YARA’daki Avcı — Siyah kuğuları tahmin etmek

Kaspersky, YARA hakkında kapsamlı bir kursla başlayan, çevrimiçi siber güvenlik uzmanı eğitim serisini sunar.

İnsanlık çok çok uzun zamandır 2020’ye benzer bir yıl yaşamadı. Çeşitli tür ve biçimlerdeki siyah kuğuların bu kadar yoğun olduğu bir yıl geçirdiğimi hiç hatırlamıyorum. Bunu söylerken tüylü olanlardan bahsetmiyorum. Nassim Nicholas Taleb‘in 2007’de Siyah Kuğu: Olasılıksız Görünenin Etkisi adlı kitabında anlattığı teorisindeki, geniş kapsamlı sonuçları olan beklenmedik olaylardan bahsediyorum. Teorinin ana ilkelerinden biri, geriye dönüp bakıldığında, meydana gelmiş olan şaşırtıcı olayların açık ve tahmin edilebilir görünmesidir; ancak ortaya çıkmadan önce kimse onları tahmin edemez.

Örnek: Mart’tan beri dünyayı karantinaya alan bu korkunç virüs. Görünüşe göre koronaviridae familyasından bir çok virüs var — birkaç düzine — ve yenileri bulunmaya devam ediyor. Kediler, köpekler, kuşlar ve yarasaların tümüne bulaşıyor. İnsanlara da bulaşıyor. Bazıları soğuk algınlığına neden oluyor. Diğerleri kendini farklı şekillerde gösteriyor. Bu nedenle, çiçek hastalığı, çocuk felci ve diğer ölümcül virüsler için olduğu gibi, bu virüsler için de aşı geliştirmemiz gerekiyor. Tabii ki bir aşıya sahip olmanın her zaman çok büyük bir yardımı olmaz. Mesela gribe bakalım — kaç yüzyıldır insanlara bağışıklık kazandıracak bir aşı hala bulunamadı mı? Her neyse, bir aşıyı geliştirmeye başlamak için bile ne aradığınızı bilmeniz gerekir ve bu artık bilimden çok sanata benziyor.

Size bunları neden anlatıyorum? Bunların konuyla ilgisi ne?… Ya siber güvenlik ya da egzotik bir seyahatle bağlantılı olmalı, değil mi ?! Bugün ilkinden bahsedeceğiz.

Şu anda var olan en tehlikeli siber tehditlerden biri, sıfır gün açıklarıdır — yazılımlardaki, Aman Tanrım! dedirtecek kadar büyük çaptaki korkunç ve zarar verebilen, nadir ve bilinmeyen (siber güvenlik uzmanları ve diğer kişiler tarafından) güvenlik açıklarıdır — ve bu açıklar açığa çıkana kadar (veya bazen sonrasına) genellikle fark edilemezler.

Ancak, siber güvenlik uzmanlarının belirsizlikle başa çıkma ve siyah kuğuları tahmin etme yöntemleri vardır. Bu yazıda tamamen bu işe yarayan bir araçtan bahsetmek istiyorum: YARA.

YARA kısaca, belirli koşulları karşılayan dosyaları tanımlayarak, metinsel veya ikili modellere dayalı kötü amaçlı yazılım familyalarının tanımlarını oluşturmak için kurallara dayalı bir yaklaşım sağlayıp kötü amaçlı yazılım araştırmasına ve tespitine yardımcı olur (Evet kulağa karmaşık geliyor. Daha sade bir anlatım için devamını okuyun.). Bu nedenle, kalıpları belirleyerek benzer kötü amaçlı yazılımları aramak için kullanılır. Amaç, bazı kötü amaçlı programların aynı kişilerce benzer amaçlarla yapılmış gibi göründüğünü ifade edebilmektir.

Tamam, şimdi diğer bir metafora dönelim: siyah kuğu gibi su bazlı olan başka bir metafora: Denize.

Diyelim ki internet ağınız binlerce balık türü ile dolu olan bir okyanus ve siz de balıkları yakalamak için geminizden devasa akıntı ağları atan, okyanustaki profesyonel balıkçılardan birisiniz — ancak yalnızca belirli balık türleri (belirli hacker grupları tarafından oluşturulmuş kötü amaçlı yazılım) ilginizi çekiyor. Öncelikle, akıntı ağı özel bir tür ağdır. Özel bölmeleri vardır ve her bölmeye yalnızca belirli türden balıklar (kötü amaçlı yazılım özellikleri taşıyanlar) yakalanır.

Vardiyanızın sonunda sahip olduğunuz şey, hepsi bölümlere ayrılmış, bazıları nispeten yeni, daha önce hiç görülmemiş balıklar (yeni kötü amaçlı yazılım örnekleri), hakkında neredeyse hiçbir şey bilmediğiniz çok sayıda balıktır. Ancak belirli bölümdeylerse — “[hacker group] X türüne benzeyen” veya “[hacker group] Y türüne benzeyen” balıklar var diyelim.

