Kötü amaçlı yazılım, siber güvenlik için hızla büyüyen ve sürekli gelişen bir tehdittir. 2022’nin ilk altı ayında dünya çapında 2,8 milyardan fazla kötü amaçlı yazılım saldırısı rapor edildi. Ağlarına yönelik risklerin ötesinde,
fidye yazılımı gibi kötü amaçlı yazılımların işletmeler için gerçek, parasal maliyetleri olabilir. 2021’de fidye yazılımlarının zararları tek başına 20 milyar ABD dolarına mal oldu. Bu, 2015’te 325mn olan fidye yazılımının küresel maliyetinde yüzde 6054’lük bir artıştı. Bunun yalnızca, fidye yazılımlarının zararlarının 2031’de 250 milyar ABD Dolarına ulaşacağı ile artacağı tahmin edilmektedir.
‘Kötü amaçlı yazılım’ terimi, ‘kötü amaçlı yazılım’ın kısaltmasıdır ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), “bilgisayar sistemlerine, ağlara veya cihazlara zarar verebilecek virüsler, truva atları, solucanlar veya herhangi bir kod veya içerik içerir”.
Kötü amaçlı yazılımın tanımı çok geniş olduğundan, bu makale çeşitli farklı kötü amaçlı yazılım türlerini derinlemesine inceleyerek bu tür kötü amaçlı yazılımların ne yaptığını, bir ağ ve bunların nasıl hafifletilebileceği veya önlenebileceği.
İçindekiler:
- Ne trojan kötü amaçlı yazılım mı? Solucan kötü amaçlı yazılımı nedir?Kötü amaçlı yazılım oluşturmak için ChatGPT kullanma
-
Trojan malware nedir?
Adını Yunanlıların Truva şehrine girmek için kullandıkları efsanevi ‘truva atı’ndan almıştır, trojan malware, güvenli veya zararsız bir dosya gibi görünen kötü amaçlı yazılımdır. Dosya indirildikten sonra, indirildiği uç noktada kötü amaçlı eylemler gerçekleştirmeye başlar.
Trojan kötü amaçlı yazılımı bilgisayar korsanları tarafından kullanılır kurbanın banka bilgilerini ve nihayetinde paralarını çalmak. Bu yıkıcı tehdit vektörü, Kapersky Software’in
- cihazlarında en az bir tür bankacılık kötü amaçlı yazılımının başlatılmasını engellediğini bildirmesiyle yükselişte. neredeyse 100.000 (99.989) benzersiz kullanıcı
- Bankacılık truva atları, aracılığıyla da dahil olmak üzere çeşitli yollarla yayılabilir. kimlik avı bağlantıları, kullanışlı programlar (örn. çok kullanımlı bir banka yönetimi uygulaması) veya hatta bankanın kendisi için uygulamalar olarak.
Bu programlar banka tarafından indirildikten sonra kurban, bilgisayar korsanları kurbanın cihazında kötü amaçlı programlar çalıştırabilir. Bazı durumlarda bu, banka hesapları için kullanılan oturum açma bilgilerini toplamalarına ve bu bilgilere erişmelerine olanak tanır. Diğerlerinde, yanlış veri toplama tabloları yoluyla banka kartı bilgilerini çalmalarına izin verecek, örneğin kullanıcıdan kart bilgilerini bir Google Pay hesabına eklemesini isteyecektir. Daha aşırı durumlarda, kötü amaçlı yazılım cihazın ağına girer ve yönetici erişimini açarak bilgisayar korsanlarına cihaz üzerinde tam kontrol sağlar.
Eğer bilgisayar korsanları kazanırsa bir cihazın kontrolü, metin mesajlarını veya çağrıları okuyabilir, yeniden yönlendirebilir ve silebilir, yani kurban çok faktörlü kimlik doğrulamaya (MFA) sahip olsa bile ayarlandığında, bilgisayar korsanları bu güvenlik stratejisini atlamak için gereken
tek seferlik parolalara (OTP’ler) erişebilir. Bilgisayar korsanları daha sonra çok geç olana kadar kurbanlarından uyarı almadan veri ve para çalabilir.
