Kötü amaçlı yazılım, genellikle gizlice bir sisteme eklenen ve kurbanın verilerini, uygulamalarını veya işletim sisteminin (OS) gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atmayı amaçlayan programlara verilen genel addır. Bu yazılımlar, mağduru rahatsız etmek veya sistemine zarar vermek için tasarlanmıştır. Virüsler ve solucanlar gibi kötü amaçlı yazılımlar, genellikle zararlı işlevlerini kullanıcıların fark etmeyeceği şekilde gerçekleştirir.
1980'lerde, kötü amaçlı yazılımlar bazen bireyler ve kuruluşlar için sadece bir rahatsızlık kaynağıydı; ancak günümüzde, çoğu sistem için en önemli dış tehdit haline gelmiştir. Kötü amaçlı yazılımlar, büyük hasara ve aksamalara neden olabilir ve çoğu kuruluşta kapsamlı kurtarma çabalarını gerektirir. Özellikle casus yazılımlar, bir kullanıcının gizliliğini ihlal etmeye yönelik oldukları için kuruluşlar için büyük bir endişe kaynağı haline gelmiştir. Gizliliği ihlal eden kötü amaçlı yazılımlar uzun süredir var olsa da, 2003 ve 2004 yıllarında kişisel faaliyetleri izlemek ve mali dolandırıcılık yapmak için yaygın bir şekilde kullanılmaya başlamıştır.
Bu bölüm, virüsler, solucanlar, Truva atları ve kötü amaçlı mobil kod gibi çeşitli kötü amaçlı yazılım kategorilerine genel bir bakış sunmaktadır. Aynı zamanda, bu zararlı yazılımların karma saldırılar olarak bilinen kombinasyonları ve arka kapılar, rootkit'ler, tuş vuruşu kaydedicileri ile casus yazılım olarak kullanılan izleme çerezleri gibi saldırgan araçları içermektedir. Her kategori, kötü amaçlı yazılımın sistemlere nasıl bulaştığını, nasıl çalıştığını, amaçlarını ve sistemleri nasıl etkilediğini açıklamaktadır.
1.1 Virüsler
Bir virüs, kendini çoğaltmak amacıyla kendi kopyalarını üretmek ve bu kopyaları diğer dosyalara, programlara veya bilgisayarlara yaymak üzere tasarlanmış bir kötü amaçlı yazılımdır. Her virüs, bulaşma mekanizmasına sahiptir. Örneğin, virüsler kendilerini ana programlara veya veri dosyalarına (örneğin, bir kelime işlemci dosyasındaki kötü amaçlı makro kodu) ekleyebilirler.
Virüs yükü, virüsün amacını belirleyen kodu içerir ve zararsız bir işlevden (örneğin, can sıkıcı mesajlar veya kişisel görüşler belirtmek) son derece zararlı eylemlere (örneğin, kişisel bilgileri çalmak veya sistem dosyalarını silmek) kadar değişebilir. Birçok virüs ayrıca, yükün yürütülmesini tetikleyen bir koşula sahiptir. Bu tetikleyici genellikle kullanıcı etkileşimi gerektirir, örneğin bir dosya açmak, bir program çalıştırmak veya bir e-posta ekine tıklamak.
Virüsler genel olarak iki ana türe ayrılır: bir işletim sistemi tarafından yürütülen derlenmiş virüsler ve bir uygulama tarafından yürütülen yorumlanmış virüsler. Bu bölümde, virüslerin algılanmayı önlemek için kullandıkları çeşitli gizleme teknikleri ile her iki virüs türü ayrıntılı olarak ele alınmaktadır.
1.1.1 Derlenmiş Virüsler
Derlenmiş bir virüs, kaynak kodunun derleyici tarafından doğrudan işletim sistemi tarafından çalıştırılabilecek bir biçime dönüştürüldüğü virüs türüdür. Derlenmiş virüsler genellikle üç kategoriye ayrılır:
Dosya Bulaştırıcı Virüs: Bu tür virüs, kelime işlemciler, elektronik tablo programları ve bilgisayar oyunları gibi yürütülebilir programlara kendini ekler. Virüs bir programa bulaştığında, sistemdeki diğer programlara ve paylaşılan virüslü programları kullanan diğer sistemlere yayılır. Jerusalem ve Cascade, en bilinen dosya bulaştırıcı virüslerdendir.
Önyükleme Sektörü Virüsü: Bu virüs, sabit sürücünün ana önyükleme kaydına (MBR), önyükleme sektörüne ya da disket gibi çıkarılabilir ortamlara bulaşır. Önyükleme sektörü, işletim sistemini başlatmak için kullanılan programların bulunduğu bir alandır. Sabit sürücünün MBR'si, bilgisayarın BIOS'unun önyükleme programını bulabileceği ve çalıştırabileceği bir noktada yer alır. Önyükleme sektörü virüsleri, virüslü diskler veya çıkarılabilir ortamlar üzerinden bulaşabilir ve bilgisayarı işlevsiz hale getirebilir. Örnek olarak Form, Michelangelo ve Stoned virüsleri verilebilir.
Çok Parçalı Virüs: Bu virüs türü, hem dosyalara hem de önyükleme sektörlerine bulaşabilen çoklu enfeksiyon yöntemleri kullanır. Bu nedenle, dosya bulaştırıcı ve önyükleme sektörü virüslerinin özelliklerini birleştirir. Çok parçalı virüs örnekleri arasında Flip ve Invader bulunmaktadır.
Derlenmiş virüsler sadece dosyalara bulaşmakla kalmaz, aynı zamanda virüslü sistemlerin belleğinde kalabilirler. Bu, her yeni program çalıştırıldığında virüsün o programa bulaşmasına yol açar. Bellekte yerleşik virüsler, sistemde uzun süre kalabilir ve böylece daha fazla dosyaya bulaşma ve sistem işlemlerine müdahale etme olasılığı daha yüksektir. Önyükleme sektörü virüsleri, bellekte yerleşik olma olasılığı en yüksek olan virüslerdir.
1.1.2 Yorumlanan Virüsler
Derlenmiş virüslerin aksine, yorumlanan virüsler bir işletim sistemi tarafından doğrudan yürütülemez; yalnızca belirli bir uygulama veya hizmet tarafından çalıştırılabilir. Yorumlanan virüsler, yazılması ve değiştirilmesi diğer virüslere kıyasla çok daha kolay olduğundan yaygın hale gelmiştir. Nispeten az teknik bilgiye sahip bir saldırgan bile yorumlanmış bir virüsü alabilir, kaynak kodunu değiştirip başkalarına dağıtabilir. Tek bir yorumlanmış virüsün genellikle birçok varyantı vardır ve çoğu, orijinalinden sadece küçük değişiklikler içerir. Yorumlanan virüsler iki ana türe ayrılır: makro virüsleri ve komut dosyası virüsleri.
Makro virüsleri, en yaygın ve en etkili virüs türüdür. Bu virüsler, kelime işlem dosyaları ve elektronik tablolar gibi belge türlerine eklenir ve çalışmak için uygulamanın makro programlama dilini kullanır. Makro virüsleri, Microsoft Office gibi popüler yazılım paketlerinin karmaşık veya tekrarlayan işlemleri otomatikleştirmek için kullandığı makro programlama özelliklerini hedef alır. Kullanıcıların makro özellikleri olan belgeleri sık sık paylaşması, bu virüslerin hızla yayılmasına neden olur. Ayrıca, bir makro virüs bulaştığında, virüs programın dosyaları oluşturmak ve açmak için kullandığı şablona da bulaşır. Şablona bulaşan bir virüs, o şablonla oluşturulan ya da açılan her belgeye bulaşır. Concept, Marker ve Melissa virüsleri, makro virüslerin bilinen örneklerindendir.
Komut dosyası virüsleri, makro virüslerine çok benzer. Aralarındaki temel fark, makro virüslerinin kelime işlemci gibi belirli bir uygulama tarafından kullanılan bir dilde yazılması, komut dosyası virüslerinin ise işletim sistemi tarafından çalıştırılan bir hizmetin anladığı bir dilde yazılmasıdır. Örneğin, Microsoft Windows'taki Windows Komut Dosyası Ana Bilgisayarı, VBScript'te yazılmış komut dosyalarını çalıştırabilir. İyi bilinen komut dosyası virüslerinden bazıları Ilk ve Love Letter virüsleridir.
1.1.3 Virüs Gizleme Teknikleri
Birçok virüs, tespit edilmesini zorlaştırmak amacıyla çeşitli şaşırtma teknikleri kullanılarak oluşturulur. Virüsün tespit edilmesi zorlaştıkça, yayılma olasılığı artar. Aşağıda yaygın olarak kullanılan bazı gizleme teknikleri bulunmaktadır:
Kendi Kendine Şifreleme ve Şifre Çözme: Bazı virüsler, virüs kodlarını şifreleyip daha sonra bu şifreyi çözerek doğrudan analiz edilmelerini zorlaştırır. Şifreleme kullanan bu virüsler, her bir örneğin farklı görünmesini sağlamak için birden fazla şifreleme katmanı veya rastgele şifreleme anahtarı kullanabilir.
Polimorfizm: Polimorfizm, kendi kendine şifrelemenin daha karmaşık bir şeklidir. Polimorfik bir virüs, şifreleme ayarlarında değişiklik yaparak ve şifre çözme kodunu değiştirerek her seferinde farklı bir şekilde görünür. Bu virüslerde temel kod gövdesi değişmez; yalnızca şifreleme, görünüşünü farklılaştırır.
Metamorfizm: Metamorfik virüsler, şifreleme yerine kendi içeriklerini değiştirir. Virüs, kaynak koduna gereksiz kod dizileri ekleyebilir veya kodun sırasını değiştirebilir. Bu şekilde değiştirilen kod, yeniden derlenir ve orijinalinden farklı bir virüs dosyası oluşturur.
Gizlilik: Gizli virüsler, enfeksiyon belirtilerini gizlemek için çeşitli teknikler kullanır. Örneğin, birçok gizli virüs, işletim sistemi dosya listelerine müdahale ederek rapor edilen dosya boyutlarının, virüsün eklediği boyutu yansıtmamasını sağlar.
Zırhlama: Zırhlama tekniğinin amacı, virüsün analiz edilmesini zorlaştırmaktır. Bu, virüsün sökülmesi, izlenmesi veya işlevlerinin analiz edilmesine engel olacak şekilde kodlanmasıdır.
Tünel Açma: Tünel açma tekniği, virüsün işletim sisteminin düşük seviyeli bileşenlerine yerleşmesini ve düşük seviyeli sistem çağrılarına müdahale etmesini içerir. Virüs, antivirüs yazılımının altında çalışarak işletim sistemini manipüle eder ve tespit edilmekten kaçınır.
Virüsten koruma yazılımı geliştiricileri, ürünlerini bu şaşırtma tekniklerini etkisiz hale getirecek şekilde tasarlamaya çalışır. Kendi kendine şifreleme, polimorfizm ve gizlilik gibi daha eski teknikler, genellikle antivirüs yazılımları tarafından etkili bir şekilde tespit edilir. Ancak metamorfizm gibi daha yeni ve karmaşık teknikler, tespit edilmesi daha zor olan tehditler oluşturmaya devam etmektedir.
1.2 Solucanlar
Solucanlar, tamamen kendi kendine yeten ve kendi kendini kopyalayabilen zararlı yazılımlardır; yani bir kurbanı enfekte etmek için ana bilgisayar programına ihtiyaç duymazlar. Solucanlar, kendi kendine çoğalma yeteneğine sahip olup, kullanıcı müdahalesi olmadan kendilerini çalıştırabilirler. Bu özellikleri, solucanları saldırganlar arasında popüler hale getirir çünkü bir solucan, virüslerden çok daha hızlı ve geniş çapta yayılabilir.
Solucanlar, güvenli olmayan ağ yapılandırmaları ve bilinen güvenlik açıklarını kullanarak yayılırlar. Bazı solucanlar sadece sistem kaynaklarını tüketmeyi amaçlasa da, çoğu zarar verici faaliyetlerde bulunur. Bunlar arasında arka kapılar oluşturmak, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek veya başka kötü niyetli işlemler yapmak yer alır. Solucanların iki ana kategorisi vardır: ağ hizmeti solucanları ve toplu posta solucanları.
Ağ Hizmeti Solucanları: Bu tür solucanlar, bir işletim sistemi ya da uygulamanın ağ hizmetinde bulunan bir güvenlik açığından yararlanarak yayılırlar. Bir sisteme bulaştıklarında, aynı hizmeti çalıştıran diğer sistemleri tarar ve onlara bulaşmaya çalışırlar. İnsan müdahalesi olmadan yayıldıkları için genellikle hızlı yayılırlar ve ağ trafiğini yoğunlaştırarak ağları, güvenlik sistemlerini ve virüslü sistemleri zorlayabilirler. Ağ hizmeti solucanlarına örnek olarak Sasser ve Witty verilebilir.
Toplu Posta Solucanları: Bu solucanlar, e-posta yoluyla yayılan virüslere benzer, ancak mevcut dosyalara bulaşmak yerine kendi başlarına çalışırlar. Bir toplu posta solucanı bir sisteme bulaştıktan sonra, genellikle sistemde e-posta adreslerini bulur ve kendisini bu adreslere gönderir. Bu solucanlar, kendi yerleşik posta sistemlerini kullanarak veya e-posta istemcisini kullanarak yayılabilirler. Büyük hacimli e-posta trafiği oluşturarak sunucularda ve ağlarda performans sorunlarına yol açabilirler. Toplu posta solucanlarına örnek olarak Beagle, Mydoom ve Netsky verilebilir.
1.3 Truva Atları
Adını Yunan mitolojisindeki Truva atından alan Truva atları, zararsız gibi görünen ancak gizli kötü amaçları olan, kendi kendini kopyalamayan kötü amaçlı programlardır. Truva atlarının temel amacı, kullanıcıları kandırarak sisteme giriş yapmalarını sağlamak ve sistemde çeşitli kötü niyetli faaliyetlerde bulunmaktır. Bazı Truva atları, mevcut sistem dosyalarını veya uygulamaları kötü amaçlı sürümlerle değiştirirken, diğerleri sistemde yeni zararlı uygulamalar ekler.
Truva atları genellikle üç farklı şekilde işlev gösterir:
Orijinal Programı Bozmadan Kötü Amaçlı Faaliyetler Gerçekleştirme: Bu modelde Truva atı, asıl programın işlevini yerine getirirken arka planda başka kötü amaçlı etkinliklerde bulunur. Örneğin, bir oyun uygulaması gibi görünen Truva atı, aynı zamanda kullanıcıların şifrelerini çalmayı hedefleyebilir.
Programın İşlevini Değiştirerek Kötü Amaçlı Faaliyetler Gerçekleştirme: Truva atı, orijinal programın işlevini bozmaz, ancak onu kötü amaçlı bir şekilde değiştirebilir. Örneğin, bir oturum açma ekranının Truva atı sürümü, kullanıcının giriş bilgilerini toplarken asıl işlevini yerine getiriyor gibi görünür. Yine, kötü niyetli işlemleri gizlemek için bir listeleme programının değiştirilmiş sürümü bu modele örnektir.
Tamamen Kötü Amaçlı İşlevler İçin Tasarlanmış Programlar: Bu modelde Truva atı, orijinal program işlevini tamamen değiştirir ve kötü niyetli bir işlev gerçekleştirir. Örneğin, bir oyun gibi görünen, ancak çalıştırıldığında sistem dosyalarını silen bir Truva atı bu kategoriye girer.
Tespit Edilmeleri Zor: Truva atları, sistemlerdeki varlıklarını gizlemek için özellikle tasarlanmış olup, genellikle orijinal programın işlevlerini düzgün bir şekilde yerine getirirler. Bu nedenle, kullanıcılar ve sistem yöneticileri çoğu zaman Truva atlarını fark edemez. Ayrıca, birçok yeni Truva atı, virüslerin tespiti önlemek için kullandığı kendi kendine şifreleme, polimorfizm ve gizlilik gibi şaşırtma tekniklerini de kullanmaktadır.
Casus Yazılım ve Truva Atları: Casus yazılım yaymak amacıyla Truva atlarının kullanımı giderek daha yaygın hale gelmiştir. Özellikle eşler arası dosya paylaşım programları ile birlikte gelen Truva atları, kullanıcının yüklediği bu yazılımlar aracılığıyla gizlice casus yazılım yükleyebilir. Truva atları ayrıca virüslü sistemlere yetkisiz erişim sağlayabilen arka kapılar kurabilir veya başka kötü amaçlı yazılımlar indirebilir.
Zararları: Truva atları, sistemlerin işlevselliğini ciddi şekilde bozabilir. Yasal sistem dosyalarının yerini aldıklarında, belirli işlevlerin bozulmasına veya tamamen kaybolmasına yol açabilirler. Özellikle casus yazılım ile ilişkili Truva atları, sistemde birçok değişiklik yaparak büyük performans sorunlarına ve işlevsel aksaklıklara neden olabilir. Örneğin, bazı Truva atlarının kaldırılması sistemde kalıcı hasarlara neden olabilir ve bu da sistemin işlevselliğini kaybetmesine yol açabilir. Bazı ünlü Truva atlarına örnek olarak SubSeven, Back Orifice ve Optix Pro verilebilir.
1.4 Kötü Amaçlı Mobil Kod
Mobil kod, genellikle kullanıcının bilgisi veya onayı olmadan yerel bir sistemde çalıştırılmak üzere uzak bir sistemden iletilen yazılımdır. Bu tür kodlar, web tarayıcıları ve e-posta istemcileri gibi birçok işletim sistemi ve uygulama tarafından kullanılabilir ve yazılım geliştirmede popüler bir yöntem haline gelmiştir.
Kötü Amaçlı Mobil Kodun Özellikleri: Kötü amaçlı mobil kodlar, virüsler ve solucanlardan farklı bir yapıya sahiptir. Virüslerin dosyalara bulaşma ve kendini çoğaltma özelliklerinin aksine, kötü amaçlı mobil kodlar dosyalara bulaşmaz ve kendilerini yaymaya çalışmazlar. Bunun yerine, sistemlerdeki güvenlik açıklarından faydalanmak yerine, mobil kodun varsayılan olarak sahip olduğu ayrıcalıklardan yararlanarak kötü amaçlı faaliyetler gerçekleştirirler.
Kötü Amaçlı Mobil Kodun Kullanım Alanları: Mobil kod genellikle zararsızdır; ancak saldırganlar, mobil kodun virüsler, solucanlar ve Truva atları gibi zararlı yazılımları yaymak için kullanılabilecek etkili bir araç olduğunu keşfetmişlerdir. Kötü niyetli mobil kod, özellikle Java, ActiveX, JavaScript ve VBScript gibi dillerde yazılabilir ve bu kodlar, sistemlerde yetkisiz işlemler gerçekleştirebilir.
Örnek: Nimda Kötü amaçlı mobil kodun en bilinen örneklerinden biri, JavaScript kullanılarak oluşturulan Nimda’dır. Nimda, 2001 yılında yayılan bir solucan olarak, hem web tarayıcılarını hem de e-posta sistemlerini etkileyerek hızla yayıldı ve sistemlere ciddi zararlar verdi. Nimda hakkında daha fazla bilgi için Bölüm 2.5'te ek bilgiler bulunmaktadır.
1.5 Karışık Saldırılar
Karışık saldırı, birden fazla bulaşma veya iletim yöntemi kullanan kötü amaçlı yazılımların genel adıdır. Bu saldırılar, yayılma ve sistemlere zarar verme konusunda daha karmaşık ve etkili olabilirler. Nimda solucanı, karışık saldırıların en bilinen örneklerinden biridir. Nimda, dört farklı dağıtım yöntemini aynı anda kullanarak yayılmıştır:
E-posta: Kullanıcılar, Nimda tarafından virüs bulaştırılmış bir e-posta ekini açtığında, HTML tabanlı e-postayı görüntülemek için kullanılan web tarayıcısındaki bir güvenlik açığından yararlanarak virüs sisteme bulaşmıştır. Nimda, bulaştığı sistemdeki e-posta adreslerini tarayarak bu adreslere kendi kopyalarını göndermiştir.
Windows Paylaşımları: Nimda, güvenli olmayan Windows dosya paylaşımlarını tarayarak bu ana bilgisayarlardaki dosyalara bulaşmak için NetBIOS'u kullanmıştır. Bulaşan bir dosyanın çalıştırılması, virüsün aktif hale gelmesine neden olmuştur.
Web Sunucuları: Nimda, Microsoft Internet Information Services (IIS) üzerindeki bilinen güvenlik açıklarını tarayarak bu açıkları kullanarak sunuculara kendini yaymış ve dosyalarına bulaşmıştır.
Web İstemcileri: Virüslü bir web sunucusuna erişen güvenlik açığı bulunan web istemcilerine Nimda virüsü bulaşmıştır.
Ek Yayılma Yöntemleri: Karışık saldırılar, ayrıca anlık mesajlaşma ve eşler arası dosya paylaşım hizmetleri gibi kanallarla da yayılabilirler. Nimda gibi karışık saldırılar genellikle yanlış bir şekilde yalnızca bir solucan olarak sınıflandırılır, ancak aslında virüs, solucan ve kötü amaçlı mobil kod özelliklerini bir arada taşırlar. Bir diğer karışık saldırı örneği, hem toplu posta solucanı hem de ağ hizmeti solucanı gibi davranan Bugbear'dır.
Sıralı Bulaşma: Karışık saldırılar aynı anda birden fazla bulaşma yöntemi kullanmak zorunda değildir; bazen sırayla bulaşabilirler. Örneğin, bir virüs veya solucan bir sisteme bulaştıktan sonra, sisteme bir Truva atı yükleyebilir. Truva atı, daha sonra casus yazılım yüklemek veya başka zararlı eylemler gerçekleştirmek için kullanılabilir.
1.6 Tanımlama Bilgilerini İzleme
Tanımlama bilgisi, belirli bir web sitesinin kullanımı hakkında bilgi tutan küçük bir veri dosyasıdır. İki ana tür tanımlama bilgisi bulunmaktadır:
Oturum Tanımlama Bilgileri: Sadece tek bir web sitesi oturumu için geçerli olan geçici tanımlama bilgileri. Oturum sona erdiğinde otomatik olarak silinir.
Kalıcı Tanımlama Bilgileri: Kullanıcının bilgisayarında süresiz olarak saklanan tanımlama bilgileri. Kalıcı tanımlama bilgileri, bir web sitesinin kullanıcı tercihlerinin kaydedilmesi amacıyla kullanılır; böylece site, kullanıcının gelecekteki ziyaretlerini otomatik olarak özelleştirebilir. Bu tür tanımlama bilgileri, web sitelerinin kullanıcılarına daha etkin bir şekilde hizmet vermesine yardımcı olur.
Ancak kalıcı tanımlama bilgileri, kullanıcının bilgisi veya onayı olmadan şüpheli amaçlarla kullanılarak casus yazılım olarak kötüye de kullanılabilir. Örneğin, bir pazarlama firması, birçok web sitesine reklamlar yerleştirerek, kullanıcının tüm bu web sitelerindeki etkinliğini izlemek için tek bir tanımlama bilgisi kullanabilir. Bu tür tanımlama bilgileri "izleme çerezleri" olarak adlandırılır. İzleme çerezleri tarafından toplanan bilgiler genellikle üçüncü taraflara satılır ve kullanıcıya yönelik reklamlar ile diğer yönlendirilmiş içerikleri hedeflemek için kullanılır. Bu nedenle, casus yazılım algılama ve kaldırma araçlarının çoğu, sistemlerde izleme tanımlama bilgilerini tespit etmeye yönelik işlevler içerir.
Web Hataları: Kullanıcının özel bilgilerini yakalamanın bir diğer yolu ise web hatalarıdır. Web hatası, bir web sayfasının veya e-postanın HTML içeriğinde bulunan, sadece bilgi toplamak amacıyla kullanılan küçük grafiklerdir. Genellikle yalnızca 1 piksel boyutunda olduğu için kullanıcılar tarafından görülmez. İzleme çerezleri gibi, web hataları da pazarlama firmaları tarafından sıkça kullanılır. Kullanıcının İnternet Protokolü (IP) adresi, web tarayıcı türü gibi bilgileri toplayabilir ve ayrıca bir izleme tanımlama bilgisine erişebilir. Bu eylemler, bireysel kullanıcıların kişisel profillerinin oluşturulmasına olanak tanır.
1.7 Saldırgan Araçları
Kötü amaçlı yazılım bulaşmasının veya başka bir sistem güvenliğinin ihlal edilmesinin bir parçası olarak, bir sisteme çeşitli türde saldırgan araçları teslim edilebilir. Bu araçlar, kötü amaçlı yazılım biçimidir ve saldırganların virüslü sistemlere ve bu sistemlerin verilerine yetkisiz erişim sağlamasına, kullanmasına veya ek saldırılar başlatmasına olanak tanır. Saldırgan araçları, başka kötü amaçlı yazılımlar tarafından aktarıldığında, bu kötü amaçlı yazılımın bir parçası olarak (örneğin, bir Truva atı içinde) ya da bir bulaşma meydana geldikten sonra teslim edilebilir.
Örneğin, bir solucan bulaşmış bir sistem, solucan tarafından belirli bir kötü amaçlı web sitesiyle bağlantı kurmaya, bu siteden araçlar indirmeye ve bunları sisteme yüklemeye yönlendirilebilir. 1.7.1'den 1.7.6'ya kadar olan bölümler, birkaç popüler saldırgan aracı türünü açıklamaktadır.
1.7.1 Arka Kapılar
Arka kapı, belirli bir İletim Kontrol Protokolü (TCP) veya Kullanıcı Veri Birimi Protokolü (UDP) bağlantı noktasındaki komutları dinleyen kötü amaçlı bir program için genel bir terimdir. Çoğu arka kapı, bir istemci bileşeni ve bir sunucu bileşeninden oluşur. İstemci, saldırganın uzaktaki bilgisayarında bulunurken, sunucu, virüslü sistemde yer alır.
İstemci ve sunucu arasında bir bağlantı kurulduğunda, uzaktaki saldırgan, virüslü bilgisayar üzerinde belirli bir düzeyde kontrol sahibi olur. Çoğu arka kapı, bir saldırgana sistemde dosya aktarma, parola alma veya rastgele komutlar yürütme gibi belirli eylemleri gerçekleştirme imkanı sunar. Arka kapılar ayrıca aşağıdaki özel yeteneklere de sahip olabilir:
Zombiler: Bazen bot olarak adlandırılan zombiler, bir sisteme yüklenen ve diğer sistemlere saldırmasına neden olan programlardır. En yaygın zombi türü, bir dağıtılmış hizmet reddi (DDoS) aracısıdır; bir saldırgan, bir hedefe karşı koordineli bir saldırı gerçekleştirmek için birçok araca aynı anda uzak komutlar verebilir. İyi bilinen DDoS ajanları arasında Trinoo ve Tribe Flood Network bulunmaktadır.
Uzaktan Yönetim Araçları (RAT): Adından da anlaşılacağı gibi, bir sisteme yüklenen bir uzaktan yönetim aracı, uzaktaki bir saldırgana gerektiğinde sisteme erişim sağlar. Çoğu RAT, sistemin işlevlerine ve verilerine tam erişim sunar. Bu, sistem ekranında görünen her şeyi izleme veya web kameraları, mikrofonlar ve hoparlörler gibi sistem aygıtları üzerinde uzaktan kontrol imkanı sağlamayı içerebilir. İyi bilinen RAT'ler arasında SubSeven, Back Orifice ve NetBus yer alır.
1.7.2 Tuş Kaydedicileri
Tuş kaydedici, klavye kullanımını izleyen ve kaydeden bir araçtır. Tuş kaydediciler, e-postaların içeriğini, yerel veya uzak sistemler ve uygulamalar için kullanıcı adlarını, parolaları ve finansal bilgileri (örneğin, kredi kartı numarası, sosyal güvenlik numarası, kişisel kimlik numarası) içerebilecek bilgileri kaydedebilir. Bazı tuş kaydedicileri, saldırganın verileri sistemden almasını gerektirirken, diğerleri verileri aktif olarak e-posta, dosya aktarımı veya başka yollarla başka bir sisteme aktarır. Tuş kaydedicilere örnek olarak KeySnatch, Spyster ve KeyLogger Pro verilebilir.
1.7.3 Kök Setleri
Rootkit, sistemin standart işlevselliğini kötü niyetli ve gizli bir şekilde değiştirmek için bir sisteme yüklenen bir dosya koleksiyonudur. Unix ve Linux gibi bazı işletim sistemlerinde rootkit'ler, düzinelerce veya yüzlerce dosyayı (sistem ikili dosyaları dahil) değiştirir veya değiştirir. Windows gibi diğer işletim sistemlerinde ise rootkit'ler dosyaları değiştirebilir veya yalnızca bellekte kalabilir ve işletim sisteminin yerleşik sistem çağrılarının kullanımını değiştirebilir.
Bir rootkit tarafından yapılan birçok değişiklik, rootkit'in varlığının ve sistemde yaptığı değişikliklerin kanıtlarını gizler, bu da bir sistemde bir rootkit'in mevcut olup olmadığını belirlemeyi ve rootkit'in neyi değiştirdiğini tespit etmeyi zorlaştırır. Örneğin, bir kök kullanıcı takımı, kendi dosyalarıyla ilgili dizini ve işlem listeleme girişlerini bastırabilir. Rootkit'ler genellikle bir sisteme arka kapılar ve tuş kaydedicileri gibi başka tür saldırgan araçları yüklemek için kullanılır. Rootkit örnekleri arasında LRK5, Knark, Adore ve Hacker Defender bulunmaktadır.
1.7.4 Web Tarayıcı Eklentileri
Web tarayıcısı eklentisi, belirli içerik türlerinin bir web tarayıcısı aracılığıyla görüntülenmesi veya yürütülmesi için bir yol sağlar. Saldırganlar bazen casus yazılım görevi gören kötü amaçlı eklentiler oluşturur. Bu eklentiler, bir tarayıcıya yüklendiğinde, kullanıcının hangi web sitelerini ve sayfaları ziyaret ettiğini izleyebilir ve bu bilgiyi harici bir tarafa bildirebilir. Eklentiler, bir web tarayıcısı başlatıldığında otomatik olarak yüklendiğinden, sistemdeki web etkinliğini izlemenin kolay bir yolunu sunar. Bazı kötü amaçlı web tarayıcı eklentileri, kullanıcının izni veya bilgisi olmadan telefon numaralarını çevirmek için modem hatlarını kullanan casus yazılım çeviricilerdir. Bu tür numara çevireciler genellikle, dakika başına ücretleri yüksek olan numaraları arayacak şekilde yapılandırılırken, diğerleri acil servis numaralarına (örneğin, 112) rahatsız edici aramalar yapar.
