Kötü amaçlı kod nedir?

Kötü amaçlı kodun tanımı

Kötü amaçlı kod, sistem açıkları oluşturmak veya bunlardan yararlanmak için tasarlanmış zararlı bilgisayar programlama komut dosyalarıdır. Bu kod, bir tehdit aktörü tarafından bilgisayar sistemlerinde istenmeyen değişikliklere, hasara veya sürekli erişime neden olacak şekilde tasarlanmıştır. Kötü amaçlı kodlar arka kapılara, güvenlik ihlallerine, bilgi ve veri hırsızlığına ve dosyalara ve bilgisayar sistemlerinde başka potansiyel zararlara neden olabilir.

Kötü amaçlı kod nedir?

Kötü amaçlı kod, bilgisayar sistemlerini tehlikeli davranışlara yönlendirmek için saldırgan tarafların "konuştuğu" dildir. Bilgisayar programlarının, dosyalarının ve altyapısının mevcut programlamasına değişiklikler veya eklentiler yazılmak suretiyle oluşturulur.

Bu tehdit, siber güvenlik saldırılarının büyük çoğunluğunu gerçekleştirmek için kullanılan temel araçtır. Hackerlar bilgisayarları programlamak için kullanılan dillere dayanan zayıflıkları araştırır ve bulurlar. Daha sonra bu dillerdeki bu güvenlik açıklarını kötüye kullanmak için komut dosyaları veya komut listeleri olarak bilinen "ifadeler" oluştururlar. Bu komut dosyaları makro talimatlar veya kısaca makrolar aracılığıyla yeniden kullanılabilir ve otomatikleştirilebilir.

Bilgisayar korsanları ve diğer tehdit aktörleri, bilgisayar sistemlerini istismar etmek için manuel yöntemlerle sınırlı kalsalardı çok yavaş hareket ederlerdi. Ne yazık ki, kötü amaçlı kodlar saldırılarını otomatikleştirmelerine olanak tanıyor. Hatta bazı kodlar kendi başlarına çoğalabilir, yayılabilir ve hasara neden olabilir. Diğer kod türleri, indirmek veya etkileşimde bulunmak için insan kullanıcılara ihtiyaç duyabilir.

Kötü amaçlı kodun sonuçları genellikle aşağıdakilerden herhangi birine yol açabilir:

• Verilerin bozulması
• Dağıtılmış Hizmet Reddi (DDoS) saldırıları
• Kimlik bilgisi hırsızlığı ve özel bilgi hırsızlığı
• Fidye ve gasp
• Rahatsızlık ve sıkıntı

Kendinizi korumanıza yardımcı olmak için bu tehditlerin nasıl çalıştığına yakından bakalım.

Kötü amaçlı bir kod nasıl çalışır?

Bir bilgisayar sisteminin programlanmış herhangi bir bileşeni kötü niyetli kod tarafından manipüle edilebilir. Bilgisayar ağ altyapısı gibi büyük ölçekli bileşenler ve mobil veya masaüstü uygulamaları gibi daha küçük bileşenler yaygın hedeflerdir. Web siteleri ve çevrimiçi sunucular gibi web hizmetleri de hedef olabilir. Kötü amaçlı kod, çalışmak için bilgisayar kullanan herhangi bir cihaza bulaşabilir, örneğin:

• Geleneksel bilgisayar cihazları - masaüstü bilgisayarlar, dizüstü bilgisayarlar, cep telefonları, tabletler.
• IoT cihazları - akıllı ev cihazları, araç içi bilgi-eğlence sistemleri (IVI).
• Bilgisayar ağ cihazları - modemler, yönlendiriciler, sunucular.

Saldırganlar bilgisayar sistemlerinin güvenilir bölümlerini ihlal etmek için kötü amaçlı komut dosyaları ve programlar kullanırlar. Bu noktadan sonra aşağıdakilerden birini veya daha fazlasını yapmayı hedeflerler:

1. Kullanıcıları kötü amaçlı koda maruz bırakmak, onlara bulaştırmak ve daha fazla yaymak.
2. İhlal edilen sistemlerdeki özel bilgilere erişim sağlamak.
3. İhlal edilmiş bir sistemin kullanımını izlemek.
4. Bir sistemin derinliklerine inmek.

