Kötü Amaçlı Yazılım Türleri & Kötü Amaçlı Yazılım Örnekleri

Kötü amaçlı yazılım ne demektir?

İngilizcede ‘malicious software’ (kötücül yazılım) tabirinden ortaya çıkmış bir isimdir. Kötü amaçlı yazılımlar bilgisayarlara ve bilgisayar sistemlerine zarar verme amacıyla tasarlanmış müdahaleci yazılımlardır. Buna karşın, kasıtsız bir şekilde hasar veren yazılımlar yazılım hatası olarak tanımlanırlar.

İnsanlar bazen virüs ile kötü amaçlı yazılım arasındaki farkı sorarlar. Fark şudur ki kötü amaçlı yazılım, virüsler, casus yazılımlar, reklam yazılımları, fidye yazılımları ve diğer her tür zararlı yazılımın da dahil olduğu çevrimiçi tehditleri kapsayan genel bir tabirdir. Bir bilgisayar virüsü, yalnızca bir kötü amaçlı yazılım çeşididir.

Kötü amaçlı yazılımlar ağlara kimlik avı, zararlı eklentiler, zararlı indirmeler, sosyal mühendislik veya flaş bellekler aracılığıyla girebilirler. Bu genel bakışta en yaygın kötü amaçlı yazılım türlerine bakacağız.

Kötü amaçlı yazılım türleri

Kendinizi saldırıya uğramaktan korumak için, kötü amaçlı yazılım saldırı türlerini anlamanız önemlidir. Bazı kötü amaçlı yazılım türleri (ismen) gayet iyi bilinse de bazıları pek bilinmez:

Reklam yazılımları

Reklam yazılımları, 'reklam-destekli yazılım' tabirinin kısaltmasıdır ve bilgisayar ekranı ile mobil cihazda istenmeyen hatta zaman zaman kötü amaçlı reklamlar gösteren, arama sonuçlarını reklamlı sitelere yönelten ve kullanıcının izni olmadan kullanıcı verilerini toplayıp satan yazılımlardır. Tüm reklam yazılımları kötü amaçlı yazılım değildir. Bazılarını kullanmak güvenli ve yasaldır.

Kullanıcılar açılır pencere kontrolleri, internet tarayıcılarının ayarları veya reklam engelleyiciler aracılığıyla reklam yazılımı sıklığını veya ne tür indirmeler yaptıklarını kontrol edebilirler.

Reklam yazılımı örnekleri:

Fireball – İsrailli bir yazılım şirketi 2017 yılında dünya çapında 250 milyon bilgisayarın ve şirket ağlarının beşte birinin Fireball ile enfekte olduğunu keşfedince büyük olay oldu. Fireball bilgisayarınıza bulaşınca tarayıcınızı ele geçirir. Ana sayfanızı sahte bir arama motoru olan Trotus ile değiştirir ve ziyaret ettiğiniz her siteye göze batan reklamlar yerleştirir. Ayrıca tarayıcı ayarlarınızda değişiklik yapmanıza da izin vermez.
Appearch – Appearch bir tarayıcı korsanı olarak hareket eden sık karşılaşılan bir reklam yazılımıdır. Çoğunlukla ücretsiz yazılımlarla paket halinde gelip tarayıcıya o kadar çok reklam yerleştirir ki Web'de gezinmek oldukça zorlaşır. Bir web sitesine girmek istediğinizde hedefiniz yerine Appearch.info'ya yönlendirilirsiniz. Bir Web sayfasını açmayı başarırsanız Apperach rastgele metin gruplarını bağlantı haline getirir ve metni seçtiğinizde bir açılır pencere sizi yazılım güncellemesi indirmeye yönlendirir.

Casus yazılımlar

Casus yazılımlar cihazınızda saklanıp etkinliklerinizi gözleyen ve finansal veriler, hesap bilgileri, girişler ve benzeri hassas bilgileri çalan kötü amaçlı yazılımlardır. Casus yazılımlar, yazılım açıklarını kullanarak veya gerçek yazılımlarla paket halinde ya da Truva Atları ile yayılırlar.

Casus yazılım örnekleri:

CoolWebSearch – Bu program İnternet Explorer'ın güvenlik açıklarından faydalanarak tarayıcıyı ele geçirir, ayarları değiştirir ve Web'de gezinme verilerini yaratıcısına iletir.
Gator – Genellikle Kazaa gibi dosya paylaşım programlarıyla paket olarak gelen bu program, kurbanın Web'de gezinme alışkanlıklarını tarayarak bu bilgiyi, ona belirli reklamları sunmak için kullanır.

Fidye yazılımları ve şifreli kötü amaçlı yazılım

Fidye yazılımları, fidye ödenene kadar kullanıcıları kendi sistemlerine sokmamak veya belirli verilere erişimi kısıtlamak üzere tasarlanmış kötü amaçlı yazılımlardır. Şifreli kötü amaçlı yazılımlar ise kullanıcı dosyalarını şifreleyip belirli bir tarihe kadar ve genellikle Bitcoin gibi dijital bir para birimi ile ödeme yapılmasını talep eden fidye yazılımlardır. Fidye yazılımları uzun yıllardır her alanda kuruluşlar için önemli bir tehdit olmayı sürdürmektedir. Gün geçtikçe daha fazla firmanın dijital dönüşüm yaşamasıyla bir fidye yazılımının hedefi olma olasılığı da artmaktadır.

Fidye yazılımı örnekleri:

CryptoLocker 2013 ve 2014 yıllarında yayılmış, siber suçluların sistemdeki dosyalara erişim elde edip onları şifrelemek için kullandıkları bir kötü amaçlı yazılımdır. Siber suçlular çalışanları kandırıp bilgisayarlarına fidye yazılımını indirmek ve ağlarını enfekte etmek için sosyal mühendislik taktiklerini kullanmışlardı. CryptoLocker bir kez indirildikten sonra belirlenen tarihe kadar nakit veya Bitcoin olarak bir ödeme yapılana dek bir fidye mesajı yayınlardı. CryptoLocker fidye yazılımı kaldırılmış olsa da, operatörlerinin tehlikenin farkında olmayan kuruluşlardan yaklaşık üç milyon dolar gasp ettiğine inanılıyor.
Phobos malware – 2019'da ortaya çıkmış bir tür fidye yazılımıdır. Bu fidye yazılımı türü, önceden Dharma (diğer adıyla CrySis) olarak bilinen fidye yazılımı ailesinden doğmuştur.

Truva Atları

Bir Truva Atı bilgisayarınıza kötü amaçlı yazılım yükletmek için sizi gerçek bir yazılım kılığına girerek kandırır. Güvenilir göründüğü için kullanıcılar çekinmeden indirir ve cihazlarına istemeden kötü amaçlı yazılım bulaştırmış olurlar. Truva atlarının kendileri birer kapıdır. Solucanların aksine çalışmak için bir ana bilgisayar gerekir. Truva atı bir cihaza yüklendiğinde bilgisayar korsanları onu kullanarak cihazınızdaki verileri silebilir, değiştirebilir, kopyalayabilir, cihazınızı bir botnet'in parçası olarak kullanabilir, cihazınızda casusluk yapabilir ya da ağınıza erişim sağlayabilirler.

Truva atı örnekleri:

Qbot malware, 'Qakbot' veya 'Pinkslipbot' olarak da bilinir. 2007 yılından beri aktif olan ve kullanıcı verileri ile bankacılık bilgilerini çalmaya odaklı bir bankacılık Truva Atı'dır. Kötü amaçlı yazılım, yeni yayılma mekanizmaları, komuta ve kontrol teknikleri ve anti-analiz özellikleri içerecek şekilde evrilmiştir.
TrickBot malware, ilk olarak 2016'da tanımlanan, sofistike siber suç aktörleri tarafından geliştirilip kullanılan bir Truva Atıdır. İlk olarak finansal verileri çalma amacıyla bir bankacılık Truva Atı olarak tasarlanan TrickBot, operatörlere çok çeşitli yasa dışı siber eylemi gerçekleştirebilecekleri araçlar sunan modüler, çok katmanlı bir yazılıma evrilmiştir.

Solucanlar

En sık karşılaşılan kötü amaçlı yazılım çeşitlerinden biri olan solucanlar, işletim sisteminin güvenlik açıklarından faydalanarak bilgisayar ağlarına yayılırlar. Solucan, herhangi birinin bir eylemde bulunmasına gerek olmadan kendi kendini kopyalayarak başka bilgisayarlara bulaşan bir program türüdür. Hızla yayılabildiklerinden sıklıkla bir yükü (sisteme zarar vermek için yaratılmış bir kod parçasını) işletmek için kullanılırlar. Yükler ana sistemlerdeki dosyaları silebilir, fidye yazılımı saldırısında verileri şifreleyebilir, bilgi çalabilir, dosya silebilir ve botnet yaratabilirler.