1.7.5 E-Posta Üreticileri
Kötü amaçlı yazılım, kullanıcının izni veya bilgisi olmadan büyük miktarlarda e-posta oluşturmak ve diğer sistemlere göndermek için bir sisteme e-posta oluşturma programı gönderebilir. Saldırganlar, önceden belirlenmiş bir listedeki e-posta adreslerine kötü amaçlı yazılım, casus yazılım, spam veya diğer istenmeyen içeriği göndermek için genellikle e-posta oluşturucuları yapılandırır.
1.7.6 Saldırgan Araç Takımları
Çoğu saldırgan, sistemleri araştırmak ve saldırmak için kullanılabilecek birkaç farklı yardımcı program ve komut dosyası içeren araç takımları kullanır. Kötü amaçlı yazılım veya başka yollarla bir sistemin güvenliği ihlal edildiğinde, saldırgan sisteme bir araç seti indirebilir ve yükleyebilir. Araç takımı daha sonra kurulu olduğu sistemi daha fazla tehlikeye atmak veya diğer sistemlere saldırmak için kullanılabilir. Saldırgan araç setinde tipik olarak bulunan program türleri şunlardır:
Paket Sniffers: Paket dinleyicileri, kablolu veya kablosuz ağlardaki ağ trafiğini izlemek ve paketleri yakalamak için tasarlanmıştır. Genel olarak, tüm paketleri veya yalnızca belirli özelliklere sahip paketleri (örneğin, belirli TCP bağlantı noktaları, belirli kaynak veya hedef IP adresleri) yakalamak için dinleyici yapılandırılabilir. Çoğu paket dinleyicisi, aynı zamanda protokol çözümleyicileridir; bu da, tek tek paketlerden gelen akışları yeniden birleştirebilecekleri ve farklı protokollerden gelen iletişimlerin kodunu çözebilecekleri anlamına gelir.
Bağlantı Noktası Tarayıcıları: Bağlantı noktası tarayıcıları, sistemlerdeki hangi bağlantı noktalarının açık olduğunu (yani, sistemlerin bu bağlantı noktaları üzerinden bağlantılara izin verip vermediğini) uzaktan belirlemeye çalışan bir programdır. Bu tarayıcılar, saldırganların potansiyel hedefleri belirlemesine yardımcı olur.
Güvenlik Açığı Tarayıcıları: Güvenlik açığı tarayıcıları, yerel sistemdeki veya uzak sistemlerdeki güvenlik açıklarını arayan bir programdır. Bu tarayıcılar, saldırganların başarıyla yararlanabilecekleri ana bilgisayarları bulmalarına yardımcı olur.
Şifre Kırıcılar: İşletim sistemi ve uygulama şifrelerini kırabilecek çeşitli yardımcı programlar mevcuttur. Çoğu kırma yardımcı programı, olası her şifreyi deneyen kaba kuvvet denemelerinin yanı sıra şifreleri tahmin etmeye çalışabilir. Şifrelenmiş veya şifrelenmiş bir parolaya kaba kuvvet saldırısı için gereken süre, kullanılan şifreleme türüne ve parolanın karmaşıklığına bağlı olarak büyük ölçüde değişebilir.
Uzaktan Oturum Açma Programları: Saldırgan araç takımları genellikle, diğer sistemlerde uzaktan oturum açmak için kullanılabilecek SSH ve telnet gibi programları içerir. Saldırganlar, bu programları güvenliği ihlal edilmiş sistemleri kontrol etmek ve sistemler arasında veri aktarmak gibi birçok amaç için kullanabilir.
Saldırgan araç takımları genellikle yerel sisteme veya uzak sistemlere saldırı başlatabilen çeşitli yardımcı programlar ve komut dosyaları içerir. Saldırılar, bir sistemi tehlikeye atmak veya hizmet reddine neden olmak gibi çeşitli amaçları olabilir.
Saldırgan araç setlerinde bulunan programların çoğu, hem iyi niyetli hem de kötü amaçlı amaçlar için kullanılabilir. Örneğin, paket dinleyicileri ve protokol çözümleyicileri genellikle ağ yöneticileri tarafından ağ iletişim sorunlarını gidermek için kullanılırken, saldırganlar tarafından diğer iletişimleri gizlice dinlemek için de kullanılabilirler. Güvenlik yöneticileri, bir sistemdeki kullanıcı parolalarının gücünü test etmek için parola kırıcılar kullanabilir. Saldırgan araç setlerinde sıklıkla bulunan bazı program türleri, tanılama veya yönetim yardımcı programları olarak belirli işletim sistemlerinde yerleşik olarak bulunur; bu nedenle, bir sistemde bu tür programların bulunması, kötü niyetli herhangi bir eylemin gerçekleştiğini göstermez.
1.8 Kötü Amaçlı Yazılım Dışı Tehditler
Bu bölümde, genellikle kötü amaçlı yazılımlarla ilişkilendirilen ancak kötü amaçlı yazılım olmayan iki tür tehdit kısaca tartışılmaktadır. İlk olarak, kullanıcıları finansal bilgileri ve diğer hassas verileri ifşa etmeleri için kandırmak amacıyla kullanılan kimlik avı tekniği açıklanmaktadır. Kimlik avı saldırıları, sıklıkla kötü amaçlı yazılımları veya diğer saldırgan araçları sistemlere yerleştirir.
İkinci konu ise, yeni kötü amaçlı yazılım tehditlerinin yanlış uyarıları olan virüs aldatmacalarıdır. Hem kimlik avı hem de virüs aldatmacaları, tamamen sosyal mühendisliğe dayanır; bu, insanları hassas bilgileri ifşa etmeye veya iyi huylu görünen ancak aslında kötü niyetli dosyaları indirmek ve yürütmek gibi belirli eylemleri gerçekleştirmeye çalışan saldırganlar için genel bir terimdir.
Kimlik avı ve virüs aldatmacaları genellikle kötü amaçlı yazılım türleri olarak kabul edilmemesine rağmen, sıklıkla kötü amaçlı yazılımlarla birlikte tartışıldıkları için, bu bölümde eksiksiz olması adına kısaca ele alınmaktadır.