Kötü amaçlı kod birkaç farklı aşamada oluşturulur ve kullanılır. Kötü niyetli komut dosyası kodu, her aşamada bir sonraki olayı tetiklemek için insan etkileşimine veya diğer bilgisayar eylemlerine ihtiyaç duyabilir. Özellikle, bazı kodlar tamamen otonom olarak bile çalışabilir. Çoğu kötü amaçlı kod bu yapıyı takip eder:

1. Güvenlik açıklarını araştırma ve inceleme.
2. Güvenlik açıklarından yararlanmak için kod yazarak programlama.
3. Bilgisayar sistemlerini kötü amaçlı kodlara maruz bırakma.
4. Kodu ilgili bir program aracılığıyla veya kendi başına çalıştırma.

Araştırma ve programlama bir saldırının kurulum aşamasıdır. Bir saldırganın bir sisteme izinsiz giriş yapabilmesi için öncelikle sisteme girecek araçlara sahip olması gerekir. Halihazırda mevcut değilse kodu oluşturmaları gerekecektir, ancak saldırılarını hazırlamak için var olan bir kötü amaçlı kodun kullanılması ya da üzerinde değişiklikler yapılarak kullanılması da mümkündür.

Kötü amaçlı komut dosyası yazma sonucunda kendini etkinleştirebilen ve çeşitli biçimler alabilen otomatik çalıştırılabilir bir uygulama elde edilir. Bazıları JavaScript'teki makroları ve komut dosyalarını, ActiveX denetimlerini, Powershell'in kötüye kullanımını, itilmiş içeriği, eklentileri, komut dosyası dillerini veya web sayfalarını ve e-postayı geliştirmek için tasarlanmış diğer programlama dillerini içerebilir.

Bilgisayar sistemlerinin bunlara maruz kalması USB gibi doğrudan arayüz bağlantı noktaları veya mobil ve Wi-Fi gibi çevrimiçi ağ bağlantıları aracılığıyla gerçekleşebilir. Başarılı bir maruz kalma için yalnızca kötü amaçlı kodun makinenize ulaşması için bir yol yeterlidir.

Yaygın saldırılarda popüler web siteleri ve e-posta spam gibi yüksek temaslı kanallar kullanılırken, daha hedefli çabalarda hedef odaklı kimlik avı gibi sosyal mühendislik yöntemleri kullanılmaktadır. Hatta bazı içeriden öğrenme çabaları, yerel bir son kullanıcı bilgisayarına doğrudan USB sürücü bağlantısı yoluyla sokarak, kurumsal intranet gibi özel bir ağa kötü amaçlı kod yerleştirebilir.

Maruz kalan bir sistem kötü amaçlı kodla uyumlu olduğunda yürütme gerçekleşir. Hedeflenen bir cihaz veya sistem kötü amaçlı koda maruz kaldığında, ortaya çıkan saldırı aşağıdaki yetkisiz girişimlerden herhangi birini içerebilir:

• Verileri değiştirme - izinsiz şifreleme, güvenliği zayıflatma vb.
• Verilerin silinmesi veya bozulması - web sitesi sunucuları vb.
• Veri ele geçirme - hesap kimlik bilgileri, kişisel bilgiler vb.
• Kısıtlı sistemlere erişim - özel ağlar, e-posta hesapları vb.
• Eylemleri yürütme - kendini kopyalama, kötü amaçlı kod yayma, uzaktan cihaz kontrolü vb.

Kötü amaçlı kod nasıl yayılır?

Kötü amaçlı kod, sistemleri kendi başına ihlal etmek, ikincil kötü amaçlı faaliyetleri etkinleştirmek veya kendini çoğaltmak ve yaymak için kullanılabilir. Her durumda, orijinal kod bir cihazdan diğerine taşınmalıdır.

Bu tehditler veri ileten neredeyse tüm iletişim kanallarına yayılabilir. Yayılma vektörleri genellikle şunları içerir:

• Çevrimiçi ağlar - intranetler, P2P dosya paylaşımı, herkese açık internet siteleri vb.
• Sosyal iletişim araçları - e-posta, SMS, push içerikleri, mobil mesajlaşma uygulamaları vb.
• Kablosuz bağlantı - Bluetooth, vb.
• Fiziksel cihaz arabirimleri - USB, vb.

Virüs bulaşmış web sitelerinin ziyaret edilmesi, kötü bir e-posta bağlantısına veya eke tıklanması, kötü amaçlı kodun sisteminize sızması için standart geçiş yoludur. Ancak, bu tehdit meşru kaynakların yanı sıra açıkça kötü niyetli olan kaynaklardan da girebilir. Herkese açık USB şarj istasyonlarından istismar edilen yazılım güncelleme araçlarına kadar her şey bu amaçlar için kötüye kullanılmıştır.

Kötü amaçlı kodun "paketlenmesi" her zaman açık değildir, ancak genel veri bağlantıları ve herhangi bir mesajlaşma hizmeti izlenmesi gereken en önemli yollardır. İndirmeler ve URL bağlantıları saldırganlar tarafından tehlikeli kod yerleştirmek için sıklıkla kullanılır.

Kötü amaçlı kod türleri

Birçok kötü amaçlı kod türü, değerli verilerinize giden giriş noktaları bularak bilgisayarınıza zarar verebilir. Sürekli büyüyen bu listenin en azılı suçlularını şöyle sıralayabiliriz.

Virüsler

Virüsler kendi kendini kopyalayan kötü niyetli kodlardır ve çalıştırmak için makro özellikli programlara bağlanırlar. Bu dosyalar, belgeler ve indirilen diğer dosyalar yoluyla seyahat ederek virüsün cihazınıza sızmasını sağlar. Virüs bir kez çalıştığında, kendi kendine çoğalabilir ve sistem ve bağlı ağlar aracılığıyla yayılabilir.

Solucanlar

Solucanlar da virüsler gibi kendi kendini kopyalayan ve kendi kendine yayılan kodlardır, ancak bunu yapmak için başka bir eylem gerektirmezler. Bir bilgisayar solucanı cihazınıza ulaştığında, bu kötü niyetli tehditler kullanıcı tarafından çalıştırılan bir programdan herhangi bir yardım almadan tamamen kendi başlarına çalışabilir.

Truva atları

Truva atları, kötü amaçlı kod yükleri taşıyan ve kullanıcının çalıştırmak için dosyayı veya programı kullanmasını gerektiren tuzak dosyalardır. Bu tehditler kendi kendilerini çoğaltamaz veya bağımsız olarak yayılamazlar. Ancak, kötü amaçlı yükleri virüs, solucan veya başka bir kod içerebilir.

Siteler arası komut dizisi çalıştırma (XSS)

Siteler arası komut dosyası çalıştırmada, kullanabileceği web uygulamalarına kötü amaçlı komutlar enjekte edilerek kullanıcının web taramasına müdahale edilir. Genellikle web içeriğini değiştirilir gizli bilgileri ele geçirilir veya kullanıcının cihazının kendisine bir bulaşma gerçekleştirilir.

Arka kapı saldırıları

Uygulama arka kapı erişimi, bir siber suçluya güvenliği ihlal edilmiş sisteme uzaktan erişim sağlamak için kodlanabilir. Özel şirket bilgileri gibi hassas verileri açığa çıkarmanın yanı sıra, bir arka kapı bir saldırganın gelişmiş bir kalıcı tehdit (APT) haline gelmesine izin verebilir.

Siber suçlular daha sonra yeni elde ettikleri erişim seviyesi üzerinden yanal olarak hareket edebilir, bir bilgisayarın verilerini silebilir ve hatta casus yazılım yükleyebilir. Bu tehditler yüksek bir seviyeye ulaşabilir: ABD Sayıştayı, ulusal güvenliğe karşı kötü amaçlı kod tehdidi konusunda bile uyarıda bulunmuştur.

Kötü amaçlı kod saldırılarına örnekler

Kötü amaçlı kodlar birçok şekilde ortaya çıkabilir ve geçmişte çok aktif olmuşlardır. Bu saldırıların örnekleri arasında en çok bilinenlerden birkaçı şunlardır:

Emotet Truva atı

İlk olarak 2014 yılında ortaya çıkan Emotet Truva atı, kötü amaçlı yazılım köklerinden evrimleşerek kötü amaçlı kod yüklü e-posta spam'i haline geldi. Saldırganlar, kullanıcıları indirmeye ikna etmek için acil e-posta konu satırları (mesela "Ödeme Gerekli") gibi kimlik avı taktikleri kullanmaktadır.

