Günümüz dünyasında antivirüs yazılımları, bireysel kullanıcılardan büyük kuruluşlara kadar bilgisayarlar ve sunucular da dâhil olmak üzere uç noktalar için güvenliğin çok önemli bir unsurudur. Antivirüs yazılımı, siber tehditlere karşı önemli bir savunma sağlar ancak bu yazılımlar yenilmez değildir. Siber suçluların antivirüsü atlamak ve kötü amaçlı yazılımlardan kaçınmak için kullandıkları çeşitli teknikler vardır.
Antivirüsler nasıl çalışır?
Antivirüs yazılımının amacı, bir dosyanın kötü amaçlı olup olmadığını belirlemektir ve kullanıcının deneyimini etkilememek için bunu hızlı bir şekilde yapması gerekir. Antivirüs çözümlerinin kötü amaçlı yazılımları aramak için kullandığı yaygın olarak bilinen iki yöntem, sezgisel ve imza tabanlı taramalardır:
- Sezgisel tabanlı tarama, yazılımın şüpheli bir şey yapıp yapmadığını belirlemek için algoritmalar ve şablonlar kullanarak bir dosyanın işlevini inceler
- İmza tabanlı tarama, bilinen kötü amaçlı yazılım örnekleriyle eşleşen dizeleri ve şablonları arayarak bir dosyanın biçimini inceler
Kötü amaçlı yazılım oluşturucular, antivirüs ile iki şekilde etkileşime girmeyi seçebilir: diskte ve bellekte. Diskteki etkileşime tipik bir örnek olarak, basit bir yürütülebilir dosya verilebilir. Antivirüs, diskteki bir dosyayı tarayıp çözümlemek için daha fazla zamana sahiptir. Belleğe yüklenirse antivirüsün etkileşim kurmak için daha az zamanı olur ve genelde kötü amaçlı yazılımların başarılı bir şekilde dosyayı yürütülme olasılığı daha yüksektir.
Antivirüsün sınırlamaları
Antivirüs yazılımı, sistemlerin güvende kalmasını sağlamak için önerilen bir yol olsa da en nihayetinde cihazları savunması aşılmaz hâle getirmez. Normal bir antivirüs programı, önceden tanımlanmış kötü amaçlı yazılımlardan oluşan bir kötü amaçlı yazılım imzaları veri tabanı kullanır. Yeni bir kötü amaçlı yazılım örneği keşfedildiğinde bunun için bir dijital imza oluşturulur ve veri tabanına eklenir. Bu, kötü amaçlı yazılımın sistemde yayılması ile antivirüs programlarının veri tabanlarını güncellemesi arasında savunmasız bir dönem olduğu anlamına gelir. Bu süre zarfında, kötü amaçlı yazılım zarar verme potansiyeline sahiptir. Bu nedenle antivirüs yazılımı, ek bir güvenlik katmanı sağlarken tehditleri tamamen hafifletmez.
Buna ek olarak, kötü amaçlı yazılım yazmak için kullanılabilecek işletim sisteminden bağımsız dillerin sayısı artar; bu da, tek bir kötü amaçlı yazılım programının daha geniş bir kitleyi etkileme potansiyeline sahip olduğu anlamına gelir. Siber tehditler daha karmaşık hâle geldikçe antivirüs programlarının buna ayak uydurmak için gelişmesi gerekir. Bilgisayar korsanları antivirüs programlarını atlamak için tekniklerini sürekli olarak geliştirdiğinden ve günümüzün güvenlik ortamı karmaşık olduğundan bu zorlu bir iştir.
Antivirüsten kaçınma teknikleri
Siber suçlular, hedeflerine ulaşmak için çeşitli kaçınma teknikleri geliştirdiler. Bunlara aşağıdakiler dâhildir:
Kod paketleme ve şifreleme
Solucanların ve Truva atlarının çoğu paketlenip şifrelenir. Bilgisayar korsanları, paketleme ve şifreleme için özel yardımcı programlar da tasarlar. CryptExe, Exeref, PolyCrypt ve diğer yardımcı programları
kullanılarak işlenen tüm internet dosyalarının kötü amaçlı olduğu tespit edilmiştir. Antivirüs programının paketlenmiş ve şifrelenmiş solucanları ve Truva atlarını algılamak için yeni paket açma ve şifre çözme yöntemleri eklemesi veya kötü amaçlı programın her bir örneği için yeni imzalar eklemesi gerekir.
Kod mutasyonu
Siber suçlular, Truva atı orijinal işlevini koruduğu hâlde kodun farklı bir görünüme bürünmesini sağlamak için bir Truva atı virüsünün kodunu istenmeyen posta talimatlarıyla karıştırarak kötü amaçlı yazılımlarını gizlemeye
çalışırlar. Truva atının virüs bulaşmış bir web sitesinden indirildiği durumların hepsinde veya hemen hemen hepsinde kod mutasyonu bazen gerçek zamanlı olarak gerçekleşir. Bu tekniği kullanan Warezov posta solucanı,
ciddi sorunlara neden olmuştur.
İz bırakmayan teknikler
Genellikle Truva atı virüsleri tarafından kullanılan Rootkit teknolojileri, virüs bulaşmış dosyanın işletim sistemine ve antivirüs programlarına
görünmemesi için sistem işlevlerini ele geçirerek bu işlevlerin yerine geçebilir. Hatta bazen Truva atının kaydedildiği kayıt defteri dalları ve diğer sistem dosyaları bile gizlenir.
Antivirüs programlarını ve antivirüs veri tabanı güncellemelerini engelleme
Birçok Truva atı ve ağ solucanı, mağdur bilgisayardaki etkin uygulamalar listesinde antivirüs programlarını arar. Ardından kötü amaçlı yazılım:
- Antivirüs yazılımını engellemeye çalışır
- Antivirüs veri tabanlarına zarar vermeye çalışır
- Antivirüs yazılımının güncelleme işlemlerinin düzgün şekilde çalışmasını engellemeye çalışır
Antivirüs programının, kötü amaçlı yazılımı yenmesi için veri tabanlarının bütünlüğünü kontrol ederek ve işlemlerini Truva atlarından gizleyerek kendini savunması gerekir.
Bir web sitesindeki kodu maskeleme
Antivirüs sağlayıcıları, Truva atı virüs dosyaları içeren web sitelerinin adreslerini hemen öğrenir. Böylelikle virüs analistleri, bu sitelerin içeriğini inceleyerek yeni kötü amaçlı yazılımı veri
tabanlarına ekleyebilir. Ancak bir web sayfası, antivirüs taramasıyla mücadele etmek amacıyla değiştirilebilir. Böylelikle bir antivirüs şirketi tarafından istek gönderildiğinde Truva atı yerine Truva atı olmayan bir dosya indirilir.
Miktar saldırıları
Bir miktar saldırısında, yeni Truva atı sürümleri internette büyük miktarlarda ve kısa bir süre içinde dağıtılır. Sonuç olarak antivirüs şirketlerine analiz için çok sayıda yeni örnek ulaştırılır. Siber suçlu, her
bir örneğin analiz edilmesi için harcanan sürenin kötü amaçlı koda kullanıcıların bilgisayarına sızma olanağı sağlayacağını umar.
Sıfır gün tehditleri
Antivirüs programınız düzenli olarak güncelleştirilir. Bu, genellikle sıfır gün tehdidine karşılık olarak yapılır. Bu, bir siber suçlunun bir yazılım veya donanım güvenlik açığından yararlandığı ve ardından bir antivirüs programı yama uygulamadan önce kötü amaçlı yazılım yayınladığı bir kötü amaçlı yazılımdan kaçınma tekniğidir.
Dosyasız kötü amaçlı yazılımlar
Bu, bir makinede kötü amaçlı yazılım çalıştırmanın daha yeni bir yöntemidir ve bu yöntemde hedeflenen makinede hiçbir şey depolanması gerekmez. Dosyasız kötü amaçlı yazılım, tamamen makinenin belleğinde çalışarak bu şekilde antivirüs tarayıcılarını atlatabilir. Virüs bulaşmış bir web sayfasını ziyaret etmek, kötü amaçlı yazılımı doğrudan iletmez. Bunun yerine, makineyi kötü amaçlı yazılımı bir bellek bölgesine indirmeye yönlendirmek için ilgili bir programda daha önceden bilinen bir güvenlik açığını kullanır ve işlem oradan yürütülür. Dosyasız kötü amaçlı yazılımları bu kadar tehlikeli yapan şey, kötü amaçlı yazılım işini yaptıktan veya makine sıfırlandıktan sonra belleğin silinmesi ve suçlunun bir kötü amaçlı yazılımın yüklediğine dair bir kanıt bulunmamasıdır.
Kimlik avı Kimlik avı, siber suçluların bilgi çalmak için kullandıkları en yaygın tekniklerden biridir. Kimlik avı saldırılarında saldırgan, güvenilir veya bilinen bir kaynakmış gibi davranarak kurbanlarını kandırır. Kullanıcılar kötü amaçlı bir bağlantıyı tıklarsa veya virüslü bir dosyayı indirirse saldırganlar, kullanıcıların ağlarına erişebilir ve ardından hassas bilgileri çalabilirler. Antivirüs yazılımı, yalnızca bilinen tehditleri algılayabilir ve yeni türlere karşı güvenilir bir şekilde etkili değildir.