Bilgisayar korsanları tarafından gerçekleştirilen eylemler, kurbanın cihazından geldiği ve tüm güvenlik önlemlerinden geçeceği için meşru görünecektir. Bu, bankaların kötü niyetli aktörler tarafından yapılan işlemlerin bir kısmını veya tamamını şüpheli davranış olarak işaretleyemeyeceği anlamına gelir. Banka olağandışı etkinliği fark edip kurbanı uyarmaya çalışsa bile, kötü amaçlı yazılım, kötü niyetli kişinin bankadan gelen aramaları veya kısa mesajları yeniden yönlendirmesine olanak tanır ve kurban, banka bakiyesini bir sonraki kontrol edene kadar habersiz kalır.
Emotet bankacılık truva atı
Emotet , ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), ABD İç Güvenlik Bakanlığı (DHS) Ulusal Siber Güvenlik ve ABD Ulusal İletişim Entegrasyon Merkezi’nin engelleyemeyeceği kadar yaygın ve tehlikeli bir trojan bankacılığı kötü amaçlı yazılımıdır. (NCCIC) bir
grup teknik uyarısı yayınladı ile ilgili olarak 20 Temmuz 2018.
Uyarı, Emotet’in “etkileyen en maliyetli ve yıkıcı kötü amaçlı yazılımlardan biri” olduğu konusunda uyarıyor. SLTT hükümetleri”, ağlar boyunca hızla yayılma kabiliyeti nedeniyle. Emotet, “bir kullanıcı kötü amaçlı indirme bağlantısını, PDF veya makro etkin Microsoft Word belgesini açtığında veya tıkladığında” başlatılır ve bir ağa girdikten sonra birden fazla bankacılık truva atı indirip yayar. Uyarı, Emotet enfeksiyonlarının, SLTT hükümetlerine enfeksiyon başına 1 milyon ABD dolarına kadar maliyetinin hafifletildiğini belirtiyor. .
Trojan kötü amaçlı yazılım saldırısını önleme
Siber güvenlik uzmanı ve Cyber Security Hub katılımcısı Alex Vakulov, truva kötü amaçlı yazılımı, bir cihaza virüs bulaştığında kaldırılmasını zorlaştırır. Bazı durumlarda, bunu önlemenin tek yolu, bir cihazı fabrika ayarlarına döndürmektir. Truva atı kötü amaçlı yazılımları için önleme çok önemlidir.
“Mobil cihazların çoğalması, bankacılık Truva Atları oluşturmak için gelişen bir yeraltı endüstrisini doğurdu” diye açıklıyor Vakulov. . “Bu, bankacılık Truva Atlarının sayısında ve bulaşma olasılığında keskin bir artışa yol açtı.”
Vakulov, bunun nadir olmadığını söylüyor uygulama denetleme teknolojisinin tamamen kusursuz olmaması nedeniyle, kullanıcıların Google Play gibi resmi kaynaklardan kötü amaçlı yazılım indirmesi için.
“Mobil güvenlik çözümleri yetkisiz uygulama etkinliğini tespit edebilse de, telefonuna belirli bir yazılımı yüklemek her kullanıcının kişisel kararıdır. ” o ekler.
Trojan kötü amaçlı yazılım bulaşmalarını önlemek için, kullanıcılar herhangi bir bağlantıyı tıklamadan veya herhangi bir eki indirmeden önce iletişimlerin ve gönderenlerin geçerliliğini kontrol ederek tetikte olmalıdır. Güvenli dosya aktarım çözümlerinin kullanılması, yalnızca güvenilir yazılım kullanılarak gönderilen dosyaların açılmasını sağlayarak önleyici bir önlem olarak işlev görebilir.
Solucan kötü amaçlı yazılımı nedir?
