Ana içeriğe geç

Zararlı Yazılımlarda Dosyasız (Fileless Malware) Dönemi

0 yanıt15 görüntülenme
<h2>Zararlı Yazılımlarda Dosyasız (Fileless Malware) Dönemi</h2> <p>Geleneksel antivirüs programları diske inen .exe/.dll dosyalarını analiz eder. Fileless malware ise diske hiç dokunmaz — yalnızca RAM'de çalışır, meşru sistem araçlarını kötüye kullanır ve geleneksel güvenlik çözümlerini atlatır.</p> <h3>Fileless Malware Nasıl Çalışır?</h3> <p>Saldırgan, meşru bir süreç (PowerShell, WMI, mshta.exe) üzerinden zararlı kodu doğrudan belleğe yükler. Disk üzerinde iz bırakmaz.</p> <p><strong>Tipik saldırı zinciri:</strong></p> <ol> <li>Phishing e-postasındaki makro içeren Word belgesi açılır.</li> <li>Makro, PowerShell'i gizli modda çalıştırır.</li> <li>PowerShell, uzak sunucudan şifreli payload indirir ve doğrudan belleğe yükler.</li> <li>Payload, meşru bir süreç (explorer.exe) içine enjekte edilir.</li> <li>Kalıcılık için registry veya WMI subscription kullanılır.</li> </ol> <h3>Yaygın Teknikler</h3> <ul> <li><strong>PowerShell Empire / Cobalt Strike:</strong> Popüler C2 framework'leri, fileless payload'lar kullanır.</li> <li><strong>Process Hollowing:</strong> Meşru bir process başlatılır, içeriği zararlı kodla değiştirilir.</li> <li><strong>Reflective DLL Injection:</strong> DLL diske yazılmadan doğrudan belleğe yüklenir.</li> <li><strong>Living off the Land (LotL):</strong> PowerShell, WMI, certutil, regsvr32 gibi meşru araçlar kötüye kullanılır.</li> </ul> <h3>Tespit Yöntemleri</h3> <ul> <li><strong>EDR (Endpoint Detection and Response):</strong> Davranış tabanlı analiz, process injection ve anormal PowerShell aktivitesini tespit eder.</li> <li><strong>PowerShell Script Block Logging:</strong> Tüm PowerShell komutlarını loglar.</li> <li><strong>AMSI (Antimalware Scan Interface):</strong> Script'leri çalışmadan önce tarar.</li> <li><strong>Memory forensics:</strong> Volatility ile RAM analizi.</li> </ul> <h3>Savunma Stratejisi</h3> <ul> <li>PowerShell Constrained Language Mode etkinleştirin.</li> <li>Makroları varsayılan olarak devre dışı bırakın.</li> <li>Application whitelisting (AppLocker, WDAC) uygulayın.</li> <li>Privileged Access Workstation (PAW) kullanın.</li> </ul>