Tarayıcı tabanlı saldırılar Antivirüs yazılımının, tarayıcı tabanlı saldırıların bunları atlamasına izin veren işletim sistemlerine erişimi yoktur. Bu saldırılar, kötü amaçlı komut dosyaları ve kodlar kullanarak cihazınıza sızar. Bu saldırıları önlemek için bazı tarayıcılar yerleşik savunma araçları içerir ancak etkili olması için tutarlı ve doğru bir şekilde kullanılmalıdır.
Yükü kodlamaKötü amaçlı yazılımların antivirüs tarayıcılarını atlattığı bir başka teknik de yükü kodlamaktır. Siber suçlular, genellikle bunu manuel olarak yapmak için çeşitli araçlar kullanırlar ve kötü amaçlı yazılım iletildiğinde ve etkinleştirildiğinde kodu çözülerek sisteme zarar verir. Bu, genellikle kodlanmış virüse ek olarak küçük bir başlık programı aracılığıyla yapılır. Antivirüs tarayıcıları bu programı bir tehdit olarak algılamaz ve kodlanmış virüs sadece veri olarak görülür. Bu nedenle başlık tetiklendiğinde (örneğin, mevcut bir yürütülebilir dosyaya yerleştirilerek) kötü amaçlı yazılımın kodunu bir bellek bölgesine dönüştürür ve ardından program sayacını bu bölgeye gönderip kötü amaçlı yazılımı çalıştırır.
Kötü amaçlı yazılımlardan kaçınma tekniklerine karşı nasıl korunabilirsiniz?
Antivirüs yazılımı kullanmak, genel siber güvenlik stratejinizin temel bir parçası olmalıdır ancak bu makalede anlatıldığı üzere, işletmeler siber koruma için yalnızca bu stratejiye güvenmemelidir. En ideal güvenliği sağlamak için siber güvenliğe çok katmanlı bir yaklaşıma yatırım yapmak en iyisidir. Siber suçluları ağınızdan uzak tutmak için kullanabileceğiniz bazı ek araçlar mevcuttur:
Cihaz şifreleme
Cihazları şifrelemek, hiç kimsenin doğru parola veya anahtar olmadan içerdikleri verilere erişememesini sağlar. Bir cihaz çalınsa veya cihaza kötü amaçlı yazılım bulaşmış olsa bile doğru şifreleme yetkisiz erişimi önleyebilir.
Çok faktörlü kimlik doğrulama
Çok faktörlü kimlik doğrulamada (MFA), kullanıcıların hesaplara erişmek için zamana duyarlı kod gibi birden fazla bilgi parçası girmeleri gerekir. Bu, sadece parolaya güvenmekten daha fazla güvenlik sağlar. Bu, özellikle cihazlarda veya hesaplarda hassas veya kişisel bilgileriniz varsa önemlidir.
Parola yöneticileri
Parolalar, hesapların ve ağların güvenliğini sağlamak için önemlidir ancak her hesaba özgü güçlü parolalar kullanmak çok önemlidir. Güçlü bir parola, en az 15 karakter (ideal olarak daha fazla karakter) içerip büyük ve küçük harfler, rakamlar ve simgelerden oluşmaktadır. Parola yöneticileri parolalarınızı takip etmenize yardımcı olabilir; bu araçlar, benzersiz parolalar için güvenli bir kasadır ve onları saldırganlardan korur.
Siber güvenlik farkındalığı eğitimi
Siber suçların artmasıyla birlikte işletmeler, çalışanlarına siber saldırılarla ilişkili riskleri ve meydana geldiklerinde bunlarla nasıl mücadele edeceklerini öğretmelidir. Kullanıcıları siber tehdit ortamı hakkında eğiterek kimlik avı e-postaları gibi şüpheli faaliyetleri tanımalarına yardımcı olabilirsiniz.
Uç nokta algılama ve müdahale
EDR çözümleri, ağın ve uç noktaların davranışını izleyerek bu kayıtları depolar. EDR teknolojileri, güvenlik personeline bir siber saldırının yapısını anlamak için ihtiyaç duyduğu verileri sağlayarak
otomatik uyarılar ve uç nokta düzeltmesi sağlayabilir.
Siber suçlular, genellikle tek başına bir antivirüsten kaçınma tekniği kullanmazlar. Aksine kötü amaçlı yazılım, başarı şansını en üst düzeye çıkarmak için farklı durumlarla başa çıkacak şekilde tasarlanmıştır. Neyse ki güvenlik topluluğu bu konuda dikkatlidir; her zaman antivirüsten ve kötü amaçlı yazılımlardan kaçınmadaki yeni tekniklerini öğrenmekte ve yeni önleme yolları geliştirmektedir.
İlgili makaleler:
- Uç nokta güvenliği nedir ve nasıl çalışır?
- Kötü amaçlı yazılım sistemlere nasıl sızar?
- Sosyal mühendislik
- Kötü amaçlı yazılım sınıflandırmaları
- Antivirüs çözümü seçme
İlgili ürünler: