Dosyasız Zararlı Yazılımlara (Fileless Malware) Karşı Güvenlik Önlemleri
Siber saldırganlar her geçen gün farklı yöntemlere başvurarak; güvenlik sistemleri tarafından tespit edilmemek adına yeni saldırı metodları geliştirmek için çalışmalar yapmaktadır. Fidye yazılımlarının da artmasıyla tespiti güç hale gelen zararlı dosyalara ek olarak, dosyasız (fileless) olarak yürütülen zararlı yazılım kampanyalarında da büyük oranda artış görülmektedir.
Dosyasız saldırılardaki artışı birkaç önemli sebep ile açıklamak mümkündür. Dosyasız saldırılarda saldırgan hedeflediği sistem üzerinde bellekte doğrudan bir aktivitede bulunmadığı için statik algılamayı kolayca atlatabilmektedir. Dosyasız saldırıların tespiti, analizi ve yanıt verme süreci daha karmaşıktır. Bu bilgiler birlikte değerlendirildiğinde, bu tür saldırılara karşı koyabilmek adına nitelikli personel kaynağına ve gelişmiş teknolojilere olan ihtiyacın artacağı açıkça görülmektedir.
Dosyasız Zararlı Yazılım (Fileless Malware) Nedir?
Dosyasız saldırı, hedeflenen sistemdeki diske herhangi bir zararlı dosya yazılımı oluşturulmadan yapılan saldırı yöntemi olarak tanımlanabilir. Ancak bu saldırı yöntemi amaçlarına göre farklılıklar göstermektedir.
Bunlardan bazıları;
- Çalıştırılabilir Dosyaya Sahip Olmadan Yapılan Saldırı Yöntemi: Saldırganlar hedefledikleri sisteme erişim için dosya oluşturarak çalıştırabilir. Dosyasız zararlı yazılımlarda ise saldırganlar bir dosyaya ihtiyaç duymamaktadır. Hedeflenen kurumun ana sisteminde bulunan çalıştırılabilir dosyaları aktif olarak kullanılır. Bu işlem gerçekleştirilirken saldırgan kendi oluşturduğu bir .exe dosyasına ihtiyaç duymamaktadır.
- Birden Fazla Erişim Noktası Kullanılarak Yapılan Saldırı Yönetimi: Saldırganlar hedefledikleri sistem için bir çok farklı noktadan kontrolü ele almaya çalışır. Fileless zararlı yazılım ataklarında ise saldırganlar yönetim servislerini doğrudan hedefler. Böylece saldırganlar zararlı faaliyetlerini sistemdeki bulunan dosyalarla birlikte servisleri de kullanarak yapabilmektedir. Yönetim sistemlerine örnek olarak bulut(cloud) yapıları, kimlik doğrulama mekanizmaları, veri yedekleme ve kurtarma yapıları söylenebilir.
- Kod Yerleştirme Yönetimi: Bir process(sürecin)’in belleğine dinamik olarak tanımlanmış şekilde kod yerleştirmeye dayalı bir yöntemdir. Dinamik kod yerleştirme esnasında çalıştırılan zararlı kod standart bir bellek boyutuna ihtiyaç duymaz. Zararlı olan kod parçası kendi bu şekilde gizlemektedir.
Dosyasız(Fileless) Zararlı Yazılımların Genel Özellikleri Nelerdir?
Dosyasız Saldırı türleri incelendiğinde genel olarak bir resim çıkarmak mümkündür. Kurum için bir çok Trusted(güvenilir) yapılar ve yetkilendirilmiş uygulamalar bulunmaktadır. Bunlara örnek olarak güvenlik çözümleri, yetkilendirilmiş hesaplardan bahsedilebilir. Fileless zararlı yazılımlar ise yalnızca standart kullanıcıları değil, kurumun sahip olduğu güvenlik yapılarını da doğrudan hedefler. Kurumdaki yönetim ve güvenlik servislerine erişim sağladıktan sonra yerleşik olarak çalışan process, registry, komut dosyaları vb. kullanarak kendi kolayca gizler. Standart bir kullanıcı gibi hareket ettiğinden dolayı davranışsal anomalisini tespit etmek kolay değildir. Saldırgan, kendini yetkilendirme aşamasında imza tabanlı bir işlem yapmadığı içinde Antivirüs yazılımlarının kendisini de tespit etmesi çok zordur.
Dosyasız Saldırılar Nasıl Engellenebilir?
Her güvenlik yaklaşımında olduğu gibi dosyasız saldırılara karşı da farkındalık sağlanmalıdır. Kurumlar güvenlik duruşlarını çalışanlarına, verilerine ve oluşabilecek siber aksiyonlara göre şekillendirilmelidir. Oluşturulan ilkelere bağlı kalındığına emin olunmalıdır. Dosyasız zararlı yazılımlar için ise uygulanması gereken bazı güvenlik maddeleri şunlardır:
- Kullanıcının kurum içinde başka bir ağa dahil olabileceği komut dosyalarına kısıtlamalar getirilmelidir. Komut dosyaları yalnızca yetkili kullanıcılar dışında okunabilir şekilde sağlanmalıdır. Yetkili kullanıcıların ise diğer makineleri erişimleri de ihtiyaç dahilinde oluşturulmalıdır.
- Powershell, saldırganlar için önemli bir araçtır. Kurum içinde çalıştırılan bütün Powershell komutları izlenmeli ve tespiti yapılmalıdır. Saldırganlar keşif aşamasında sıradan Powershell komutlarına(hostname, ipconfig vb.) bile ihtiyaç duymaktadır. Fileless zararlı yazılımları sistemde bulunan araçlara ihtiyaç duyduğundan dolayı Powershell risk oluşturmaktadır.
- Standart kullanıcılar için bazı PE(Portable Executable) ve makro dosyalarına izin verilmektedir. Fakat standart kullanıcıların ihtiyaç duymayacağı yerleşik dosya veya dosya türlerine izin verilmemelidir. Uzaktan bir başka bilgisayara erişim için kullanılan psexec.exe veya ssh.exe buna örnek olarak verilebilir.
- Siber saldırı yöntemleri günden güne artmakta ve gelişmektedir. Bu yüzden, güvenlik sağlayıcıları ve güvenlik içeriğine sahip yazılımlar güvenlik durumlarını iyileştirmek adına sıklıkla güncelleme yayınlamaktadır. Güncellemeleri yapmak, oluşabilecek siber saldırılara karşı erken aşamada aksiyon alınmasını sağlar.
Yukarıda açıklanan maddelere bağlı kalınması dosyasız saldırılara karşı proaktif savunma sağlamakta önemli role sahip olacaktır. Filess zararlı yazılımları kullanan kişilerin aksiyonlarını anlamak en etkili savunmayı sağlayacaktır. .