Anasayfa » Fileless Malware

Fileless Malware

Giriş

Bu yazımızda farklı bir zararlı yazılım türü olan Fileless Malware’den bahsedeceğiz. İlk olarak, Fileless Malware türlerini diğer zararlılardan ayıran en büyük fark, yayılma ve çalışma şeklidir. Şimdi detaylıca inceleyelim.

Fileless Malware Nedir?

Fileless, adından da anladığımız gibi “dosyasız” zararlı yazılım anlamına gelmektedir. Bu ismin verilme sebebi zararlının çalışma şeklidir. Fileless Malware, diğer zararlı yazılımlardan farklı olarak yayılmak için herhangi bir dosyaya ihtiyaç duymamaktadır. Ayrıca indirmeye veya tıklanmaya da ihtiyaç duymamaktadırlar. Bulaştığı zaman direkt RAM üzerinde çalışmaya başlar ve kullanıcı bunu anlayamaz. Cihazınız normal işlevlerini yerine getirirken fileless de RAM yani bellek üzerinde exploit yapmaya devam eder.

Geleneksel zararlı yazılımlar, kendilerini sabit diske yükleyip belirli dosyalar oluşturarak çalışırken, dosyasız zararlı yazılımlar diskte herhangi bir dosya bırakmaz ve bu nedenle herhangi bir iz oluşturmaz. Disk üzerinde iz bırakmadıkları için antivirüs yazılımları tarafından kolayca tespit edilemezler, bu da onların fark edilmesini zorlaştırır. Bu tür zararlılar, genellikle sistemdeki aktif süreçleri (process) kullanarak kötü amaçlı eylemler gerçekleştirir. Çünkü süreçler, bir işlemin devam ettiğini gösterir. Fileless Malware de çalışabilmek için kendine devam eden bir süreci seçer ve çalışmalarına başlar. Bu şekilde, normal süreçler çalışırken aynı anda dosyasız zararlı yazılım da sistemi hedef alabilmektedir. Bu durum, zararlının tespit edilmesini daha da zorlaştırır. Ayrıca bu tür zararlılar sisteme girdikten sonra kendi kendilerini güncelleyebilmekte veya yeni tehditler indirebilmektedirler.

Dosyasız Zararlı Yazılım

Fileless Zararlı Yazılımının Çalışma Yöntemleri

Fileless Malware; genellikle PowerShell, Windows Management Instrumentation (WMI), vb. gibi sistem araçlarını kullanarak çalışırlar. Bu zararlılar, hedef sistemde yürütme yetkisi elde ettikten sonra, bu araçları kullanarak zararlı komutlar gönderirler. Böylece sisteme zarar verirler.

PowerShell Scripting: Fileless zararlısı sisteme girdikten sonra PowerShell üzerinde kötü amaçlı komutlar çalıştırarak sisteme zarar verir. Bu şekilde bellek üzerine işlemler yapılmaya devam eder.

WMI (Windows Management Instrumentation): WMI, Windows işletim sistemlerinde nesnelerin kontrol edilebilmesini sağlayan yapıdır. İşletim sistemindeki operasyonları ve yönetim işlevlerini gerçekleştirebilen bir teknolojidir. Bilgisayarların durumlarını toplamak, ayarları yapılandırmak, uygulamaları çalıştırmak ve kod yürütmek gibi pek çok şeyi yapabilme özelliğine sahiptir. Dosyasız zararlılar kötü amaçlı kodları yürütmek için WMI da kullanırlar. Böylece sistemin yönetim araçları üzerinden exploit gerçekleştirmiş olurlar.

Script ve Macro Kullanımı: Dosyasız zararlılar process üzerinde çalışan Office belgeleri makroları veya script dosyalarını kullanarak da kötü amaçlı kod çalıştırabilirler. Makro dediğimiz şeyler bir görevi otomatik olarak gerçekleştirmek için birlikte gruplandırıp tek bir komut haline getirdiğimiz bir dizi komut ve yönergedir.

Fileless Malware İle Mücadele

Fileless Malware ile mücadele etmek, geleneksel zararlı yazılımlar ile mücadele etmekten daha karmaşıktır. Bununla birlikte, birkaç önemli yöntem ve strateji ile bu tehditleri tespit etmek ve önlemek mümkündür.

  • Davranışsal Analiz: Zararlı yazılımlar, genellikle belirli bir davranış örüntüsü sergiler. Örneğin, PowerShell komutları aniden çalışmaya başlarsa, bu bir tehdit belirtisi olabilmektedir. Süreçlerin davranışını izleyen ve çalışma zamanı sırasında şüpheli etkinlikleri etiketleyen anomali tespit araçları, zararlıları belirlemede yardımcı olabilmektedir.
  • Process İzleme: Fileless Malware genellikle çalışan süreçleri manipüle eder. Bu yüzden süreç takibi ve anomali tespiti önemli bir savunma katmanıdır.
  • Güncellenmiş Güvenlik Yazılımları: Fileless Malware türlerinin antivirüsler tarafından tespiti oldukça zordur ancak güncellenmiş güvenlik çözümleri (Güvenlik Bilgileri ve Olay Yönetimi, Endpoint Detection and Response vb.) bu tür zararlıları tespit edebilir.
  • PowerShell Kısıtlamaları: Sistemde PowerShell veya WMI gibi araçların yalnızca belirli kullanıcılar tarafından kullanılmasına izin verilmelidir. Bu da zararlı yazılımların bu araçları kullanmasını zorlaştırır.
  • Sistem İzleme: Dosya sistemi üzerinde yapılan değişiklikler kontrol edilebilmektedir. Her ne kadar fileless zararlılar arkalarında dosya bırakmasa da, bellekte yapılan değişiklikler ve ağ trafiği izlenerek müdahale etmemiz mümkün olabilir.

Örnek Bir Dosyasız Zararlısı

Fileless’e örnek olarak yalnızca bellekte bulunduğu için tespit edilemeyen Duqu solucanı verebiliriz. Duqu 2.0 iki versiyonda gelir. Birincisi saldırganın bir organizasyonda yer edinmesine olanak tanıyan bir arka kapıdır. Saldırgan daha sonra keşif, yanal hareket ve veri sızdırma gibi ek özellikler sunan Duqu 2.0’ın ikinci versiyonunu kullanır. Saldırgan, Duqu 2.0’ı telekom endüstrisindeki şirketlere ve en az bir tanınmış güvenlik yazılımı sağlayıcısına başarılı bir şekilde sızmak amacıyla kullanır.

Bu yazımızda Fileless Malware’i anlatmaya çalıştık, iyi okumalar. Kaynakları incelemek isterseniz ;

https://www.crowdstrike.com/en-us/cybersecurity-101/malware/fileless-malware

https://learn.microsoft.com/en-us/defender-endpoint/malware/fileless-threats

Ayrıca daha fazla içerik için diğer yazılarımızı inceleyebilirsiniz.

Büşra Zümra Karaozan

Fırat Üniversitesi Teknoloji Fakültesi Yazılım Mühendisliği /Siber Güvenlik

More Reading

Post navigation

Leave a Comment

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir