Zararlı yazılım nedir?
Bilgisayar ortamına kullanıcının bilgisi/onayı dışında aktarılmış (Maalesef çoğu zaman onaylayan kullanıcıdır.), mevcut kullanıcı dosyaları, yazılım ve/veya işletim sisteminin bütünlüğünü, erişilebilirliğini, gizliliğini tehdit eden yetkisiz kod parçaları ve yazılımlar genel olarak zararlı kod/yazılım olarak isimlendirilirler. Yayılma yöntemine, yapısına ve amacına göre sınıflandırılırlar.
Zararlı yazılım türleri:
Virüsler:
Bilgisayar virüsleri, bilgisayarın işlemlerine müdahale etmek, verileri kaydetmek, bozmak veya silmek ya da internet yoluyla diğer bilgisayarları etkilemek amacıyla tasarlanan yazılım programlarıdır. Virüsler çoğu zaman işlemleri yavaşlatır ve başka sorunlara neden olur. Örneğin Word dosyalarına eklenmiş kötü amaçlı makrolar diğer Word dosyalarına bulaşabilir, ya da bir boot sector virüsü disketten boot sektörüne kendini kopyalayarak işletim sisteminin açılmasını engelleyebilir. Virüsler bilgisayar kullanıcısını rahatsız edecek mesajlar gösterebilir, dosyaları kullanılmaz hale getirebilir, kişisel bilgileri başkalarına gönderebilir ya da işletim sistemini çalışmaz hale getirebilir.Virüsler bir dosyanın açılması, bir programın çalıştırılması, boot sector virüs içeren bir CD'nin bilgisayar açılırken takılı olması ya da e-postalara eklenmiş dosyaların açılması ile bilgisayara bulaşabilir. Virüsler antivirüs programları tarafın tespit edilmemek için değişik karıştırma, şifreleme, değişme vb. yöntemleri kullanmaktadır. Virüsler genel olarak 5 ana kategoriye ayrılırlar;
1- Dosya Virüsleri
Word, Excel veya oyun programları gibi çalıştırılabilir programlara kendilerini eklerler.Bir programa bulaştıktan sonra diğer programlara bulaşabilirler. Jerusalem ve Cascade virüsleri bu tür virüslere örnektir.
2- Boot Sector Virüsleri
Boot sector virüsleri sabit diskin Master Boot Record (MBR), boot sector kısımlarını yada floppy disket, CD, flash disk gibi taşınabilir medyalara bulaşırlar. Boot sektör sabit disk sürücünün başlangıç kısmında bulunan ve disk / drive yapısı hakkında bilgileri içeren kısımdır. Açılış sektörü bilgisayar üzerine kurulu işletim sisteminin başlatılabilmesi için gerekli programları içerir. MBR disk üzerinde özel bir bölgede bulunur, bilgisayar BIOS boot programının yer bilgisini tutar ve çalıştırma komutunu içerir. Sistem açılışı esnasında taşınabilir disk takılı konumda ise sisteme boot sector virüsleri bulaşabilir (Taşınabilir diskte boot sector virüsü olması durumunda). Boot sector virüsleri sistemi çalışmaz konuma getirebilir. Belirtileri sistem açılışında görülen hata mesajları ya da sistemin açılamaması olabilir. Form, Michelangelo ve Stoned boot sector virüslerine örnektir.
3- Multipartite Virüsleri
Boot sektör ve File Infector virüslerinin özelliklerini taşır. Flip ve Invader bu tür virüslere örnektir.
4- Makro Virüsler
Makro virüsler en yaygın ve etkili virüs türüdür. Bu tür virüsler kendilerini makro (kompleks, tekrarlanan işlemleri otomatize eden betikler) kullanımına izin veren Word, Excel vb. programların açtığı dokümanlara kopyalarlar. Makro virüsler bu tür programların makro programlama dili yeteneklerini kullanarak yayılırlar ve programlandıkları işlevi gerçekleştirirler. Bir makro virüs bulaştığında ilgili programın yeni dokümanlar oluştururken ya da mevcut dokümanları açarken kullandığı taslak doküman (template) virüslü hale gelir. Concept, Marker, ve Melissa virüsleri bilinen makro virüslere örnektir.
