Metamorfik / Polimorfik Zararlı Yazılımlar

Bugünkü blog yazımda Metamorfik ve polimorfik kötü amaçlı yazılımların ne olduğunu, aralarındaki farkların neler olduğunu ve bu zararlı yazılımlar için ne gibi güvenlik önlemleri alabiliriz bunlardan bahsetmek istiyorum. Metamorfik ve polimorfik kötü amaçlı yazılımlar, kodlarını yaydıkça değiştirme özelliğine sahip kötü amaçlı yazılım programı kategorisidir. Metamorfik kötü amaçlı yazılım her yinelemeyle yeniden yazılır, böylece kodun sonraki sürümleri bir öncekinden farklıdır. Kod değişiklikleri sayesinde, imza tabanlı virüsten koruma yazılımlarının farklı yinelemeler karşısında aynı kötü amaçlı program olduğunu algılamasını zorlaştırır. Koddaki kalıcı değişikliklere rağmen, metamorfik kötü amaçlı yazılımın her yinelemesi aynı şekilde çalışmaktadır. Kötü amaçlı yazılım bir bilgisayarda ne kadar uzun süre kalırsa, ürettiği iterasyon sayısı o kadar fazla olur ve iterasyonlar o derece karmaşık olur; bu sayede virüsten koruma uygulamalarının algılamasını, karantinaya almasını ve dezenfekte edilmesini zorlaştırır.
Polimorfik kötü amaçlı yazılım da tespit edilebilmesini önlemek için kod değişiklikleri yapar. İki kısmı vardır, ancak bir kısmı her bir yineleme ile aynı kalır ve bu durum kötü amaçlı yazılımın tanımlanmasını biraz kolaylaştırır. Polimorfik kötü amaçlı yazılım, algılanmasını zorlaştırmak için tanımlanabileceği özelliklerini sürekli olarak değiştiren kötü amaçlı yazılım türüdür. Yaygın olarak kullanılan kötü amaçlı yazılım biçimleri virüs, solucan, bot, truva atı veya keylogger gibi polimorfik olabilir. Polimorfik teknikler, kötü amaçlı yazılımın birçok algılama tekniğiyle tanınmaz hale gelmesini sağlamak için dosya adları ve türleri/şifreleme anahtarları gibi tanımlanabilen özellikleri sık sık içermektedir.
Polimorfizm, virüsten koruma yazılımları gibi güvenlik çözümleri tarafından kullanılan patern algılamasından kurtulmak için kullanılır. Polimorfik kötü amaçlı yazılımın belirli özellikleri değişse de, işlevsel amacı hep aynı kalır. Örneğin, bir polimorfik virüs, imzasının saptanmasını önlemek için değişse bile cihazlara yayılmaya ve enfekte etmeye devam edecektir. Yeni bir imza oluşturmak için özellikleri değiştirecek ve imza tabanlı algılamaya sahip antivirüs çözümleri dosyayı kötü amaçlı olarak algılayamayacaktır. Yeni imza tanımlanmış ve virüsten koruma çözümlerinin imza veritabanına eklenmiş olsa bile, polimorfik kötü amaçlı yazılım imzaları değiştirmeye ve algılanmadan saldırılar gerçekleştirmeye devam edebilir niteliktedir.
Metamorfik kötü amaçlı yazılım, polimorfik kötü amaçlı yazılıma göre daha zor kodlanmaktadır. Saldırgan, kayıt adlandırma, kod geçirme, kod genişletme ve kod küçültme dahil olmak üzere birden çok dönüştürme tekniğini kullanabilir. Sonuç olarak, genel şifre çözme taraması, negatif sezgisel analiz, emülasyon ve sanallaştırma teknolojilerine erişim gibi gelişmiş tekniklerin bu kötü amaçlı yazılımların algılaması için gereklidir.
Polimorfik ve metamorfik zararlı yazılım arasındaki temel fark, polimorfik zararlı yazılımının kendini değişken bir şifreleme anahtarı kullanarak şifrelemesidir; böylece metamorfik zararlı yazılım, zararlı yazılımın her kopyasının kullanılmadan farklı görünmesi için kodu yeniden yazarken, zararlı yazılımın her kopyası değişken bir şifreleme anahtarı kullanmadığı için farklı görünür.
Siber güvenlik araştırmacıları, malware enfeksiyonlarının %97’sinin polimorfik teknikler kullandığını tespit etmişlerdir. Bu taktiklerin bazıları 1990’lardan bu yana ortaya çıkmış olsa da, son on yılda yeni bir agresif polimorfik kötü amaçlı yazılım dalgası ortaya çıkmıştır. Polimorfik kötü amaçlı yazılımların bazı yüksek profilli örnekleri şunlardır:
Storm Worm E-postası: 2007 yılında “230 dead as storm batters Europe” konusu ile gönderilen kötü amaçlı e-postadır.1www.snopes.com İletinin eki açıldığında, kötü amaçlı yazılım wincom32 hizmetini ve bir trojan’ı alıcının bilgisayarına yükleyerek bir bot haline dönüştürür. Fırtına solucanının geleneksel virüsten koruma yazılımıyla algılanmasının çok zor olmasının nedenlerinden biri, her 30 dakikada bir değişen kötü amaçlı koddur.
