Ana içeriğe atlayın
Technology

Öykünücü

Öykünücü (emulator), bir ikili dosyanın veya komut dosyasının kötü amaçlı davranışlarını algılamak için nesnenin talimatlarını güvenli bir sanal ortamda tek tek yürütür, yapay öğeleri toplar ve buluşsal analiz aracına gönderir.

Kod öykünme teknolojisi hakkında

Kötü amaçlı yazılım algılamasının kod öykünme yöntemi, bir dosyanın yürütülmesini sanal (taklit edilen) bir ortamda taklit ederek dosyanın davranışını tarar. Genel anlamda, bu yaklaşım korumalı alanda kötü amaçlı yazılım algılamasına benzerdir ancak öykünme ve tam özellikli korumalı alan, tasarım ve uygulama ayrıntıları bakımından birbirinden farklıdır. Gelin farkları inceleyelim.

Tam özellikli bir korumalı alan, öykünücünün aksine "ağır" bir yöntemdir. Ortamı tüm özellikleriyle taklit eder ve taranmış bir örneği bir sanal makinede gerçek işletim sistemi ve uygulamalar yüklenmiş olarak çalıştırır. Sonuç olarak bu yöntem, yüksek miktarda işlem gücü gerektirir ve ana bilgisayar sisteminde uyumluluğa ilişkin kısıtlamalar doğurabilir. Bu nedenle korumalı alanın en etkili olduğu alanlar, merkezileştirilmiş kurum içi ve bulut tabanlı çözümlerdir. Kullanıcı ana bilgisayarlarında ve diğer normal bilgisayarlarda kötü amaçlı yazılım algılaması için uygun değildir.

Öykünücü, yalnızca örneğin yürütülmesini taklit eder. Geçici olarak örneğin etkileşimde bulunduğu nesneler oluşturur: Kötü amaçlı yazılımın çalmak isteyeceği parolalar, belleği durdurmaya çalışacağı antivirüsler, sistem kayıt defteri vb. Bu nesneler, işletim sisteminin veya yazılımın gerçek parçaları değil, öykünücü tarafından oluşturulan taklitlerdir. Öykünücü, taklit edilen ortam üzerinde sahip olduğu kontrol sayesinde zamanı ileri alabilir, gelecekteki dosya davranışını görebilir ve kötü amaçlı yazılımın zaman gecikmesi yoluyla algılamayı atlatmasını engeller.

Öykünücü, bir korumalı alandan çok daha az kaynak kullanarak taranan bir dosyanın gerekli davranışsal özelliklerine karar verebilir ve kullanıcı ana bilgisayarları için uygundur. Genelde bilinmeyen dosyaların yürütülmesi, dosyalar bir öykünücü ile taranana kadar ertelenir. Öykünme yaklaşımı yeni bir yaklaşım olmasa da bazı öykünücüler oldukça gelişmiştir ve kötü amaçlı yazılım algılamasındaki payları azımsanmayacak derecede büyüktür. Günümüzde kullanılan öykünücüler, bulut tabanlı tanınırlık hizmetleriyle güçlendirilmekte ve makine öğrenimiyle çok daha etkili hale getirilmektedir.

Kaspersky Öykünücü

Çözümlerimiz, çok katmanlı koruma yaklaşımındaki bir savunma hattı olarak öykünücülerden faydalanır. Öykünücü, ikili dosyaları ve komut dosyalarını taklit eder. Komut dosyası tabanlı dosyasız saldırıların giderek yaygınlaşması nedeniyle komut dosyalarını taklit etmenin önemi artmaktadır.

Öykünme, kısıtlı bilgisayar kaynakları için optimize edilmiştir. Korumalı alana kıyasla her bir nesne için daha az RAM kullanır ve sisteme çok fazla yük bindirmeden eşzamanlı olarak birçok nesneyi tarayabilir. Donanım hızlandırması sayesinde öykünücü, taramayı yaklaşık 20 kat hızlandırmak için işlemciyi güvenli bir şekilde kullanır.

Çözümlerimiz, öykünme tabanlı taramayı, kullanıcı bir disk taraması talebinde bulunduğunda "talep üzerine" veya bir nesne, nesneye erişilmeden ya da nesne yürütülmeden önce otomatik olarak tarandığında "erişim üzerine" başlatır. Öykünme, bulutta işlem tanınırlığı için istekte bulunma gibi diğer algılama yöntemleriyle paralel olarak başlatılabilir.

Öykünücüler, Kaspersky'nin uç nokta çözümlerinde, ağ geçidi düzeyinde çözümlerinde (ör. proxy ve e-posta sunucuları) ve sanallaştırma ortamı korumasında kullanılır. Kaspersky altyapısında, güçlü öykünücüler nesne sınıflandırma sürecinin bir parçasıdır.

Öykünücü görevleri:

  • Tüm yürütülebilir dosyaların (PE) yürütülmesini taklit etme: Windows ortamındaki *.exe, *.dll, *.sys ve diğer dosyalar.
  • JavaScript, VBScript ve AutoIT komut dosyası türlerini, bağımsız komut dosyalarını (dosya olarak indirilen) işleme.
  • PDF'e ve MS Office dosyalarına gömülü olarak bir web bağlantısı aracılığıyla alınan (web sayfasında, e-postada, mesajda) komut dosyalarını tarama.

