılamaya devam etmek için akıllı araçlar kullanın.

Saldırı Göstergelerini Arayın

Tespit edilmesi zor olan uzlaşma göstergelerine odaklanmak yerine, Dosyasız (fileless) kötü amaçlı yazılım saldırılarının göstergelerini arayın. Örneğin, yanal hareketler, kod yürütme, veri sızıntısı, şüpheli eylemler / faaliyetler görünüşte meşru vb.

BT güvenlik ekibinizin sistemi tarayabilmesi ve Dosyasız (fileless) kötü amaçlı yazılım azaltma işlemlerini başlatabilmesi için bu tür etkinlikler için tetikleyiciler ayarlayın.

Tam Olarak Yönetilen Tehdit Avcılığından Yararlanın

Indusface gibi saygın ve güvenilir güvenlik hizmeti sağlayıcıları, Dosyasız (fileless) kötü amaçlı yazılımları proaktif ve etkili bir şekilde tanımlamanıza yardımcı olmak için tamamen yönetilen tehdit avı hizmetleri sunar.

Akıllı tarama, otomatik kalem testi, manuel güvenlik testi ve yanlış pozitif yönetimi kullanarak çevreyi izler ve kötü amaçlı yazılımları gerçek zamanlı olarak tespit ederler.

Dosyasız (fileless) Kötü Amaçlı Yazılım Saldırıları Nasıl Önlenir?

Bu tür kötü amaçlı yazılımların algılanması, bu tür Dosyasız (fileless) saldırıları otomatik olarak engellemez. Dosyasız (fileless) saldırı koruması için, kötü amaçlı saldırganların tekliflerini gerçekleştirmek için yararlanabilecekleri güvenlik açıklarını, kusurları ve boşlukları belirlemeniz ve bunları proaktif olarak güvence altına almanız gerekir.

Dosyasız (fileless) kötü amaçlı yazılım algılamayı yeni nesil, tam olarak yönetilen güvenlik çözümleriyle birleştirerek bu saldırıları önleyebilirsiniz. Böyle bir çözüm kapsamlı olmalı ve birden fazla güvenlik katmanı sağlamalıdır.

Diğer önlemler şunları içerir:

• Ortamdaki her şeye düzeltme eki uygulama ve güncelleme
• Sürekli günlüğe kaydetme ve izleme
• Güvenlik duruşunu proaktif olarak sertleştirme
• Kimlik avı ve diğer dolandırıcılıklara maruz kalmamalarını sağlamak için çalışanları ve kullanıcıları sürekli eğitmek

İleriye Giden Yol

Dosyasız (fileless) kötü amaçlı yazılımlar, geleneksel güvenlik önlemlerinden kaçarak gizli olabilir. Ancak, doğru güvenlik önlemleri ve çözümleriyle, bunları etkili bir şekilde tespit edebilir ve önleyebilirsiniz.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.