5- Betik Virüsler
Makro virüslere benzerdirler, temel farkları makro virüsler belli bir program tarafından kullanılan betiklerden oluşurken, betik virüsleri işletim sistemi tarafından çalıştırılan servislerin çalıştırabildiği betiklerden oluşur. Örneğin Windows Scripting Host servisi VBScript'le yazılan betikleri çalıştırmaktadır. Bu tür virüslere örnekler First ve LoveStages virüsleridir.
Solucan (Worm):
Worm'lar bir dosyaya bulaşmak için host programa ihtiyaç duymayan zararlı kodlara verilen isimdir. Solucanlar yayılmak için kullanıcının dosyayı açmasına ihtiyaç duymadan yayılabilirler. Bu nedenle tüm sisteme kısa sürede yayılma olanağına sahiptirler. Solucanlar bilinen açıklıkları (işletim sistemi, uygulama açıklıkları) ya da konfigürasyon hatalarını (güvenlik önlemi alınmamış paylaşımlar gibi) kullanırlar. Sistem ya da ağ kaynaklarını tüketmek ya da sisteme izinsiz giriş için arka kapılar oluşturmak amacıyla kullanılırlar. İki çeşit solucan bulunmaktadır:
1- Ağ Solucanları
İşletim sisteminin/uygulamaların ağ servislerinde bulunan açıklıkları kullanarakyayılırlar. Solucan bir sisteme bulaştıktan sonra aynı servisi kullanan diğer sistemleritarar ve bu sistemlere bulaşmaya çalışır. Kullanıcının yapacağı işlemlere bağımlı olmadığı için diğer zararlı kod/yazılımlara göre daha hızlı yayılırlar. Sasser ve Witty bu tür solucanlara örnektir.
2- E-posta Solucanları
E-posta ile yayılan virüslere benzerler, fakat e-posta solucanları bulaştıktan sonra sistemde kayıtlı e-posta adreslerini arar ve kopyalarını bu adreslere gönderir. Bu türsolucanlar e-posta sunucusunun servis dışı kalmasına sebep olabilir veya ağ performansını düşürebilir. Beagle, Mydoom ve Netsky bu tür solucanlara örnektir.
Truva Atı (Trojan Horse)
Eğlenceli ya da faydalı bir program gibi gözüken, ancak maksadı hedef sisteme zarar vermek olan programlardır. Truva atları virüs ve solucanların aksine yayılma özelliğine sahip değildir ve kullanıcı tarafından faydalı olduğu düşünülerek bilgisayara kurulur. Truva atları kurulduğunda mevcut sistem dosyalarını değiştirebilir, kendi dosyalarını oluşturabilir, saldırgana arka kapı (Backdoor) açabilir, kullanıcın kişisel bilgilerini toplayabilir. Truva atlarının varlığı antivirüs/spyware türü programlarla tespit edilmekle beraber, bilgisayarın CPU, RAM ya da ağ kullanımındaki beklenmedik değişiklikler Truva atının varlığına işarettir. Truva atlarına şu örnekler verilebilir:
Sistemde kullanılan şifreleri toplayan bir oyun programı.
İşlemleri listelemek için kullanılan programın zararlı programların listelenmesini engellemesi
Erişim kontrol programının şifreleri saldırgan için saklaması
Sözlük olduğu sanılan programın sistem dosyalarını silmesi vb.
SubSeven, BackOrifice ve OptixPro bilinen truva atlarına birkaç örnektir.
Zararlı Mobil Kodlar
Mobil kod, uzaktaki bir bilgisayardan ağ üzerinden gönderilen, gönderildiği bilgisayarda kullanıcının müdahalesine gerek kalmaksızın çalıştırılabilen kodlara verilen isimdir. Değişik işletim sistemlerinde ve birçok uygulama üzerinde çalıştırılabilmektedirler. Saldırganlar tarafından yazılan zararlı mobil kodlar sistemlere doğrudan saldırmakdışında, virüs, solucan, truva atı vb. zararlı kod/yazılım yüklemek için de kullanılırlar.Virüs ve solucanlardan farklı olarak sistem/ağ üzerinde yayılmazlar veya dosyalara bulaşmazlar. Sistemlere, mobil kodlara verilen varsayılan hakları kullanarak saldırırlar. Mobil kodlar için kullanılan popüler programlama dilleri Java, ActiveX, JavaScript ve VBScript'tir. En çok bilinen mobil kod Nimda'dır, JavaScript kullanılmıştır.