Güncellemeler

Öykünme teknolojisi, bir öykünme çekirdeği ve çekirdek tarafından sağlanan verileri analiz eden algılama kayıtlarıyla birlikte uygulanır. Kayıtlar Kaspersky'de oluşturulur ve güncellemeler saatlik olarak çözümler tarafından indirilir. Tek bir algılama kaydı, farklı ikili dosya içeriğine ancak benzer davranışlara sahip birçok farklı kötü amaçlı yazılım örneğini algılayabilir.

Kötü amaçlı yazılım algılaması iş akışı

  1. Öykünücü, bir güvenlik çözümünün başka bir bileşeninden bir nesneyi (yürütülebilir dosya veya komut dosyası) tarama isteği alır.
  2. Öykünücü, nesnenin giriş noktasından başlayarak nesnenin talimatlarını bir sanal ortamda güvenli bir şekilde tek tek yürütür. Talimatlardan biri ortamla (işletim sistemi, kayıt defteri, diğer dosyalar, web, bellek vb.) etkileşime geçerse öykünücü, bu nesnelerden gelen yanıtı taklit eder.
  3. Öykünücü, yapay öğeleri toplar ve bunları buluşsal analiz aracına gönderir. Analiz aracı, bu yapay öğeleri temel alarak aldığı kararı analizi isteyen bileşene gönderir.
  4. Öykünme, kötü amaçlı yazılımı algılamak için yeterli yapay öğe olduğunda veya zaman aşımına bağlı olarak durur.

Öykünücü tarafından toplanan yapay öğeler

Yürütülebilir dosyalar için (ikili dosyalar):

  • API çağrı günlüğü
  • Dosya sistemindeki, sistem kayıt defterindeki tüm değişiklikler
  • Bellek dökümleri

Komut dosyaları için:

  • Değişkenler ve dize işlemlerinin sonuçları
  • Gömülü işlevlerin ve ortam tarafından sağlanan işlevlerin çağrıları
  • Etkinlikler
  • Dosya sistemi ve alt öğe komut dosyalarındaki kesintiler

Atlatma önleme

Gelişmiş kötü amaçlı yazılım yazarları, kötü amaçlı yazılımlarını öykünmede algılanmayacak şekilde tasarlar. Çözümlerimizde kullandığımız öykünücü, bu yeni atlatma tekniklerini izler ve bunlara karşı hamleler uygular. Örnekler:

Atlatma tekniği A: Yürütmeden önce kötü amaçlı yazılımın paketten çıkarılması gerekir. Bu, çok fazla işlemci süresi alır ve öykünme zaman aşımı nedeniyle algılamayı atlatmak için genelde yeterlidir.

Atlatma tekniği A'ya karşı hamle: Öykünücü, paketlenmiş dosyaları tanır ve öykünme derinliğini buna göre ayarlar. Donanım hızlandırması, öykünücüye paketten çıkarmayı aşacak kadar güç sağlar.

Atlatma tekniği B: Zararlı yükünü yürütmeden önce kötü amaçlı yazılım, web kaynaklarına ve bulunduğu ortamın parametrelerine (ör. bilgisayar adı, disk boyutu) erişerek bu bilgilerin mevcut ve anlamlı olup olmadığını kontrol edebilir. Hiçbir anlamlı yanıt alamayan kötü amaçlı yazılım, yükünü çalıştırmaz ve algılamayı atlatır.

Atlatma tekniği B'ye karşı hamle: Taranan dosyanın istekleri üzerine öykünücü, ortam ve sistem kaynakları hakkındaki bilgileri taklit eder ve bunları mümkün olduğunca anlamlı göstermeye çalışır. Örneğin, kötü amaçlı yazılımın spesifik bilgisayar adlarından öykünme içerisinde çalıştığını anlamaması için bilgisayar adını rastgele oluşturur

İlgili Ürünler

İlgili Teknolojiler

SandBox

Kurum içinde, bulutta ve Kaspersky'nin kötü amaçlı yazılım analiz altyapısında çalışan korumalı alanlarımız, çeşitli atlatma karşıtı teknikler uygular ve algılama performansları Kaspersky Security Network'ten gelen tehdit istihbaratıyla desteklenir.

Davranış Tabanlı Koruma

ML tabanlı modellere sahip Tehdit Davranışı Motoru, daha önceden bilinmeyen kötü amaçlı şablonları, yürütmenin erken aşamalarında algılarken bellek koruma ve düzeltme motoru kullanıcı verilerinin ele geçirilmesini ve kaybolmasını önler.

Çok Katmanlı Güvenlik Yaklaşımı

Gerçek siber güvenlik, klasik AV kayıtlarından derin öğrenme modelleri içeren davranış tabanlı algılamaya kadar çok çeşitli koruma yöntemlerinin sinerjisine dayanmalıdır.

ARTICLE

A Modern Hypervisor as a Basis for a Sandbox


ARTICLE

“The evolution of technologies used to...

Bağımsız Değerlendirme Sonuçları