Emotet'in bir cihaza girdikten sonra virüs dağıtan komut dosyaları çalıştırdığı, botnet alımı için komuta ve kontrol (C&C) kötü amaçlı yazılımları yüklediği ve daha fazlasını yaptığı bilinmektedir. Bu tehdit 2018'de kısa bir ara verdikten sonra geri dönerek bir SMS kötü amaçlı yazılım tehdidi haline geldi.

Stuxnet solucanı

Stuxnet bilgisayar solucanı ve ardılları 2010 yılından bu yana ulusal altyapıyı hedef almaktadır. Belgelenen ilk saldırısı USB flash bellek aracılığıyla İran'ın nükleer tesislerini hedef almış ve kritik ekipmanları tahrip etmiştir. Stuxnet'in kullanımına son verildi, ancak kaynak kodu 2018 yılı boyunca benzer yüksek hedefli saldırılar yaratmak için kullanıldı.

Kötü niyetli kod saldırılarına karşı nasıl korunulur

Çoğu kötü niyetli tehdit için, otomatik güncellemelere, kötü amaçlı yazılım kaldırma özelliklerine ve web tarama güvenliğine sahip antivirüs yazılımı en iyi savunmadır. Ancak zararlı kodların engellenmesi tek başına antivirüs yazılımı ile mümkün olmayabilir.

Antivirüs genellikle virüsleri önler ve kaldırır ve diğer kötü amaçlı yazılım veya zararlı yazılım türleri kötü amaçlı kodun bir alt kategorisidir. Daha geniş kötü amaçlı kod kategorisi, kötü amaçlı yazılım yüklemek için güvenlik açıklarından yararlanabilen web sitesi komut dosyalarını içerir. Tanım gereği, tüm antivirüs korumaları kötü amaçlı kodun neden olduğu belirli enfeksiyonları veya eylemleri tedavi edemez.

Antivirüs proaktif bulaşma önleme ve savunma için hala gerekli olsa da, işte kendinizi korumak için bazı değerli yollar:

• JavaScript ve ilgili kodların izinsiz çalışmasını önlemek için anti-scripting yazılımı yükleyin.
• Bağlantılara ve eklere karşı dikkatli olun. URL bağlantıları veya ekleri içeren herhangi bir mesaj - ister e-posta ister kısa mesaj yoluyla olsun - kötü amaçlı kod için bir vektör olabilir.
• Komut dosyalarının istenmeyen tarayıcı pencerelerinde kötü amaçlı içerik sunmasını önlemek için tarayıcınızın açılır pencere engelleyicisini etkinleştirin.
• Günlük kullanım için yönetici düzeyinde hesaplar kullanmaktan kaçının. Komut dosyalarını ve programları otomatik olarak çalıştırmak için genellikle üst düzey izinler gerekir.
• Yeri doldurulamaz dosya ve belgeleri korumak için veri yedeklemelerinden yararlanın.
• Herkese açık veri bağlantılarını kullanırken dikkatli olun. USB bağlantıları genellikle göz ardı edilir ancak kolayca kötü amaçlı kod barındırabilir. Halka açık Wi-Fi, saldırganların kötü amaçlı kod dağıtmak için kullanabileceği yaygın bir tehdittir.
• Yetkisiz bağlantıları engellemek için düzgün yapılandırılmış bir güvenlik duvarı kullanın. Kötü amaçlı kod makinenize sızar ve kötü amaçlı yazılım yükleri istemek için dışarıya bağlanırsa, bir güvenlik duvarı bunu durdurmaya yardımcı olabilir. Güvenlik duvarınızın varsayılan olarak engelleyecek ve beklenen ve güvenilen bağlantıları beyaz listeye alacak şekilde yapılandırıldığından emin olun.

İlgili Bağlantılar:

• Botnet Nedir?
• Açıklamalı Grafik: Saldırılara Karşı Savunmasız Yazılım
• Mobil Kötü Amaçlı Yazılım Tehditleri
• Bilgisayar Virüsleri ve Ağ Solucanları