Kötü amaçlı kod, sistem açıkları oluşturmak veya bunlardan
yararlanmak için tasarlanmış zararlı bilgisayar programlama komut
dosyalarıdır. Bu kod, bir tehdit aktörü tarafından bilgisayar
sistemlerinde istenmeyen değişikliklere, hasara veya sürekli erişime
neden olacak şekilde tasarlanmıştır. Kötü amaçlı kodlar arka kapılara,
güvenlik ihlallerine, bilgi ve veri hırsızlığına ve dosyalara ve
bilgisayar sistemlerinde başka potansiyel zararlara neden olabilir.
Kötü amaçlı kod, bilgisayar sistemlerini tehlikeli davranışlara yönlendirmek için saldırgan tarafların "konuştuğu" dildir. Bilgisayar programlarının, dosyalarının ve altyapısının mevcut programlamasına değişiklikler veya eklentiler yazılmak suretiyle oluşturulur.
Bu tehdit, siber güvenlik saldırılarının büyük çoğunluğunu gerçekleştirmek için kullanılan temel araçtır. Hackerlar bilgisayarları programlamak için kullanılan dillere dayanan zayıflıkları araştırır ve bulurlar. Daha sonra bu dillerdeki bu güvenlik açıklarını kötüye kullanmak için komut dosyaları veya komut listeleri olarak bilinen "ifadeler" oluştururlar. Bu komut dosyaları makro talimatlar veya kısaca makrolar aracılığıyla yeniden kullanılabilir ve otomatikleştirilebilir.
Bilgisayar korsanları ve diğer tehdit aktörleri, bilgisayar sistemlerini istismar etmek için manuel yöntemlerle sınırlı kalsalardı çok yavaş hareket ederlerdi. Ne yazık ki, kötü amaçlı kodlar saldırılarını otomatikleştirmelerine olanak tanıyor. Hatta bazı kodlar kendi başlarına çoğalabilir, yayılabilir ve hasara neden olabilir. Diğer kod türleri, indirmek veya etkileşimde bulunmak için insan kullanıcılara ihtiyaç duyabilir.
Kötü amaçlı kodun sonuçları genellikle aşağıdakilerden herhangi birine yol açabilir:
Kendinizi korumanıza yardımcı olmak için bu tehditlerin nasıl çalıştığına yakından bakalım.
Bir bilgisayar sisteminin programlanmış herhangi bir bileşeni kötü niyetli kod tarafından manipüle edilebilir. Bilgisayar ağ altyapısı gibi büyük ölçekli bileşenler ve mobil veya masaüstü uygulamaları gibi daha küçük bileşenler yaygın hedeflerdir. Web siteleri ve çevrimiçi sunucular gibi web hizmetleri de hedef olabilir. Kötü amaçlı kod, çalışmak için bilgisayar kullanan herhangi bir cihaza bulaşabilir, örneğin:
Saldırganlar bilgisayar sistemlerinin güvenilir bölümlerini ihlal etmek için kötü amaçlı komut dosyaları ve programlar kullanırlar. Bu noktadan sonra aşağıdakilerden birini veya daha fazlasını yapmayı hedeflerler:
Kötü amaçlı kod birkaç farklı aşamada oluşturulur ve kullanılır. Kötü niyetli komut dosyası kodu, her aşamada bir sonraki olayı tetiklemek için insan etkileşimine veya diğer bilgisayar eylemlerine ihtiyaç duyabilir. Özellikle, bazı kodlar tamamen otonom olarak bile çalışabilir. Çoğu kötü amaçlı kod bu yapıyı takip eder:
Araştırma ve programlama bir saldırının kurulum aşamasıdır. Bir saldırganın bir sisteme izinsiz giriş yapabilmesi için öncelikle sisteme girecek araçlara sahip olması gerekir. Halihazırda mevcut değilse kodu oluşturmaları gerekecektir, ancak saldırılarını hazırlamak için var olan bir kötü amaçlı kodun kullanılması ya da üzerinde değişiklikler yapılarak kullanılması da mümkündür.