Worm malware, amacı ile kendi kendini çoğaltabilen kötü niyetli bir program türüdür. daha fazla cihaza yayılıyor. Diğer kötü amaçlı yazılım türlerinin aksine, solucanların çalışması için herhangi bir insan veya ana programa ihtiyacı yoktur, yani bir cihaza indirildikten sonra programlamasını kendisi yürütebilir.
Pek çok yazılım tabanlı tehdit vektörü gibi kötü amaçlı yazılım solucanı, cihazları öncelikle virüslü bağlantılar ve dosyalar aracılığıyla etkiler. Sosyal mühendislik genellikle kurbanları bağlantılara tıklamaya veya dosya indirmeye ikna etmek için kullanılır. Bu, bağlantıların meşru gibi görünen kötü amaçlı web sitelerinde barındırılabileceği veya solucanın meşru bir dosya türü gibi göründüğü bir kimlik avı kampanyasının parçası olarak gönderilebileceği anlamına gelir.
Kendi başına bir solucan, disk alanı kaplamak ve hatta kendisinin daha fazla kopyasını oluşturmak için dosyaları silmek dahil olmak üzere aygıtları çeşitli şekillerde etkileyebilir. Solucan bir yük ile donatılmışsa, bu, kötü niyetli aktörlerin daha da fazla zarar vermesine izin verebilir.
Siber güvenlik ve teknoloji muhabiri Dave Johnson açıklandıBusiness Insider bu yükler, bilgisayar korsanlarının “bilgisayar korsanları için bilgisayara bir arka kapı açmasına veya kullanıcı adları ve parolalar gibi hassas bilgileri çalmak için ek kötü amaçlı yazılım yerleştirmesine veya bilgisayarı bir parçası olarak kullanmasına” izin verebilir. dağıtılmış hizmet reddi (DDoS) saldırı”.
WannaCry fidye yazılımı solucanı
Fidye yazılımı solucanları, solucanların kendi kendini kopyalayan doğasını yıkıcı özelliklerle birleştirir. fidye yazılımı potansiyeli.
WannaCry bir solucan- Mayıs 2017’de gerçekleşen tabanlı fidye yazılımı saldırısı. Sistemin kod yürütmesi için kandırılabileceği anlamına gelen bir kusurdan yararlanarak özellikle Microsoft Windows işletim sistemine sahip bilgisayarları hedef aldı. Bu kusur için bir yama geliştirilirken, saldırının kurbanlarının çoğu, öneminin farkında olmadıkları için cihazlarının yazılımını güncellemediler, bu da saldırıya karşı hala savunmasız oldukları anlamına geliyor.
Bir cihaza bağlandıktan sonra, WannaCry cihazın verilerini şifreledi ve verilerinin şifresini çözmek için bir Bitcoin ödemesi yapılmasını talep etti. Ayrıca, hem cihazın ağında yanal olarak hem de internet üzerinden rastgele cihazlara yayılmaya çalıştı.
WannaCry tarafından bırakılan fidye notunun bir örneği. Kaynak: Wikimedia Commons
Avrupa Birliği Kolluk Kuvvetleri İşbirliği Ajansı (Europol), saldırının 150 ülkeye yayıldığını ve 300.000’den fazla bilgisayarı etkilediğini tahmin ediyor. Saldırıdan etkilenenler arasında İngiltere ve İskoçya’daki Ulusal Sağlık Hizmeti hastaneleri de vardı. Diğer kurbanlar arasında dünya çapında devlet kurumları, polis departmanları, tıbbi tesisler, telekomünikasyon şirketleri ve üniversiteler yer alıyor.
Birden fazla siber güvenlik araştırmacısı ve kuruluşu soruşturma başlattı saldırıyı durdurmak ve daha fazla zarar görmesini önlemek amacıyla WannaCry’a. Bu, İngiliz araştırmacı Marcus Hutchins tarafından kendi kodu içinde bir öldürme anahtarının keşfedilmesine yol açtı. Hutchins, kodunda bulduğu bir DNS çukuru için bir web etki alanı kaydederek saldırının yayılmasını durdurmayı başardı. Bunun nedeni, fidye yazılımının bir cihazın dosyalarını yalnızca o etki alanına bağlanamaması durumunda şifreleyebilmesiydi.
