Zararlı yazılımlar genel tanımıyla kötü amaçlı yazılmış programlar veya kod parçacıklarıdır.
Temelde kabul edilen başlıca zararlı yazılım türleri ise şunlardır:
Virüsler: Virüsler başka program veya dosyalarla birlikte bulaşan zararlı yazılımlardır. Virüslerin bulaşması ve devreye girebilmesi için kullanıcı etkileşimi gereklidir.
Solucanlar: Virüslerden farklı olarak solucanlar kendi kendine yayılır ve bir sisteme bulaşmak için başka bir programa veya kullanıcıya ihtiyaç duymazlar.
Truva atları: Bilinen veya güvenilen bir program gibi görünen zararlı yazılımlardır.
Rootkitler: Hedef bilgisayarda “root” (yönetici) yetkileriyle çalışan zararlı yazılımlardır.
RAT (Remote Administration Tools – Uzaktan Yönetim Araçları): Ağ ve sistem yöneticilerinin işlerini kolaylaştırmak için ortaya çıkan yazılımların kötü amaçlarla kullanılması.
Botnetler: Bulaştıkları sistemin işlemci veya internet bağlantısı gibi kaynaklarını kullanarak başka hedeflere saldırmak için kullanılan zararlı yazılımlar.
Keylogger: Klavye ve/veya mouse hareketlerinizi kaydedip bunları internette bir sunucuya gönderen zararlı yazılımlar.
Ransomware: Bulaştıkları sistem üzerindeki dosyaları şifreleyerek kullanılmaz hale getiren ve dosyaların şifresini çözmek için kurbandan para talep eden yazılımlardır.
Bitcoin Miner (kriptopara madencisi): Bulaştığı sistemin işlemci gücünü kullanarak kriptopara madenciliği yapan zararlı yazılımlar.
Bazı durumlarda zararlı yazılımları sınıflandırmak kolay olmayabilir. Örneğin Microsoft tarafından yayınlanan bir uzaktan yönetim aracı olan PSExec kullanarak yayılan bir fidye yazılım gibi. Bu durumda hem bir solucan, hem bir RAT hem de bir fidye yazılımla karşı karşıya kalıyoruz.
Zararlı yazılımları tespit etmek
Herhangi bir sistemde zararlı yazılım tespit etmek karmaşık bir süreç olsa da sistem üzerinde neler olup bittiğini bize hızlıca gösterebilecek iki araç var. Bunlar Microsoft tarafından yayınlanan Process Explorer ve Autoruns yazılımları.
Process Explorer Windows üzerinde hepimizin yakından tanıdığı Görev Yöneticisinin biraz daha gelişmiş versiyonu olarak düşünülebilir. Autoruns ise bilgisayar başlatıldığında çalışan processleri listeler.
Bu durumda Process Explorer bize “zararlı” veya “olmaması” gereken uygulamalara daha yakından bakma imkânı verirken Autoruns bilgisayar üzerinde kalıcı olmaya çalışan zararlı yazılımları yakalamamızı sağlayabilir. Bir zararlı yazılımın etkin olabilmesi için bulaştığı oturum sonlandıktan sonra tekrar devreye girebilmelidir. Aksi takdirde hedef bilgisayar kapanıp açıldıktan sonra çalışamayacaktır.
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns adresinden indirilebilecek Autoruns yetkili kullanıcı olarak çalıştırılmalıdır. Çalıştırdıktan sonra aşağıdaki ekranla karşılaşıyoruz.
Bazı satırların kırmızı olduğunu görebilirsiniz. Bunlar bizim incelemeye başlamak için kullanabileceğimiz ipuçları olabilir. Kırımızı satırlar yayıncısı bilinmeyen dosyalara (exe veya dll) işaret etmektedir. Bunların tamamının zararlı yazılım olduğunu söylemek doğru olmayacaktır. Uygulamayı geliştiren firma tembellik veya cimrilik yapıp uygulamasına bir sertifika almamış olabilir. Öte yandan bunların zararı yazılım olma ihtimali Microsoft tarafından yayınlandığı teyit edilebilen bir uygulamaya göre daha yüksektir. Zaman zaman, Stuxnet gibi, bilinen bir yayıncı sertifikasıyla imzalanmış zararlı yazılımlar görülüyor ancak bunların sayısı şimdilik oldukça düşüktür.
Bundan sonraki aşamada başlangıçta devreye giren uygulamalara bakarak “bunların çalışması normal mi?” sorusunu sormamız gerekiyor. Bu işlemi belirli aralıklarla gerçekleştirmek ve sonuçları kuruluşunuzun standart Windows imajıyla karşılaştırmak sisteme bulaşmış ve hayatta kalmaya çalışan zararlı yazılımların tespit edilmesini kolaylaştıracaktır.
Autoruns ile başlangıçta devreye giren yazılımlara baktıktan sonra sistem üzerinde çalışmaya devam eden uygulamalara bakmak için Process Explorer kullanılabilir. Process Explorer https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer adresinden indirilebilir.
Process Explorer ile çalışan processleri ve bunların toplam işlemci gücünün ne kadarını kullandığını görebiliriz.
Adını bilmediğiniz bir uygulamanın işlemci kaynaklarını önemli ölçüde tüketmesi kriptopara madenciliği yapan zararlı yazılımları tespit etmemizi sağlayabilir.
Sağda görülen “Company Name” sütunu ise dikkate almamız gereken bir diğer önemli bilgi. Yayıncı kuruluş adı olmayan uygulamaları yakından incelemek bunların arasında bulunabilecek bir zararlı yazılımı tespit etmemizi sağlayabilir.
Process Explorer üzerinde dikkatimizi çekebilecek herhangi bir uygulama için Virus Total sorgusu yapmamız mümkün. Sağ tıklayarak çıkan “Check Virus Total” seçeneğini kullanarak dosya için belli başlı antivirus yazılımları tarafından verilen sonuçları görebiliriz.
ZARARLI YAZILIMLARDAN NASIL KORUNULUR?
- Tüm yazılımlarnı güncel tutulması.
- Güçlü parolalar kullanılması ve gizliliğinin sağlanması.
- Güvenilir olmayan, özellikle halka açık kullanımı olan bilgisayarlarda kişisel parolalarınızın girilmemesi.
- Güvenlik duvarınızı geçici olarak bile olsa asla kapatmayın. Güvenlik duvarı, bilgisayarınız ile Internet arasına koruyucu bir engel koyar.
- Bilmediğiniz kişilerden gelen postaların ek’lerinin açılmaması.
Hiç yorum yok:
Yorum Gönder