Solucan örneği:

SQL Slammer geleneksel yayılma yöntemlerini kullanmayan iyi bilinen bir bilgisayar solucanıydı. Klasik yöntemler yerine rastgele IP adresleri yaratıp kendini onlara göndererek antivirüs yazılımı ile korunmayanları bulmaya çalışırdı. 2003'te piyasaya çıkmasından kısa bir süre sonra bulaştığı 75.000'in üzerinde bilgisayar birçok büyük web sitesine kasıtsız ve habersiz bir şekilde DDoS saldırıları gerçekleştirdi. Gerekli güvenlik yamaları yıllardır bulunmasına rağmen SQL Slammer 2016 ve 2017'de bir kez daha su yüzüne çıkmıştı.

Virüsler

Virüsler, kendilerini bir uygulamaya ekleyen ve uygulama her çalıştığında etkinleşen kod parçalarıdır. Bir ağa girdiklerinde hassas verileri çalabilir, DDoS saldırıları gerçekleştirebilir veya fidye yazılımı saldırılarında bulunabilirler. Genellikle enfekte web siteleri, dosya paylaşımı veya e-posta eklenti indirmeleri aracılığıyla bulaşan virüsler, bulaştığı ana dosya ya da program etkinleşene kadar uykuda kalırlar. Bu gerçekleşince virüs kendini kopyalayarak tüm sistemlerinize yayılabilir.

Virüs örneği:

Stuxnet – Stuxnet 2010 yılında ortaya çıktı ve ABD ve İsrail hükümetleri tarafından İran'ın nükleer programını sekteye uğratmak için geliştirildiği kanısı yaygındı. Bir USB flash sürücü ile yayılıyordu ve Siemens endüstriyel kontrol sistemlerini hedefleyerek santrifüjlerin bozulmasına ve rekor düzeyde kendi kendilerine zarar vermesine yol açıyordu. Stuxnet'in 20.000'in üzerinde bilgisayarı etkilediği ve İran'ın nükleer santrifüjlerinin beşte birini mahvettiği (ve programı yıllarca geriye götürdüğü) düşünülüyor.

Tuş kaydediciler

Tuş kaydedici kullanıcı etkinliklerini gözleyen bir casus yazılım türüdür. Tuş kaydediciler, çocuklarının çevrimiçi hareketlerini takip etmek isteyen ebeveynler ya da çalışanların etkinliklerini takip etmek isteyen kuruluşlar gibi meşru amaçlarla da kullanılabilir. Fakat kötü niyetlerle yüklendiğinde parola, bankacılık ya da diğer hassas bilgileri çalmak için kullanılabilir. Tuş kaydediciler sistemlere kimlik avı, sosyal mühendislik veya kötü amaçlı indirme yoluyla sızabilirler.

Tuş kaydedici örneği:

2017'de Iowa Üniversitesi'nde bir öğrenci, notları değiştirme amacıyla personel bilgisayarlarına tuş kaydedici yüklediği için tutuklandı. Öğrenci suçlu bulunarak dört ay hapis cezasına çarptırıldı.

Botlar ve botnetler

Bot, bir bilgisayar korsanı tarafından uzaktan kontrol edilebilmek için kötü amaçlı yazılım bulaştırılmış bir bilgisayardır. Zaman zaman zombi bilgisayar olarak da anılan bot, daha fazla saldırı gerçekleştirmek ya da botnet adında, botlardan oluşan bir ağın parçası yapılmak için kullanılabilir. Botnetler fark edilmeden yayılırsa milyonlarca cihazı içerecek kadar genişleyebilirler. Botnetler, bilgisayar korsanlarına DDoS saldırıları gerçekleştirme, istenmeyen mesaj ve kimlik avı mesajları gönderme ve çeşitli kötü amaçlı yazılım türlerini yayma da dahil olmak üzere çok çeşitli, kötücül eylemler gerçekleştirmede yardımcı olurlar.

Botnet örnekleri:

Andromeda malware – Andromeda botnet, 80 farklı kötü amaçlı yazılım ailesi ile ilişkilendirilmiştir. Bir noktada o kadar büyümüştü ki kendini sosyal medya, anlık mesajlaşma, istenmeyen e-postalar, istismar kitleri vb. ile ayda bir milyon yeni makineye bulaşmaktaydı. Operasyon FBI, Europol Avrupa Siber Suçlar Merkezi ve diğerleri tarafından 2017'de sonlandırıldı ancak birçok bilgisayar enfekte olmaya devam etti.
Mirai – 2016'da devasa bir DDoS saldırısı, ABD Doğu Sahili'nin çoğunu internet erişimsiz bıraktı. Yetkililerin ilk başta düşman bir devletin işi olduğundan korktuğu saldırı, Mirai botneti sebebiyle gerçeklemişti. Mirai, Nesnelerin İnterneti (IoT) cihazlarını otomatik olarak bulup onları bir botnete dahil eden bir tür kötü amaçlı yazılımdır. Bu IoT ordusu, bir hedefin sunucularını kötü amaçlı bir trafikle kitlemek için anlamsız bir istek seli gönderen DDoS saldırılarında kullanılabilir. Mirai halen sıkıntılara sebep olmayı sürdürmektedir.

PUP kötü amaçlı yazılımlar

‘Potansiyel olarak istenmeyen programlar’ anlamındaki PUP, indirdiğiniz yazılımla alakasız reklamlar, araç çubukları ve açılır pencereler içerebilen programlardır. Açıkçası PUP'lar her zaman kötü amaçlı yazılım sayılmazlar, PUP geliştiricileri programlarının kötü amaçlı yazılımların aksine kullanıcıların rızaları dahilinde indirildiklerinin altını çizerler. Fakat çoğu kişi, PUP'ları indirmeyi kabul ettiklerinin farkında bile olmadan indirir.

PUP'lar çoğunlukla başka meşru programlarla paket halinde gelirler. Çoğu kişi yeni bir program indirip kurulum sırasında ayrıntıları okumadığından PUP yükler ve böylece elle tutulur bir amacı olmayan ilave programlara dahil olduklarını fark etmezler.

PUP kötü amaçlı yazılım örneği:

Mindspark malware – Bu, kullanıcılar indirdiklerini fark etmeden makinelerine giren, çok kolay kurulan bir PUP'dı. Mindspark, kullanıcının haberi olmadan cihazın ayarlarını değiştirip çeşitli eylemlere sebep olurdu. Kaldırması da inanılmaz zordu.

Hibritler

Bugün çoğu kötü amaçlı yazılım, sık sık Truva Atı ve solucanlar ve hatta zaman zaman bir virüs içeren farklı türlerin bir kombinasyonu şeklindedir. Kötü amaçlı yazılım genelde son kullanıcıya bir Truva Atı gibi görünür ancak çalıştırılınca tıpkı bir solucan gibi ağdaki diğer kurbanlara saldırır.

Hibrit kötü amaçlı yazılım örneği:

2001'de, kendine 'Lion' adını veren bir kötü amaçlı yazılım geliştirici bir hibrit kötü amaçlı yazılım (bir solucan/korsan program kombinasyonu) yayınladı. Korsan programlar bilgisayar korsanlarının işletim sistemi dosyalarını manipüle etmelerine olanak sağlarken solucanlar da kod parçalarını hızla yaymak için çok etkili taşıyıcılardır. Bu kötü amaçlı kombinasyon büyük yıkıma yol açtı: 10.000'in üzerinde Linux sisteme hasar verdi. Solucan/korsan program kombinasyonu özel olarak Linux sistemlerin güvenlik açıklarından faydalanmak için hazırlandı.

Dosyasız kötü amaçlı yazılımlar

Dosyasız kötü amaçlı yazılımlar, bilgisayarlara bulaşmak için meşru programları kullanan bir kötü amaçlı yazılım türüdür. Dosyalara bağlı olmadıkları ve arkalarında ayak izi bırakmadıkları için saptanıp kaldırılmaları oldukça uğraştırıcıdır. Dosyasız kötü amaçlı yazılımlar, 2017'de ana akım saldırı tipi olarak yükselmiş olsalar da bu saldırı türlerinin birçoğu zaten uzun süredir ortalardaydı.

Bir dosyada depolanmadan doğruca bir makineye kurulan dosyasız enfeksiyonlar direkt hafızaya gider ve kötü amaçlı içerik sabit diske hiç temas bile etmez. Siber suçlular, etkili bir saldırı alternatifi olarak dosyasız kötü amaçlı yazılımlara yönelmekte, düşük ayak izi ve taranacak dosya olmaması sebebiyle geleneksel antivirüslerin saptamasını çok zorlaştırmaktadırlar.

Dosyasız kötü amaçlı yazılım örnekleri:

Frodo, Number of the Beast ve The Dark Avenger bu tarz kötü amaçlı yazılımların erken dönem örnekleriydi.