Kötü amaçlı komut dosyası yazma sonucunda kendini etkinleştirebilen ve çeşitli biçimler alabilen otomatik çalıştırılabilir bir uygulama elde edilir. Bazıları JavaScript'teki makroları ve komut dosyalarını, ActiveX denetimlerini, Powershell'in kötüye kullanımını, itilmiş içeriği, eklentileri, komut dosyası dillerini veya web sayfalarını ve e-postayı geliştirmek için tasarlanmış diğer programlama dillerini içerebilir.
Bilgisayar sistemlerinin bunlara maruz kalması USB gibi doğrudan arayüz bağlantı noktaları veya mobil ve Wi-Fi gibi çevrimiçi ağ bağlantıları aracılığıyla gerçekleşebilir. Başarılı bir maruz kalma için yalnızca kötü amaçlı kodun makinenize ulaşması için bir yol yeterlidir.
Yaygın saldırılarda popüler web siteleri ve e-posta spam gibi yüksek temaslı kanallar kullanılırken, daha hedefli çabalarda hedef odaklı kimlik avı gibi sosyal mühendislik yöntemleri kullanılmaktadır. Hatta bazı içeriden öğrenme çabaları, yerel bir son kullanıcı bilgisayarına doğrudan USB sürücü bağlantısı yoluyla sokarak, kurumsal intranet gibi özel bir ağa kötü amaçlı kod yerleştirebilir.
Maruz kalan bir sistem kötü amaçlı kodla uyumlu olduğunda yürütme gerçekleşir. Hedeflenen bir cihaz veya sistem kötü amaçlı koda maruz kaldığında, ortaya çıkan saldırı aşağıdaki yetkisiz girişimlerden herhangi birini içerebilir:
Kötü amaçlı kod, sistemleri kendi başına ihlal etmek, ikincil kötü amaçlı faaliyetleri etkinleştirmek veya kendini çoğaltmak ve yaymak için kullanılabilir. Her durumda, orijinal kod bir cihazdan diğerine taşınmalıdır.
Bu tehditler veri ileten neredeyse tüm iletişim kanallarına yayılabilir. Yayılma vektörleri genellikle şunları içerir:
Virüs bulaşmış web sitelerinin ziyaret edilmesi, kötü bir e-posta bağlantısına veya eke tıklanması, kötü amaçlı kodun sisteminize sızması için standart geçiş yoludur. Ancak, bu tehdit meşru kaynakların yanı sıra açıkça kötü niyetli olan kaynaklardan da girebilir. Herkese açık USB şarj istasyonlarından istismar edilen yazılım güncelleme araçlarına kadar her şey bu amaçlar için kötüye kullanılmıştır.
Kötü amaçlı kodun "paketlenmesi" her zaman açık değildir, ancak genel veri bağlantıları ve herhangi bir mesajlaşma hizmeti izlenmesi gereken en önemli yollardır. İndirmeler ve URL bağlantıları saldırganlar tarafından tehlikeli kod yerleştirmek için sıklıkla kullanılır.
Birçok kötü amaçlı kod türü, değerli verilerinize giden giriş noktaları bularak bilgisayarınıza zarar verebilir. Sürekli büyüyen bu listenin en azılı suçlularını şöyle sıralayabiliriz.
Virüsler kendi kendini kopyalayan kötü niyetli kodlardır ve çalıştırmak için makro özellikli programlara bağlanırlar. Bu dosyalar, belgeler ve indirilen diğer dosyalar yoluyla seyahat ederek virüsün cihazınıza sızmasını sağlar. Virüs bir kez çalıştığında, kendi kendine çoğalabilir ve sistem ve bağlı ağlar aracılığıyla yayılabilir.
Solucanlar da virüsler gibi kendi kendini kopyalayan ve kendi kendine yayılan kodlardır, ancak bunu yapmak için başka bir eylem gerektirmezler. Bir bilgisayar solucanı cihazınıza ulaştığında, bu kötü niyetli tehditler kullanıcı tarafından çalıştırılan bir programdan herhangi bir yardım almadan tamamen kendi başlarına çalışabilir.