İşte balık/balıkçılık metaforunu açıklayan bir örnek. YARA uzmanımız ve GReAT‘in başkanı Costin Raiu, 2015 yılında Microsoft’un Silverlight yazılımında bir açık bulabilmek için tam anlamıyla bir siber-Sherlock’a dönüştü. Bu makaleyi kesinlikle okumalısınız, ancak özetlersek Raiu’nun yaptığı şey, pratikte bir YARA kuralını sıfırdan oluşturmak için hackerlar tarafından sızdırılan belirli e-posta yazışmalarını dikkatlice incelemekti, ancak bu bir açığı bulmasına ve böylece dünyayı devasa bir sorundan korumasına yardımcı oldu (Yazışma, Hacking Team adında bir İtalyan firmasına aitti — hackerlar, hackerları hackliyor!).

YARA kurallarına dönersek…

Yıllardır YARA kuralı oluşturma sanatını öğretiyoruz. YARA’nın ortaya çıkmasına yardımcı olduğu siber tehditler oldukça karmaşıktır, bu yüzden kursları her zaman yüz yüze — çevrimdışı şekilde — ve yalnızca en iyi siber güvenlik araştırmacılarından oluşan dar bir grup için düzenledik. Elbette Mart ayından bu yana karantina yüzünden çevrimdışı eğitim düzenlemek zorlaştı; ancak eğitim ihtiyacı neredeyse hiç bitmedi ve kurslarımıza olan ilgide de bir azalma olmadı.

Bu çok doğal: Siber kötüler, her zamankinden daha karmaşık saldırıları düşünmeye devam ediyor — karantinada daha da fazlasını. Dolayısıyla, karantina döneminde YARA konusundaki uzmanlığımızı kendimize saklamamız çok yanlış olurdu. Bu nedenle, (1) eğitim formatımızı çevrimdışından çevrimiçine çevirdik ve (2) herkes için erişilebilir hale getirdik. Tabii ki eğitim ücretsiz değil ancak bu seviyedeki (en yüksek seviyede) böyle bir kurs için fiyat, oldukça rekabetçi ve piyasa ortalamasında.

Tanıtım:

Başka ne var?

Ah evet.

Tabii ki, virüsten kaynaklanan sorunların tüm dünyayı etkilediğini göz önünde bulundurarak ön saflarda yer alanlara yardımcı olmaya devam edeceğiz. Bu korona olayı başladığında, ücretsiz lisanslar vererek sağlık kuruluşlarına yardımcı olmaya başladık. Şimdi buna ek olarak, çeşitli amaçlar için hak ve özgürlük mücadelesi veren veya siber uzayı daha iyi bir yer haline getirmeye odaklanan, kar amacı gütmeyen sivil toplum kuruluşlarına yardım ediyoruz (Tam liste burada yer alıyor). YARA eğitimimiz, onlara ücretsiz olacak.

Neden? Çünkü STK’lar, hedefli saldırılarda hackenme risk bulunan çok hassas bilgileri işliyorlar ve tüm STK’lar BT uzmanları içeren bir departman oluşturma lüksüne sahip değil.

Kursta nelerin olduğuna hızlıca bir göz atalım:

%100 çevrimiçi, öğrenme hızınıza göre düzenlenmiş bir eğitim. Kursu ister birkaç akşamda yoğun bir şekilde alarak, isterseniz bir aya yayarak tamamlayabilirsiniz.

Hem teori hem de uygulamalı görevlerden oluşan bir kombinasyondur. Eğitim içeriğinde kural yazma ve kötü amaçlı yazılım örneklerini arama konusuna odaklanan sanal bir laboratuvar mevcut.

Uygulamalı alıştırmalar, gerçek siber casusluk saldırıları örneklerine dayanıyor.

Hakkında net bir bilginizin olmadığı bir şeyi arama sanatı ile ilgili bir modül; sezgilerinizin size siber kötülüğün bir yerde pusuda olduğunu söylediği, ancak nerede veya hangi siber kötülüğün olduğunu bilmediğiniz durumlar için özel geliştirildi.

YARA ninjası olarak yeni statünüzü belgeleyen, kursu tamamlandığınıza dair bir sertifika. Önceki mezunların da söylediği gibi, bu sertifika kariyerlerine gerçekten çok yardımcı oluyor.

Size özetle, çok karmaşık siber tehditlerle savaşmak için daima elinizin altında olacak son derece yararlı bir başka potansiyel araç sunuyoruz. Bu arada, tehditlerle daha iyi şekilde mücadele etmeye devam etmek üzere, tüm bilgi birikimimizi ve pratik deneyimlerimizi daha da kapsamlı şekilde paylaşabileceğimiz siber dedektiflik çalışmalarımıza devam ettiğimiz K‘de işler her zamanki gibi yolunda!

İpuçları