Mantık bombaları

Mantık bombaları, yalnızca tetiklenince (örneğin belirli bir tarih ve saatte ya da bir hesaba 20. kez giriş yapıldığında gibi) harekete geçen kötü amaçlı yazılım türüdür. Virüsler ve solucanlar yüklerini (örn. kötü amaçlı kodları) önceden tanımlanmış bir zamanda ya da bir koşul yerine geldiğinde bırakmak için sıklıkla mantık bombaları içerirler. Mantık bombalarının sebep olduğu hasar bir verinin baytlarını değiştirmekten sabit diskleri okunamaz hale getirmeye kadar uzanabilir.

Mantık bombası örneği:

2016'da bir programcı Siemens şirketinin bir şubesinde hesap tablolarının birkaç yılda bir hata vermesine sebep oldu ve böylece problemi çözmesi için onu işe aldılar. Bu olayda bir tesadüf sebebiyle kötü amaçlı kod açığa çıkana kadar kimse hiçbir şeyden şüphelenmedi.

Kötü amaçlı yazılımlar nasıl yayılır?

Kötü amaçlı yazılımların en sık yayılma yöntemleri şunlardır:

E-posta: E-postanız ele geçirildiyse kötü amaçlı yazılımlar bilgisayarınızı, enfekte ekler veya kötü amaçlı sitelere açılan bağlantılar içeren e-postalar yollamak için kullanabilir. E-postayı alan kişi eki açınca ya da bağlantıya tıklayınca kötü amaçlı yazılım onların da bilgisayarına bulaşır ve döngü tekrarlanır.
Fiziksel medya: Bilgisayar korsanları kötü amaçlı yazılımları flaş belleklere yükleyip, habersiz kurbanların bunları bilgisayarlarına takmalarını bekleyebilir. Bu teknik genellikle kurumsal casuslukta kullanılır.
Açılır pencere uyarıları: Sizi sahte güvenlik uygulamaları indirmeye yönelten sahte güvenlik uyarıları bu kategoriye girer. Bazı durumlarda bu sahte güvenlik uygulamaları kötü amaçlı yazılımlar içeriyor olabilir.
Güvenlik açıkları: Yazılımdaki bir güvenlik açığı, kötü amaçlı yazılımın bilgisayara, donanıma veya ağa yetkisiz erişim elde etmesine olanak sağlayabilir.
Arka kapılar: Kasıtlı veya kasıtsız olarak bırakılmış yazılımdaki, donanımdaki, ağdaki veya sistem güvenliğindeki açıklardır.
Gezinti sırasındaki indirmeler: Son kullanıcının bilgisi dahilinde olan veya olmayan, kasıtsız yazılım indirmeleri.
Ayrıcalık yükseltilmesi: Saldırganın bir bilgisayar veya ağa yükseltilmiş erişim elde edip bunu bir saldırı düzenlemek için kullanmasıdır.
Homojenlik: Tüm sistemler aynı işletim sistemiyle çalışıyor ve aynı ağa bağlı ise başarılı bir solucanın diğer bilgisayarlara yayılma olasılığı artar.
Karışık tehditler: Farklı kötü amaçlı yazılımların özelliklerini birleştiren kötü amaçlı yazılım paketleri, farklı güvenlik açıklarından faydalandıkları için bunları saptayıp durdurmak daha da zordur.

Kötü amaçlı yazılım bulaşmasının belirtileri

Aşağıdakilerden herhangi birini saptarsanız cihazınızda kötü amaçlı yazılım olabilir:

Bilgisayarın yavaşlaması, çökmesi veya donması
Meşhur ‘mavi ekran’
Otomatik olarak açılıp kapanan veya kendini değiştiren programlar
Depolama alanı yetersizliği
Açılır pencereler, araç çubukları ve diğer istenmeyen programlarda artış
Sizin hazırlamadığınız e-posta ve mesajların gönderilmesi

Kötü amaçlı yazılım tehditlerinden korunmak için antivirüs kullanın:

Kendinizi kötü amaçlı yazılım saldırıları ve potansiyel istenmeyen programlardan korumanın en iyi yolu kapsamlı bir antivirüs kullanmaktır. Kaspersky Total Security, hackerlara, virüslere ve kötü amaçlı yazılımlara karşı 7/24 koruma sağlar ve verilerinizi ve cihazlarınızı güvende tutmaya yardımcı olur.

İlgili makaleler:

Farklı kötü amaçlı yazılım türleri nelerdir?

Kaspersky

Kötü amaçlı yazılımlar zarar verme amaçlı tasarlanmış yazılımlardır. Virüs ile kötü amaçlı yazılım arasındaki farklar, kötü amaçlı yazılım türleri ve kötü amaçlı yazılım örneklerini öğrenin.