Casus Yazılımlar
Casus yazılım, izniniz olmadan, yeterli uyarıda bulunmadan veya size denetim olanağı vermeden kendini bilgisayarınıza yükleyebilen veya çalıştırabilen yazılımlardır. Casus yazılımlar bilgisayarınızı etkiledikten sonra herhangi bir belirti göstermeyebilir, ancak çoğu kötü amaçlı veya istenmeyen program bilgisayarınızın çalışma biçimini etkileyebilir. Örneğin, casus yazılım internet faaliyetinizi izleyebilir veya sizinle ilgili bilgi (örneğin, kimliğinizle ilgili bilgiler veya başka önemli bilgiler) toplayabilir, bilgisayarınızdaki ayarları değiştirebilir veya bilgisayarınızın yavaş çalışmasına neden olabilir.Casus yazılımlar genel olarak yazılımlar 3'e ayrılır.
1- Arka Kapı (Backdoor)
Arka kapı, belli bir TCP ya da UDP portundan gelecek saldırı amaçlı komutlar içindinleme yapan zararlı programlara verilen isimdir. Arka kapılar çoğunlukla istemci/sunumcu yapısında çalışmaktadır. Sunumcu bileşeni saldırılan bilgisayara yüklenmekte, istemci bileşeni ise saldırganın uzaktaki bilgisayarından çalıştırılarak sunumcuya bağlanılmaktadır. Bağlantı sonucunda saldırgan saldırılan bilgisayar üzerinde belli ölçülerde kontrol elde edebilmektedir: Dosya transferi, şifrelerin ele geçirilmesi, istenilen komutların çalıştırılması (Uzaktan Yönetim Amaçlı araçlar: SubSeven, BackOrifice, ve NetBus), başka bilgisayarlara, sistemlere devre dışı bırakma saldırılarıyapabilme (Zombies ya da Bot olarak da adlandırılırlar, Trinoo ve Tribe Flood Network) vb.
2- Keylogger
Keylogger kullanıcının klavyede dokunduğu tuşları kaydeden programlara verilen isimdir. Bu tür programlar aracılığıyla yazılan e-postalar, kullanılan kullanıcı isimleri/şifreleri, hazırlanan dokümanlar, kredi kartı bilgileri vb. kritik bilgiler gizlice kaydedilir ve saldırgan tarafından e-posta, dosya transferi vb. yollarla elde edilebilir. KeySnatch, Spyster ve KeyLoggerPro keylogger programlarına örnektir.
3- Rootkit
İşletim sistemi dosyalarını değiştirerek sistemin saldırganın amacı doğrultusundaçalışmasını sağlayan dosyalar toplamına verilen isimdir. Rootkit tarafından sistemüzerinde yapılan değişiklikler ile rootkitin varlığının tespiti zorlaştırılır. Örneğin rootkite ait dosyaların ya da ilgili işlemlerin listelenmesi engellenir. Rootkitler sisteme arka kapı, keylogger gibi saldırı araçları kurulması için kullanılabilir. LRK5, Knark, Adore ve Hacker Defender rootkitlere örnektir.
Sahte Güvenlik Yazılımları:
Kurbanın bilgisayarındaki virüsler veya güvenlik açıklarıyla ilgili sahte veya yanlış yönlendirici uyarılar görüntüleyen ve bu sözde sorunları belirli bir ücret karşılığında gidermeyi teklif eden sahte güvenlik yazılımları, saldırganların kurbanlardan para kapmak için kullandıkları en yaygın yöntemlerden biri haline geldi.
Bir sahte güvenlik yazılımı ailesi olan Win32/FakeXPA, 2009'un 2. yarısında dünya genelinde saptanan en yaygın 3. tehditti. Diğer üç tehdit olan Win32/Yektel, Win32/Fakespypro ve Win32/Winwebsec sırasıyla 11., 14. ve 17. sıradaydı. Bu yüzden sadece güvenilir ve çok bilinen güvenlik yazılımlarını kendi sitelerinden indirerek kullanın. Aşağıda en yaygın sahte güvenlik yazılımı ailesi olan Win32/FakeXPA çeşitlerinden ikisini görüyorsunuz;
Karışık tehdit
Karışık tehdit, yukarıdaki açıklanan kötü amaçlı programların bazılarının veya tamamının bileşimidir. Karışık tehditler genellikle birinin virüsle etkileşim kurmasıyla (güvenilir olmayan e-posta ekini açmak gibi) başlar. Virüs, solucan davranışından yararlanarak otomatik olarak yayılır ve bulaştığı bilgisayara bir Truva atı yükler.
Expoit (Exploit etme)
Bütün bu yukarıda anlattıklarımın dışında güvenlik bültenlerinde sıkça görebileceğiniz Exploit diye geçen bir deyim vardır. Türkçe'ye "Açıklardan yararlanma" olarak çevrilebilecek Exploit'i yukarıdaki zararlılar gibi sınıflandırmak mümkün değildir çünkü Exploit bir eyleme verilen isimdir. Bu eylem, işletim sisteminin veya 3. parti programların açıklarından/hatalarından/eksikliklerinden yararlanarak sistemin yönetimi üzerinde söz sahibi olmak ve ardından ele geçirilen bilgisayarın hedeflenen amaç doğrultusunda kullanılması olarak tanımlanabilir. Açıklardan yararlanan kodlar genellikle Web sayfaları üzerinden dağıtılır; fakat saldırganlar e-posta ve anlık mesajlaşma (IM) hizmetleri gibi birçok farklı dağıtım yöntemini de kullanmaktadır. Exploit birkaç şekilde sınıflandırılır. En yaygın sınıflandırma, açığını kullanacakları yazılıma nasıl kontak kurdukları ile ilgilidir. Buna göre 2'ye ayrılırlar: İçeriden ve uzaktan.
İçeriden erişimde, bilgisayardaki yetkisiz bir kullanıcı aynı bilgisayar üzerinde kendisinden daha yetkili bir kullanıcı veya kullanıcıların yetkilerini kullanmayı hedefler. Tabii bu aynı etki alanındaki bilgisayarlar arasında da olabilir. Örneğin bir şirketteki herhangi bir sıradan kullanıcının bir exploit ile sistem yöneticisinin yetkilerini kullanması veya bir çocuğun ebeveynine ait yönetici haklarını Windows'un bir açığından yararlanarak birtakım kodlar ile ele geçirmesi buna örnektir.
Uzaktan erişimde ise zararlı kodlar internet üzerinden gelir ve amaç aynıdır.
Bir başka sınıflandırma kriteri exploitin ne amaçla kullanıldığıdır. Burada genelde 3 amaç vardır: Erişim iznine sahip olmadığı veriye ulaşmak, uazaktan kod yürütmek veya Denial-of-Service Attack (DoS atağı) yapmak.
Ayrıca hedef aldığı yazılmı göre de sınıflandırılabilirler. Windows exploiti, Office expoiti gibi...
Saldırganların tarayıcıları ve eklentileri nasıl sömüreceği hakkında kullanıcıların bilgi sahibi olması, kaçak karşıdan yükleme ve diğer tarayıcı tabanlı saldırıların neden olduğu riskleri daha iyi anlamasını sağlayacaktır.
Altta en yaygın tarayıcı tabanlı açıklardan yararlanan kodları % olarak görüyorsunuz;
Zararlı kod içeren sayfalar genellikle bir saldırganın açıklardan yararlanan kodları gönderdiği yasal Web sitelerinde barındırılır. Saldırganlar izinsiz erişim yoluyla veya bir blogdaki yorum alanları gibi güvenliği zayıf bir Web formuna kötü amaçlı kodlar göndererek yasal sitelere erişebilir. Çoğu zaman bu sitelerde kurban konumundadır.
Saldırganlar, açıklardan yararlanma için iletim şekli olarak gün geçtikçe daha fazla yaygın dosya biçimlerini kullanıyor (örneğin .doc, .pdf, .ppt ve .xls biçimleri). Ayrıştırıcı güvenlik açıkları, saldırganın kodun dosya biçimini işleme veya ayrıştırma yöntemindeki bir hatadan yararlanan özel olarak geliştirilmiş belgeler oluşturduğu bir güvenlik açığı türüdür. Bu biçimlerden birçoğu karmaşık niteliktedir ve performans için tasarlanmıştır, saldırgan programdaki bir güvenlik açığından faydalanan yanlış oluşturulmuş bir bölüme sahip dosyalar oluşturabilir.
Hiç yorum yok:
Yorum Gönder