Başka çözümler de keşfedildi, Boston Üniversitesi ve University College London’dan araştırmacılar, PayBreak adlı bir yazılım sistemi kullanılarak verileri şifrelemek için kullanılan anahtarların kurtarılmasıyla fidye yazılımının durdurulabileceğini bulan araştırmacılar da dahil.
Saldırıdan kaynaklanan potansiyel kayıpların 4 milyar dolara kadar siber risk modelleme firması Cyence tarafından.
Raspberry Robin kötü amaçlı yazılım solucanı
Raspberry Robin aslen siber güvenlik şirketi
tarafından keşfedilmiştir. Red Canary, solucanın neden olduğu bir etkinlik kümesini fark edip takip ettikten sonra Eylül 2021’de.
Raspberry Robin, güvenliği ihlal edilmiş bir USB aracılığıyla bilgisayarlara yüklenir ve ardından solucanı bilgisayarın sistemine sokar. Solucan daha sonra bir USB sürücüde depolanan kötü amaçlı bir dosyayı okumaya ve yürütmeye devam eder ve başarılı olursa kötü amaçlı bir dinamik bağlantı kitaplığı dosyasını (.dll) indirir, kurar ve yürütür. Son olarak, solucan tekrar tekrar, genellikle The Onion Routing (TOR) düğümlerine giden bağlantıları yürütmeye çalışır. TOR düğümleri, bir kullanıcının konumunu bağlantı hedefinden gizleyebilir.
Red Canary, üretimle bağlantılı kuruluşlarda Raspberry Robin etkinliği gördüğünü bildirdi. ve teknoloji sektörleri, şirket olup olmadığının net olmadığını belirtmesine rağmen kötü amaçlı yazılımdan etkilenen şirketler arasındaki herhangi bir bağlantı olarak.
Raspberry Robin solucanının ilk keşfedildiği zamanki amacını tartışan Red Canary, Raspberry Robin’in “nasıl ve nereye bulaştığından” emin olmadığını itiraf etti. faaliyetini sürdürmek için harici sürücüler”, ancak şirket bunun “çevrimdışı veya görünürlüğümüzün dışında gerçekleştiğini” öne sürdü.
Kuruluş ayrıca “en büyük sorunun operatörlerin hedefleriyle ilgili olduğunu” söyledi. Bu belirsizlik, daha sonraki aşama faaliyetleri hakkında bilgi eksikliğinden kaynaklanmaktadır, yani Red Canary “bu kampanyaların amacı veya hedefleri hakkında çıkarımlarda bulunamamaktadır”. Ancak şirket, Raspberry Robin hakkında ortaya çıkarılan bilgilerin, Raspberry Robin etkinliğini tespit edip takip ederken daha geniş çabalara yardımcı olacağını umduğunu söyledi.
Ağustos 2022’de Raspberry Robin solucanı, Microsoft tarafından Rus merkezli bilgisayar korsanlığı grubu EvilCorp tarafından gerçekleştirilen saldırılarla ilişkilendirildi. EvilCorp etkinliğini izleyen araştırmacılar, “FakeUpdates malware [was] mevcut Raspberry Robin enfeksiyonları yoluyla bulaşıyor”.
FakeUpdates kötü amaçlı yazılımı bir kötü amaçlı reklamcılık erişim komisyoncusu, bir kurbanları tıklamaları için kandıran güvenli bir bağlantı gibi görünen sosyal mühendislik tabanlı tehdit vektörü. FakeUpdates söz konusu olduğunda, bir yazılım veya tarayıcı güncellemesi gibi görünür. Tıklandığında, bir Zip dosyası içinde saklanan bir JavaScript dosyası indirilir, yürütülür ve kurbanın bilgisayarında çalıştırılır. Bu, kötü aktörlerin kurbanın profil ağlarına erişmesine olanak tanır.
Solucan kötü amaçlı yazılım saldırısı nasıl önlenir
Solucan kötü amaçlı yazılımı, ağdaki cihazlara yayılmaya dayandığından, bir solucan keşfedilirse, virüslü cihaz ağdan çıkarılmalıdır.
WannaCry saldırısında görüldüğü gibi, herhangi bir güvenlik açığına karşı yamalandığından emin olmak için cihazınızın yazılımını düzenli olarak güncellemeniz önemlidir.
Virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımlarının indirilmesi de dahil olmak üzere diğer genel kötü amaçlı yazılımdan koruma güvenlik stratejileri de kullanılmalıdır. Aynı şekilde, e-posta yoluyla alınan tüm bağlantılar veya dosyalar, kötü amaçlı solucanların cihaza girmesini önlemek için açılmadan önce dikkatlice değerlendirilmelidir.
Kötü amaçlı yazılım oluşturmak için ChatGPT’yi kullanma
Tehdit istihbarat şirketi tarafından yapılan araştırma Check Point Research kötü niyetli aktörlerin OpenAI kullanarak ChatGPT
kötü amaçlı yazılım , karanlık web siteleri ve siber saldırıları gerçekleştirmek için diğer araçları oluşturmak.
yapay zeka (AI) destekli iken chatbot, kötü amaçlı yazılım oluşturmak için kullanmak da dahil olmak üzere kullanımına kısıtlamalar getirdi, bir karanlık web korsanlığı forumundaki gönderiler, bunun hala kullanılabileceğini ortaya çıkardı. Bir kullanıcı “hala bir çözüm var” diyerek bunu ima ederken, bir diğeri “istediğinizi yaratmanın anahtarı, programın ne yapması gerektiğini ve hangi adımların atılması gerektiğini belirtmektir, bunu sözde yazmak gibi düşünün. comp[uter] sci[ence] sınıfınız için kod”.
Check Point Research tarafından sağlanan ekran görüntüsü
Kullanıcı bu yöntemi kullanarak bir “python dosyası” oluşturabildiklerini söyledi. Dosyalar yüklendikten sonra veya program çalışırken herhangi bir hata oluşursa, “bu nedenle herhangi bir kanıtı ortadan kaldırır”.
ChatGPT kötü amaçlı yazılım saldırılarıyla mücadele
Yeni teknoloji daha karmaşık tehditler geliştirmek için kullanılabilirken, onlara karşı savunma. BlackBerry Cybersecurity’de APJ satış mühendisliği direktörü Johnathan Jackson, yapay zekanın kötü amaçlı yazılım söz konusu olduğunda hem bir nimet hem de bir lanet olma potansiyeline sahip olduğunu belirtiyor.
Jackson, “Yapay zekayı siber güvenlikte kullanmanın en önemli avantajlarından biri, çok büyük miktarda veriyi gerçek zamanlı olarak analiz etme yeteneğidir,” diyor. “Siber saldırılar daha şiddetli ve karmaşık hale geldikçe ve tehdit aktörleri taktiklerini, tekniklerini ve prosedürlerini (TTP) geliştirdikçe, geleneksel güvenlik önlemlerinin geçerliliğini yitiriyor. Yapay zeka, önceki saldırılardan öğrenebilir ve savunmasını uyarlayarak onu gelecekteki tehditlere karşı daha dirençli hale getirebilir.”
Jackson, yapay zekanın da kullanılabileceğini belirtiyor. yüksek düzeyde hedeflenebilen ve genellikle tespit edilmesi zor olabilen
gelişmiş kalıcı tehditleri (APT’ler) azaltmak için. Bu, kuruluşların tehditleri önemli bir hasara yol açmadan önce belirlemesine olanak tanır.
Siber güvenlikte yapay zekanın Jackson tarafından kabul edilen bir başka faydası da, güvenlik yönetimindekiler gibi tekrar eden görevleri otomatikleştirmek için kullanılmasıdır. Bu, siber güvenlik uzmanlarının tehdit avı ve olay müdahalesi[was] gibi stratejik görevlere daha fazla odaklanmalarını sağlar. .