Truva atları, kötü amaçlı kod yükleri taşıyan ve kullanıcının çalıştırmak için dosyayı veya programı kullanmasını gerektiren tuzak dosyalardır. Bu tehditler kendi kendilerini çoğaltamaz veya bağımsız olarak yayılamazlar. Ancak, kötü amaçlı yükleri virüs, solucan veya başka bir kod içerebilir.
Siteler arası komut dosyası çalıştırmada, kullanabileceği web uygulamalarına kötü amaçlı komutlar enjekte edilerek kullanıcının web taramasına müdahale edilir. Genellikle web içeriğini değiştirilir gizli bilgileri ele geçirilir veya kullanıcının cihazının kendisine bir bulaşma gerçekleştirilir.
Uygulama arka kapı erişimi, bir siber suçluya güvenliği ihlal edilmiş sisteme uzaktan erişim sağlamak için kodlanabilir. Özel şirket bilgileri gibi hassas verileri açığa çıkarmanın yanı sıra, bir arka kapı bir saldırganın gelişmiş bir kalıcı tehdit (APT) haline gelmesine izin verebilir.
Siber suçlular daha sonra yeni elde ettikleri erişim seviyesi üzerinden yanal olarak hareket edebilir, bir bilgisayarın verilerini silebilir ve hatta casus yazılım yükleyebilir. Bu tehditler yüksek bir seviyeye ulaşabilir: ABD Sayıştayı, ulusal güvenliğe karşı kötü amaçlı kod tehdidi konusunda bile uyarıda bulunmuştur.
Kötü amaçlı kodlar birçok şekilde ortaya çıkabilir ve geçmişte çok aktif olmuşlardır. Bu saldırıların örnekleri arasında en çok bilinenlerden birkaçı şunlardır:
İlk olarak 2014 yılında ortaya çıkan Emotet Truva atı, kötü amaçlı yazılım köklerinden evrimleşerek kötü amaçlı kod yüklü e-posta spam'i haline geldi. Saldırganlar, kullanıcıları indirmeye ikna etmek için acil e-posta konu satırları (mesela "Ödeme Gerekli") gibi kimlik avı taktikleri kullanmaktadır.
Emotet'in bir cihaza girdikten sonra virüs dağıtan komut dosyaları çalıştırdığı, botnet alımı için komuta ve kontrol (C&C) kötü amaçlı yazılımları yüklediği ve daha fazlasını yaptığı bilinmektedir. Bu tehdit 2018'de kısa bir ara verdikten sonra geri dönerek bir SMS kötü amaçlı yazılım tehdidi haline geldi.
Stuxnet bilgisayar solucanı ve ardılları 2010 yılından bu yana ulusal altyapıyı hedef almaktadır. Belgelenen ilk saldırısı USB flash bellek aracılığıyla İran'ın nükleer tesislerini hedef almış ve kritik ekipmanları tahrip etmiştir. Stuxnet'in kullanımına son verildi, ancak kaynak kodu 2018 yılı boyunca benzer yüksek hedefli saldırılar yaratmak için kullanıldı.
Çoğu kötü niyetli tehdit için, otomatik güncellemelere, kötü amaçlı yazılım kaldırma özelliklerine ve web tarama güvenliğine sahip antivirüs yazılımı en iyi savunmadır. Ancak zararlı kodların engellenmesi tek başına antivirüs yazılımı ile mümkün olmayabilir.
Antivirüs genellikle virüsleri önler ve kaldırır ve diğer kötü amaçlı yazılım veya zararlı yazılım türleri kötü amaçlı kodun bir alt kategorisidir. Daha geniş kötü amaçlı kod kategorisi, kötü amaçlı yazılım yüklemek için güvenlik açıklarından yararlanabilen web sitesi komut dosyalarını içerir. Tanım gereği, tüm antivirüs korumaları kötü amaçlı kodun neden olduğu belirli enfeksiyonları veya eylemleri tedavi edemez.
Antivirüs proaktif bulaşma önleme ve savunma için hala gerekli olsa da, işte kendinizi korumak için bazı değerli yollar:
İlgili Bağlantılar: