Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yeni Nesil Kötü Amaçlı Yazılımlar
Yüklə 3,91 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- 8.3. Yeni Nesil Kötü Amaçlı Yazılımlar
|
8.3. Yeni Nesil Kötü Amaçlı Yazılımlar
Kötü amaçlı yazılımların atası olarak kabul edilen virüsler düşünsel olarak kendi kendini kopyalayan “automata” olarak John von Ne- umann tarafından 1950’li yıllarda ortaya atılmasına karşın, pratik olarak ilk virüs 1971 yılında “the Crepeer” adı altında Bob Thomas tarafından laboratuvar ortamında geliştirilmiştir [Spencer, 2011; Anonymous3]. İlk yıllarda basit amaçlarla yazılan bu yazılımlar zamanla yerini geniş çaplı büyük şirketlerin ve devletlerin olduğu yeni nesil kötü amaçlı yazılımlara bırakmıştır. Çekirdek modunda da çalışabilen ve kullanıcı modunda çalışan geleneksel kötü amaçlı yazılımlara göre çok daha güçlü ve tespit edilmeleri zor olan ya- zılımlar yeni nesil kötü amaçlı yazılımlar olarak tanımlanabilir. İş- letim sistemi denetim özelliklerinin çekirdek modunda uygulana- maması ve üçüncü parti davranış izleme araçlarının tam ve verimli çalışmaması yeni nesil kötü amaçlı yazılımların tespitini zorlaştır- maktadır. Bu kötü amaçlı yazılımlar çekirdek modunda çalışan ko- ruma yazılımlarını (örneğin, virüsten koruma yazılımları, güvenlik duvarları, vb.) rahatça atlatabilmektedirler. Ayrıca, bu yazılımlar kullanılarak daha önce görülmemiş, hedef odaklı, kalıcı ve birden fazla kötü amaçlı yazılım türünün katılarak gerçekleştirildiği ileri düzey siber saldırılar yapılmaktadır. Şekil 8.3, yeni nesil kötü amaç- lı yazılım örneğini göstermektedir. K Ö T Ü A M A Ç L I YA Z I L I M L A R V E A N A L İ Z İ 233 Şekil 8.3. Yeni nesil bir kötü amaçlı yazılımın şekilsel gösterimi Şekil 8.3’de YNZY, yeni nesil zararlı yazılımı ve (I 1 , I 2 , I 3 , I 4 ) çalı- şan işlemleri (işletim sisteminde derlenmiş ve çalışır durumda olan programlar- “işlem”) göstermektedir. Kötü amaçlı yazılım öncelikle kendini farklı program ya da işlemlere kopyalamakta (YNZY → I 1 ), kendi kopyasını oluşturabildiği gibi sistemde arka kapı açarak fark- lı sistemlere de bağlanabilmekte, daha sonra kendini sistemden si- lerek görünmez olmaktadır (Şekil 8.3). En son kendini kopyaladığı işlemler yardımıyla (I 1 → I 2 , I 1 → I 3 , I 1 → I 4 ) sistem üzerinde daha önce belirtilen değişiklikleri yapmakta ve uzak sistemlerle bağlantı kur- maktadır. Asıl zararlı kodları barındıran kötü amaçlı yazılımın sis- temden kendini silmesi ve daha önce belirtilen zararlı davranışları farklı işlemlere (Var olan sistem dosyaları, üçüncü parti yazılımlar ya da kötü amaçlı yazılım tarafından yeni oluşturulmuş işlemler) yaptırması, kötü amaçlı yazılım analiz ve tespitini nerdeyse imkan- sız hale getirmektedir. Şekil 8.3’te belirtilen kötü amaçlı yazılımın tespit edilebilmesi için hem I 1 , I 2 , I 3 ve I 4 işlemlerinin ayrı ayrı ince- lenmesi gerekmektedir hem de bu işlemler arasındaki ilişkiler be- lirlenmelidir. İnternet teknolojilerinin hızla gelişimiyle birlikte bilgisayar koru- ma sistemleri (Örneğin, anti virüs programları; güvenlik duvarları; saldırı tespit, önleme ve koruma sistemleri, vb.) hızlı bir gelişme göstermiştir. Koruma sistemlerinin bu hızlı gelişimi geleneksel kötü amaçlı yazılımların kolayca tespit edilmesini sağlamıştır. Bu durum bilgisayar korsanlarını (Hackers) daha karmaşık ve tespit edilme- R E F I K S A M E T - Ö M E R A S L A N 234 si zor yazılımlar yazmaya sevk etmiştir. Artık bir işlemden oluşan ve basit saldırılar yapabilen yazılımlar yerine çok işlemli, şifreleme teknikleri kullanarak şekil değiştirebilen, hedef odaklı, daha önce görülmemiş siber saldırılar başlatan yazılımlara dönüşmüşlerdir. Sürekli kendilerini yenileyerek farklı şekillere girebilen bu yazılım- lar son dönemlerde işletim sistemi seviyesinde de çalışamaya başla- mışlardır. Tablo 8.1’de geleneksel ve yeni nesil kötü amaçlı yazılım- ların karşılaştırılması görülmektedir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|