CryptoWall Fidye Virüsü: CryptoWall, kurbanın bilgisayarındaki dosyaları şifreleyen ve şifre çözme işlemi için bir fidye ödemesi talep eden polimorfik bir fidye yazılımı türüdür. Cryptowall’da kullanılan polimorfik oluşturucu, her potansiyel kurban için yeni bir değişken geliştirmek için kullanılır.
Artık pek çok kötü amaçlı yazılım türü, geleneksel virüsten koruma çözümlerinin cevap veremediği ve kötü amaçlı yazılımın tespit edilmesinde ve durdurulmasında etkisiz kalmasını sağlayan polimorfik özelliklere sahiptir. Yıllarca, kötü amaçlı yazılımlara karşı koruma konusundaki geleneksel yöntem, antivirüs, güvenlik duvarları ve IPS gibi önleyici çözümlere yatırım yapmak olmuştur. Ancak, bu çözümler polimorfik kötü amaçlı yazılımlara karşı çalışmaz. Günümüzde neredeyse tüm başarılı saldırılarda bazı polimorfik tekniklerin kullanılması sebebiyle şirketleriniz halen daha bu geleneksel çözümlere güveniyorsa, yapılan bunca yatırımlara rağmen kendinizi saldırıya açık bırakıyorsunuz demektir.
Gartner raporları, kurumsal infosec harcamalarının %90 önleme ve %10 tespit olduğunu belirtmektedir.2Gartner Bununla birlikte, bu önleme merkezli yaklaşımla ilgili bazı sınırlamalar vardır ve özellikle polimorfik kötü amaçlı yazılımlar söz konusu olduğunda, birçok önleme kontrolüne sahip olsanız bile kötü amaçlı yazılımlar durdurulamamaktadır.
Polimorfik kötü amaçlı yazılımlara karşı koruma, insanları, süreçleri ve teknolojiyi birleştiren kurumsal güvenliğe yönelik katmanlı bir yaklaşım uygulanmasını gerektirir. Şirketlerin polimorfik kötü amaçlı yazılımlara karşı korunma konusunda izlemesi gereken en iyi örnek uygulamalar vardır. Bu örnek uygulamalar arasında en etkili olan davranışa dayalı algılama gibi özel çözümlerdir. Şimdi polimorfik kötü amaçlı yazılımlara karşı koruma sağlamak için neler yapabiliriz onlara bakalım:
1. Yazılımınızı Güncel Tutun: Kötü amaçlı yazılım bulaşmasını önlemenin basit bir yolu, şirketinizin kullandığı çeşitli uygulamaları ve yazılım araçlarını güncel tutmaktır. Microsoft, Oracle ve Adobe vb. gibi kurumsal yazılım üreticileri, bilinen güvenlik açıkları için kritik güvenlik yamaları içeren yazılım güncellemelerini düzenli olarak paylaşırlar. Güncel olmayan yazılımların güvenlik açıklarına sahip olması, şirketinizin çeşitli kötü amaçlı yazılımların bulaşmasına neden olabilecek istismarlara açık kalmasını sağlar.
2. Şüpheli Bağlantıları veya Ekleri Tıklamayın: Kimlik avı e-postaları veya diğer istenmeyen elektronik iletişim, kötü amaçlı yazılım yaymak için kullanılan kötü amaçlı bağlantılar veya ekler içerebilir. Son kullanıcıları, şüpheli bağlantıları ve ekleri nasıl tanıyacakları konusunda eğitilmesi, kötü amaçlı yazılım saldırıları için bu atak vektörünü azaltmaya yardımcı olabilir.
3. Güçlü Parolalar Kullanın ve Düzenli Olarak Değiştirin: Hesaplarınızın güvenli ve benzersiz parolalarla korunmasını sağlamak, kötü amaçlı yazılımların korunması için başka bir en iyi uygulamadır. Son kullanıcıları güvenli şifreler konusunda eğitin ve gerektiğinde çok faktörlü kimlik doğrulama veya güvenli şifre yöneticileri gibi özellikleri kullanın.
4. Davranışa Dayalı Algılama Araçları: Polimorfik kötü amaçlı yazılım, geleneksel virüsten koruma araçları tarafından algılanmasından kaçınılması için tasarlandığından, bu tehdit için en iyi çözüm gelişmiş, davranış tabanlı algılama tekniklerini kullanmaktır. EDR (Endpoint Detection and Response) veya ATP (Advanced Threat Protection) gibi davranışa dayalı algılama çözümleri, tehditleri gerçek zamanlı olarak tespit edebilir. Davranış tabanlı kötü amaçlı yazılımlara karşı koruma, polimorfik saldırılarla başa çıkmak için mücadele eden geleneksel imza temelli yöntemlerden daha doğru bir yaklaşımdır.