1.8.1 Kimlik Avı
Kimlik avı, bireyleri hassas kişisel bilgileri ifşa etmeleri için kandırmak amacıyla bilgisayar tabanlı aldatıcı araçların kullanılması anlamına gelir. Saldırgan, kimlik avı saldırısı gerçekleştirmek için çevrimiçi bir işletme, kredi kartı şirketi veya finans kurumu gibi tanınmış bir kuruluştan geldiği izlenimi veren bir web sitesi veya e-posta oluşturur. Dolandırıcılık amaçlı e-postalar ve web siteleri, kullanıcıları genellikle finansal bilgiler olmak üzere kişisel verileri ifşa etmeleri için aldatmayı amaçlar. Örneğin, kimlik avcıları banka hesap numaraları ve çevrimiçi bankacılık siteleri için kullanıcı adları ve şifreler arayabilir.
Kimlik avı saldırıları, kimlik hırsızlığı ve dolandırıcılık dahil olmak üzere çok çeşitli yasa dışı faaliyetlerde suçlulara yardımcı olur. Ayrıca, bir kullanıcının sistemine kötü amaçlı yazılım ve saldırgan araçları yüklemek için de kullanılabilirler. Kimlik avı saldırılarında kötü amaçlı yazılım yüklemenin yaygın yöntemleri arasında sahte afiş reklamları ve web sitelerinde açılır pencereler bulunmaktadır. Sahte reklamlara veya açılır pencerelere tıklayan kullanıcılar, farkında olmadan sistemlerine tuş vuruşu kaydedicilerinin yüklenmesine izin verebilir. Bu araçlar, bir kimlik avcısının kullanıcının kişisel verilerini ve parolalarını, yalnızca tek bir web sitesi için değil, kullanıcının ziyaret ettiği tüm web siteleri için kaydetmesine olanak tanır.
1.8.2 Virüs Sahtekarlıkları
Adından da anlaşılacağı gibi, virüs aldatmacaları yanlış virüs uyarılarıdır. Sahte virüsler genellikle yıkıcı bir etki yaratacak şekilde tasarlanmış olup, bilgisayar kaynaklarını enfeksiyondan korumak için acil eylem gerektiren durumlar olarak tanımlanır. Kullanıcılar arasında e-posta yoluyla gönderilen virüs uyarılarının çoğu aslında aldatmacadır. Virüs aldatmacaları, kullanıcılar bu uyarıları dağıtarak başkalarına yardım ettiklerine inandıkları için genellikle aylar hatta yıllar boyunca kullanıcılar arasında iletilir.
Sahtekarlıklar genellikle zarar vermese de, bazı virüs aldatmacaları kötü niyetlidir ve kullanıcıları işletim sistemi ayarlarını değiştirmeye veya dosyaları silmeye yönlendirebilir; bu da güvenlik veya işletim sorunlarına yol açabilir. Virüs aldatmacaları ayrıca kuruluşlar için zaman kaybı yaratabilir, çünkü birçok aldatmaca alıcısı, onları yeni tehdit konusunda uyarmak veya rehberlik istemek için teknik destek personeli ile iletişime geçmektedir. İyi bilinen bir virüs aldatmacası "Good Times"dır.
1.9 Kötü Amaçlı Yazılımın Geçmişi
Farklı kötü amaçlı yazılım türlerinin göreceli önemini anlamak için ilgili kötü amaçlı yazılım geçmişini bilmek faydalıdır. Bilgisayar virüsü kavramı, aslında bilgi işlemin ilk günlerinde oluşturulmuştur. En eski virüsler iyi huylu şakalardı; kötü niyetli virüsler 1980'lerin başına kadar herkese açık olarak ortaya çıkmamıştır. 1970'lerin sonlarında oluşturulan ilk solucanlar da iyi niyetli olup, sistem bakımını gerçekleştirmeyi amaçlamaktadır.
Kötü amaçlı yazılımlar, 1980'lerin sonlarına kadar yaygın değildi. O dönemde en yaygın biçimi derlenmiş virüsler, özellikle önyükleme sektörü virüsleriydi. O zamanlar, virüs yazarları, virüslerinin algılanmasını önleyebilmek için çeşitli şaşırtma teknikleri geliştirmişlerdir. 1988'de, binlerce ağa bağlı bilgisayarı bozan kötü şöhretli Morris solucanı yayınlandı. Truva atları, 1980'lerin ortalarında ortaya çıkmaya başladı.
1990'ların başında kötü amaçlı yazılım durumu büyük ölçüde değişmeden kalmış ve derlenmiş virüsler yaygın kötü amaçlı kod biçimi olmaya devam etmiştir. Ancak, 1990'ların ikinci yarısında, bilgi işlemdeki önemli değişiklikler kötü amaçlı yazılımlar için yeni fırsatlar yaratmıştır. İlk olarak, kişisel bilgisayarların sayısı büyük ölçüde artmıştır. Ayrıca, kelime işlemciler ve elektronik tablolar gibi makro dillere sahip e-posta istemcileri ve yazılımların kullanımı yaygınlaşmıştır. Bu gelişmelerle birlikte, virüs yazarları yorumlanmış virüsler geliştirmeye ve bunları e-posta yoluyla yaymaya başlamışlardır; ayrıca benzer yeteneklere sahip bağımsız solucanlar da geliştirilmiştir. Yorumlanan virüsler, derlenmiş virüslere göre daha kolay yazılabilir ve değiştirilebilir olmaları sayesinde daha az yetenekli programcıların virüs oluşturmasına olanak tanımıştır. İki önemli yorumlanmış kötü amaçlı yazılım saldırısı olan Melissa virüsü (1999'da) ve LoveLetter solucanı (2000'de), her biri milyonlarca sistemi etkilemiştir. BackOrifice gibi Truva atı ve RAT kombinasyonları da 1990'ların sonlarında popüler olmuştur.
2000'den beri solucanlar, kötü amaçlı yazılımların yaygın biçimi olmuştur. Virüs yazarları genellikle solucanları virüslere tercih etmektedir çünkü solucanlar çok daha hızlı yayılabilir. Virüsler arasında önyükleme sektörü virüsleri, disketlerin azalan kullanımı nedeniyle nadir hale gelirken, makro virüsler en yaygın virüs türü haline gelmiştir. 2001 yılında, ilk büyük harmanlanmış saldırı olan Nimda yayınlandı ve büyük aksamalara neden oldu. Nimda virüsü, solucan ve kötü niyetli mobil kod özelliklerine sahipti. Daha yakın zamanlarda, kötü niyetli mobil kod saldırıları, büyük ölçüde web tarayıcılarının ve HTML tabanlı e-postanın yaygınlığı nedeniyle artış göstermiştir; ancak kötü niyetli mobil kod hala solucanlar kadar yaygın değildir.
Diğer bir eğilim, solucanlar, Truva atları ve kötü amaçlı mobil kodlar dahil olmak üzere daha fazla kötü amaçlı yazılım örneğinin, virüslü sistemlere rootkit'ler, tuş vuruşu kaydedicileri ve arka kapılar gibi saldırgan araçları sağlamasıdır.
1.10 Özet
Kötü amaçlı yazılım, çoğu sistem için en büyük dış tehdit haline gelmiş ve birçok kuruluşta hasara neden olmuş, kapsamlı kurtarma çalışmaları gerektirmiştir. Kötü amaçlı yazılımlar aşağıdaki ana kategorilere ayrılmaktadır:
Virüsler: Bir virüs, kendi kopyalarını ana bilgisayar programlarına veya veri dosyalarına ekleyerek kendini çoğaltır. Genellikle bir dosyanın açılması veya bir programın çalıştırılması gibi kullanıcı etkileşimi ile tetiklenir. Virüsler iki alt kategoriye ayrılabilir:
- Derlenmiş Virüsler: Bir işletim sistemi tarafından yürütülür. Türleri arasında, kendilerini yürütülebilir programlara bağlayan dosya bulaştırıcı virüsler, sabit sürücülerin ana önyükleme kayıtlarına veya çıkarılabilir medyanın önyükleme sektörlerine bulaşan önyükleme sektörü virüsleri ve her ikisinin özelliklerini birleştiren çok parçalı virüsler bulunur.
- Yorumlanan Virüsler: Bir uygulama tarafından yürütülür. Bu alt kategoride makro virüsleri, uygulama belgelerine ve şablonlarına bulaşmak için makro programlama dilinin özelliklerinden yararlanırken, komut dosyası virüsleri, işletim sistemindeki hizmetler tarafından anlaşılan komut dosyalarına bulaşır.
Solucanlar: Genellikle kullanıcı müdahalesi olmadan kendini yürüten, kendi kendini kopyalayan bir programdır. Solucanlar iki kategoriye ayrılır:
- Ağ Hizmeti Solucanları: Kendini yaymak için bir ağ hizmetindeki bir güvenlik açığından yararlanır.
- Toplu Posta Solucanları: E-posta kaynaklı bir virüse benzer, ancak mevcut bir dosyaya bulaşmak yerine kendi kendine yeten bir virüstür.
Truva Atları: İyi huylu gibi görünen, ancak gizli kötü niyetli bir amacı olan bağımsız programlardır. Mevcut dosyaları kötü amaçlı sürümlerle değiştirir veya sistemlere yeni kötü amaçlı dosyalar ekler.
Kötü Amaçlı Mobil Kod: Uzak bir sistemden yerel bir sisteme iletilen ve genellikle kullanıcının açık talimatı olmadan yerel sistemde yürütülen kötü amaçlı yazılımdır. Popüler diller arasında Java, ActiveX, JavaScript ve VBScript bulunur.
Karışık Saldırılar: Birden fazla bulaşma veya iletim yöntemi kullanır; örneğin, virüslerin ve solucanların yayılma yöntemlerini birleştirebilir.
İzleme Çerezleri: Üçüncü bir tarafın bir kullanıcının davranışına ilişkin profil oluşturmasına olanak tanıyan kalıcı tanımlama bilgileri. Genellikle bir Web sayfasının HTML içeriğinde bulunan grafiklerle kullanılır.
Saldırgan Araçları: Kötü amaçlı yazılım bulaşmasının veya diğer sistem güvenliğinin ihlalinin bir parçası olarak bir sisteme çeşitli saldırgan araçlar gönderilebilir. Bu araçlar, saldırganların virüslü sistemlere ve verilere yetkisiz erişim sağlamasına veya ek saldırılar başlatmasına olanak tanır. Bu araçların bazıları şunlardır:
- Arka kapılar: Belirli bir bağlantı noktasındaki komutları dinleyen kötü amaçlı programlardır.
- Tuş Kaydedicileri: Klavye kullanımını izleyen ve kaydeden araçlardır.
- Rootkit'ler: Bir sisteme yüklenen, standart işlevselliğini kötü niyetli bir şekilde değiştiren dosya koleksiyonlarıdır.
- Web Tarayıcı Eklentileri: Tarayıcının belirli içerik türlerini görüntülemesi için gerekli eklentilerdir; bazıları casus yazılım gibi davranarak tarayıcı kullanımını izler.
- E-Posta Üreticileri: Kötü amaçlı yazılım ve spam göndermek için kullanılan araçlardır.
- Saldırgan Araç Kitleri: Sistemi araştırmak ve saldırmak için çeşitli yardımcı programlar ve komut dosyaları içeren araç takımlarıdır.
Kötü amaçlı yazılımlara ek olarak, kötü amaçlı yazılımlarla ilişkilendirilen birkaç yaygın kötü amaçlı yazılım olmayan tehdit de bulunmaktadır. Kimlik avı, kullanıcıları finansal bilgileri ve diğer hassas verileri ifşa etmeleri için kandıran bilgisayar tabanlı araçlar kullanırken, virüs aldatmacaları yeni kötü amaçlı yazılım tehditlerine ilişkin yanlış uyarılardır.
Tablo 1-1'de virüsleri, solucanları, Truva atlarını, kötü amaçlı mobil kodu, izleme tanımlama bilgilerini ve saldırgan araçlarını temel özelliklere göre karşılaştırılmaktadır. Harmanlanmış saldırılar, diğer kötü amaçlı yazılım kategorilerinin herhangi bir kombinasyonunun özelliklerini birleştirebileceğinden, belirli özellikleri bu kategoriler kullanılarak tanımlanamaz.
