Zararlı Yazılım
Zararlı yazılım 1990 yılında Yisrael Radai tarafından ortaya çıkarıldı. Malicious ve Software kelimelerinden türetilmiş bir adı aldı. Türkçeleştiğinde ise zararlı yazılım olarak tanımlanır. Yisrael Radai tarafından bulunmadan önce bu tür yazılımlara virüs adı verilmekteydi.
Zararlı yazılım, günümüzde hizmetlere ve ağlara zarar vermek hatta bunlardan yararlanıp sistem üzerindeki bilgileri ele geçirmek için kullanılır. Sonrasında saldırganlar tarafından mali kazanç elde etmek için kullanılmaktadır.
Zararlı Yazılım Türleri
- Solucan (Worm): Sisteme sızarak ulaştığı bilgileri ve verileri yok etmek için kullanılan zararlı yazılımdır.
- Truva Atı (Trojan): Verileri ele geçirmek ve sistem uzaktan erişim sağlamak için kullanılan zararlı yazılımdır.
- Rootkit: Sistem üzerinde gizlenerek ayrıcalıklı yetkiye erişerek ve uzaktan erişim sağlayarak sistemi ele geçiren zararlı yazılımdır.
- Reklam Yazılımı (Adware): İndirildiği yerin belli olmadığını programlar ve sürüm yükseltmeleri yapıldığını sistem üzerine bulaşarak hem reklam hem de saldırganın kurgulamış olduğu zararlı yazılıma göre sistemden bilgi toplamak içinde kullanılan zararlı yazılımdır.
- Fidye Yazılımı (Ransomware): Fidye yazılımı sistem üzerindeki bilgileri şifreleyerek süre bitmeden ödeme yapılana kadar sistemi ele geçiren kullanımı durduran zararlı yazılımdır.
- Casus Yazılım(Spyware): Casus yazılımı sistemi takip etmek için kullanılır. içerisinde keylogger gibi takipler yaparak sistem içerisinden bilgi alabilmek için kullanılan zararlı yazılımdır.
- Cryptojacking: Günümüzde oldukça yaygın olarak bilinen kripto para madenciliğini sistem üzerinde habersiz bir şekilde kazım yapılmasını sağlayan zararlı yazılımdır.
- Keylogger: Sistem üzerindeki her basılan tuşun kayıtını alan bir zararlı yazılımdır.
Zararlı Yazılıma Maruz Kalmış Sistemlerde:
- Sistem üzerinden veriler silinebilir, değiştirilebilir.
- Sistem üzerinde farklı programlar çalıştırılabilir.
- Sistemde yavaşlama olabilir.
- Sistem üzerinde sürekli çökmeler olabilir.
- Sistemde CPU kullanımında artış olabilir.
Zararlı Yazılımın Bulaşma Yolları
- Bilinmeyen E-posta maillerindeki eklerin indirildiğinde,
- Bilinmeyen siteler üzerinden indirilen programlardan,
- USB Bellek ,CD,DVD kullanımından bulaşabilir.
- Lisanslı olmayan (Crack) programlar indirildiğinde sisteme zararlı yazılım bulaşma olasılığı yüksektir.
Zararlı Yazılımlardan Korunma
- Lisanslı yazılımların kullanılması,
- Sistem yazılımlarının güncel tutulması,
- Güvenlik duvarı etkin halde olması,
- Halka açık ağlara bağlanılmaması,
- Sistemlerde dosya paylaşımının sınırlı olması,
- Sistem verilerini şifrelenmiş halde tutulması zararlı yazılımlardan korunmamıza olanak sağlayabilir.
Zararlı Yazılım Analizi
Zararlı yazılım analizi, işlevselliğini, kökenini ve potansiyel etkisini tespit etmek için kullanılan yöntem ve becerilerin tümü olarak belirtilir. Zararlı yazılım analizi çeşitli araçlar ve yöntemler kullanılarak incelenmesine denir. Zararlı yazılımın analizinde bakmamız gereken genellikle, ağ içi saldırısına ve zararlı yazılım bulaşmasına yanıt vermek vermemiz gerekir. Bu nedenle zararlı yazılımının nasıl çalıştığını, sistemde ne olarak tanımlandığını ve sisteme nasıl bulaştığı hakkında incelemeler yapmaktır. Sistem üzerinde zararlı yazılıma karşı bir önlem alınmazsa sisteme verdiği hasar giderek artar. Bu nedenle zararlı yazılım analinizin önemi burada kendini belli ediyor. Analiz sırasında izlenecek yöntemler temel olarak statik analiz, dinamik analiz ve ram analizi olmak üzere üç kısıma ayırarak inceleyebiliriz.
Statik Analiz
Statik analiz temel olarak analiz edilecek zararlı yazılımının canlı ortamda çalıştırılmadan kaynak kodlarına bakarak analiz edilmesidir. Zararlı yazılım kodları incelenerek dışarıdan hangi dosyaların import edildiğini, hangi kütüphanelerin kullanıldığını, string değerlerini, obfuscate (karmaşıklaştırma) işlemi ve pack işlemi yapılıp yapılmadığı hakkında bir çok bilgiyi öğrenmeye yarar.
Statik Analiz Araçları
- PEStudio
- PEBear
- CFFExplorer
- PEiD
- DiE
- PEView
- JAD
gibi araçlar kullanılarak statik analiz işlemi gerçekleştirilir.
Dinamik Analiz
Dinamik analiz temel olarak analiz edilecek zararlı yazılımının canlı ortamda çalıştırılıp sistem üzerinde yaptığı işlemlere, davranışlarına bakarak zararlı yazılımın analiz edilmesidir. Statik analizde elde edilen bilgilerin bir çoğu burada kullanılır.
Dinamik Analiz Araçları
- Procmon
- ProcDot
- Regshot
- Process Explorer
- Process Hacker
- Autoruns
- Fiddler
- Wireshark
- ApateDNS
- TCP View
- CaptureBAT
- Debugger
- Process Monitor
gibi araçlar kullanılarak dinamik analiz işlemi gerçekleştirilir.
Ram Analizi
Ram analizi daha çok adli vakalarda karşımıza çıkan bellek analizi zararlı yazılım analizinde de kullanışlı ve çeşitli faydalar sağlayan bir tekniktir. Sistem üzerine enfekte olmuş zararlı yazılımların ram imajını alarak, sonrasında ram analizi yapılarak ortaya çıkan sonuçlardır. Ram imajını aldıktan sonra Volatility, memoryze, redline gibi araçlar ile analiz edilmesidir.
Umarım zararlı yazılım ve zararlı yazılım analizi hakkında faydalı bir anlatım olmuştur. Bir sonraki yazımda tekrar görüşmek üzere…