Teknoloji geliştikçe bilgiye ulaşım kolaylaştı. Bu sayede geçmişte karmaşık yapıları nedeniyle az sayıda karşılaştığımız zararlı yazılımlar artık daha sık kullanılmaya başlandı. Bu zararlı yazılım türlerinden biride fileless malwarelerdir.
Fileless Malware Nedir
Fileless malwareler geleneksel malwarelerin aksine disk üzerine yazılmadan direkt olarak memoryde bulunan bir processin içerisine yazılarak çalışırlar veya kendi zararlı kodunu registry key şeklinde yazara WMI ve PowerShell gibi toolları kullanarak çalıştırırlar. Bu sayede imza tabanlı tespit mekanizmalarına yakalanmaz ve cihaz üzerinde forensic analizi yapan analistin işini zorlaştırır.
Avantajı
- Anti-malwarelerin tespit edebileceği geleneksel bir dosya bulunmaz
- Forensic çalışması sırasında tespit edilerek analizi yapılabilecek bir dosya olmadığı için forensic analiz çalışmasını zorlaştırır.
Kendini Nasıl Bulaştırarak Çalıştırıyor
Fileless malwareler temelde kendini 2 farklı yolla sisteme bulaştırarak çalıştırır
- Güvenilir uygulamalarda bulunan zafiyetleri kullanarak kendisini bu uygulamaların memoryde bulunan processlerinin içerisine enjekte ederek kendi zararlı kodunu çalıştırır.
- Fileless malwareler kendi kodlarını registry kayıtlarına veya başka dosyaların içerisine yerleştirip, Windows cihazlarda sistem yönetimi için kullanılan WMI (Windows Management Instrumentation) PowerShell uygulamalarını kullanarak zararlı kodlarını çalıştırabilirler.
Fileless Malwareler Ne Yapabilirler
Fileless malwareler geleneksel malwarelerin yapabildiği her şeyi yapabilirler. Ancak zararlının tespitini zorlaştırmak ve sistem kaynakları çerçevesinde verimliliği artırabilmek için ransomware gibi daha hantal kullanımlar yerine dropper veya downloader şeklinde kullanılarak saldırıyı başlatmak için kullanılabilirler veya cihaza erişim sağlamak, kullanıcı bilgilerini çalmak, sistemde kalıcılık sağlamak ve cihazdan veri çıkarmak için kullanılabilirler.
Fileless Malware Nasıl Tespit Edilir
Fileless malware tespitinde kullanılabilecek birçok metot ve tool bulunmaktadır. Bunlar;
- Davranışsal analiz yapabilen AV ve EDR gibi güvenlik cihazalarının kullanılması
- Kullanıcı haklarındaki değişimler veya yeni kullanıcı yaratılması
- Network trafiğindeki ve kurulan bağlantılardaki anormalliklerin araştırılması
- \Software\Classes gibi registry keylerin içerisinde yapılan değişikliklerin araştırılması
- Bir process yaratıldıktan sonra kısa bir süre sonra yetkisini yükselttiğinin tespit edilmesi
- Windows Security Eventlerdeki;
- Event ID 4688 – Ana processi PowerShell olan, yaratılmış child processlerin tespiti için
- Event ID 7040 – Disabled veya demand start durumundan auto-start durumuna değiştirilmiş servisleri tespit ederek anormalliklerin araştırılması için
- Event ID 10148 – WS-Management ile alakalı istekler için hangi port ve IP adreslerinin dinlendiğinin kontrolü için kullanılabilirler
- Düzgün korelasyon girilmiş ve doğu log kaynaklarından log toplayan SIEM kullanılması
Sonuç
Fileless malwareler 20 yılı aşkın zamandır kullanılmasına karşın teknolojinin gelişmesiyle birlikte artık daha sofistike ve daha tehlikeli hale gelmiş ve yaygınlaşmıştır. Bu yüzden forensic analizi yaparken artık sadece disk analizi yapmak veya yüzeysel memory analizi yapmak yeterli olmamaktadır. Bu yüzden forensic analizi yapılırken registry kayıtlarında ve memoryde de derinlemesine analiz yapmak dahada önemli hale gelmiştir.
Bir sonraki yazımda uygulamalı olarak fileless malware analizinin nasıl yapılacağını anlatacağım. Yazımı okuduğunuz için teşekkürler, hepinize zararlılardan uzak temiz günler diliyorum.
Bu güzel yazı için teşekkürler Sercan.
Eline sağlık Mehmet.
Güzel geri dönüşleriniz için çok teşekkür ederim.
Faydalı ve çok güzel bir çalışma olmuş ellerine sağlık Mehmet Sercan Sancak.
Teşekkür ederim Muarrem.