Zararlı yazılımlar (Malware), çalıştıkları sistemde, kullanıcının bilgisi ve rızası olmadan gizlice, dinleme, izleme, kaydetme ve silme gibi kötü niyetli eylemleri yerine getiren yazılımlardır.
Günümüzde APT (Advanced Persistent Threat) adı verilen ve bir çok farklı vektörün kullanıldığı ileri seviye “Zararlı Yazılımlar” saldırganlar tarafından kullanılan vazgeçilmez araçlar haline gelmişlerdir. En büyük özellikleri, çalıştıkları sistemde gizlice faaliyet göstermeleri ve özellikle zarar vermek amacıyla programlanmış olmalarıdır. Bu gibi zararlı yazılımlar, çoğunlukla istihbarat toplamak, hedef sistemleri etkisiz hale getirmek gibi ticari ve askeri amaçlara hizmet etmektedir.
Hedefe yönelik hazırlanan zararlı yazılımlar, tanımlanan amaca ulaşabilmek için çeşitli güvenlik mekanizmalarını atlatır ya da devre dışı bırakırlar. Kullanılan teknik bilgi, kod ve yapılar karmaşıktır. Zararlı yazılımların ne yaptığını ve ne tür bir işleve sahip olduğunu ortaya çıkarmak için ileri seviye inceleme ve analiz yapmak gerekmektedir. Bu nedenle zararlı kod analizi çok zor ve bir o kadar da meşakkatli bir iştir. Ayrıca, hem ülkemizde hem de dünyada bu alanda çalışan uzmanların sayısının az ve yetersiz oluşu zararlı yazılım analizini daha da zor bir iş haline getirmektedir.
-
Virüsler (Viruses)
-
Truva atları (Trojan horses)
-
Casus yazılımlar (Spyware)
-
Solucanlar (Worms)
-
Rootkitler
-
Tuş toplayıcılar (Keyloggers)
-
Arka kapılar (Backdoors)
-
Reklam amaçlı (Adware)
-
Fidye zararlısı (Ransomware)
-
Tarayıcı zararlısı (Browser hijacker)
Zararlı yazılım (malware) inceleme ve analiz etmek öncelikle ileri seviye bir programlama bilgisi, derinlemesine dosya sistemleri bilgisi, kod analiz ve tersine mühendislik yeteneği gerektirmektedir. İnceleme ve analiz esnasında ise öncelikle enfeksiyon belirtileri tespit edildikten sonra şayet ulaşılabiliyorsa enfektöre (bulaştırıcıya) ulaşmak ve derinlemesine incelemek gerekmektedir.
Veri toplama esnasında tüm platformlar incelenir, zararlı kod özellikleri ile ilgili yapılar tespit edilir, atak vektörlere bakılır, zararlı yazılımın kimliğini saptamak için her türlü dosya tipi, sabit veriler, kütüphaneler ve etkileşimler incelenir.
Zararlı yazılım analizi yapacak laboratuvarın en önemli özelliklerinden birisi dinamik ve statik analizi yapabilecek nitelikte olmasıdır. Bu analizler içinse sanallaştırma, konfigürasyon, disassemblerler, dosya format analizcisi, veri taşıyıcılar, koklama ve paket analizi ve debugger gibi yöntem ve tekniklere ilave olarak tersine mühendisliğin çok iyi bilinmesi gerekmektedir.
Profesyonel bir zararlı yazılım laboratuvarı kurmak ve bu laboratuvarda kullanılması gereken yazılım ve sistemlerin nelerden oluştuğu konusunda bilgi almak için lütfen…