Kötü amaçlı yazılım - Malware

Hex dökümü ait Blaster solucanı için bıraktığı bir mesaj göstererek, Microsoft kurucularından Bill Gates solucanın programcı tarafından

Kötü amaçlı yazılım ( kötü amaçlı yazılım için bir portmanteau ), bir bilgisayara , sunucuya , istemciye veya bilgisayar ağına zarar vermek için kasıtlı olarak tasarlanmış herhangi bir yazılımdır . Buna karşılık, bazı eksiklikler nedeniyle kasıtsız olarak zarara neden olan yazılımlar tipik olarak bir yazılım hatası olarak tanımlanır . Bilgisayar virüsleri , solucanlar , Truva atları , fidye yazılımları , casus yazılımlar , reklam yazılımları , hileli yazılımlar , silecek ve korkutucu yazılımlar dahil olmak üzere çok çeşitli kötü amaçlı yazılım türleri mevcuttur .

Bilgisayar kullanıcısının çıkarlarına karşı gizlice hareket eden programlar da kötü amaçlı yazılım olarak kabul edilir. Örneğin, bir noktada, Sony BMG kompakt diskleri , alıcıların bilgisayarlarına yasadışı kopyalamayı önlemek amacıyla sessizce bir rootkit yükledi , ancak bu aynı zamanda kullanıcıların dinleme alışkanlıklarını da bildirdi ve kasıtsız olarak ekstra güvenlik açıkları yarattı.

Kötü amaçlı yazılımın girişine karşı korunmaya, mevcut olup olmadığını tespit etmeye ve kötü amaçlı yazılımla ilişkili kötü amaçlı etkinlik ve saldırılardan kurtarmaya yardımcı olmak için bir dizi virüsten koruma yazılımı , güvenlik duvarları ve diğer stratejiler kullanılır.

Amaçlar

Bu pasta grafik, 2011'de kötü amaçlı yazılım bulaşmalarının %70'inin Truva atları, %17'sinin virüsler, %8'inin solucanlar tarafından yapıldığını ve kalan yüzdelerin reklam yazılımları, arka kapı, casus yazılımlar ve diğer istismarlar arasında bölündüğünü göstermektedir.

İlk İnternet Solucanı da dahil olmak üzere birçok erken bulaşıcı program, deney veya şaka olarak yazılmıştır. Günümüzde kötü amaçlı yazılımlar hem siyah şapkalı bilgisayar korsanları hem de hükümetler tarafından kişisel, finansal veya ticari bilgileri çalmak için kullanılmaktadır .

Kötü amaçlı yazılım bazen, korunan bilgileri toplamak veya genel olarak bunların işleyişini bozmak için hükümet veya kurumsal web sitelerine karşı yaygın olarak kullanılır. Ancak kötü amaçlı yazılımlar, kişisel kimlik numaraları veya ayrıntıları, banka veya kredi kartı numaraları ve şifreler gibi bilgileri elde etmek için kişilere karşı kullanılabilir.

Yaygın geniş bant İnternet erişiminin yükselişinden bu yana , kötü amaçlı yazılımlar daha sık kâr için tasarlanmıştır. 2003'ten beri, yaygın virüslerin ve solucanların çoğu, yasa dışı amaçlarla kullanıcıların bilgisayarlarının kontrolünü ele geçirmek için tasarlanmıştır. Etkilenen " zombi bilgisayarlar " istenmeyen e-posta göndermek , çocuk pornografisi gibi kaçak verileri barındırmak veya bir gasp biçimi olarak dağıtılmış hizmet reddi saldırılarına katılmak için kullanılabilir .

Kullanıcıların web'de gezinmesini izlemek, istenmeyen reklamları görüntülemek veya bağlı kuruluş pazarlama gelirlerini yönlendirmek için tasarlanmış programlara casus yazılım denir . Casus yazılım programları virüsler gibi yayılmaz; bunun yerine genellikle güvenlik açıklarından yararlanılarak kurulurlar. Ayrıca, ilgisiz kullanıcı tarafından yüklenen yazılımlarla birlikte gizlenebilir ve paketlenebilirler. Sony BMG rootkit yasadışı kopyalamayı önlemek için tasarlanmıştı; aynı zamanda kullanıcıların dinleme alışkanlıkları ve kasıtsız olarak oluşturulan ekstra güvenlik açıkları hakkında da rapor verdi.

Fidye yazılım, virüs bulaşmış bir bilgisayar sistemini bir şekilde etkiler ve onu normal durumuna döndürmek için ödeme talep eder. Fidye yazılımının kripto fidye yazılımı ve dolap fidye yazılımı olmak üzere iki çeşidi vardır. Locker fidye yazılımı, içeriğini şifrelemeden bir bilgisayar sistemini kilitlerken, geleneksel fidye yazılımı, bir sistemi kilitleyen ve içeriğini şifreleyen bir yazılımdır. Örneğin, CryptoLocker gibi programlar dosyaları güvenli bir şekilde şifreler ve yalnızca önemli miktarda para ödendiğinde şifrelerini çözer.

Bazı kötü amaçlı yazılımlar, tıklama sahtekarlığı yoluyla para üretmek için kullanılır; bu, bilgisayar kullanıcısının bir sitedeki bir reklam bağlantısını tıkladığını ve reklamverenden bir ödeme oluşturduğunu gösterir. 2012'de tüm aktif kötü amaçlı yazılımların yaklaşık %60 ila 70'inin bir tür tıklama sahtekarlığı kullandığı ve tüm reklam tıklamalarının %22'sinin sahte olduğu tahmin ediliyordu.

Kötü amaçlı yazılım, cezai para kazanmaya ek olarak, genellikle siyasi amaçlarla sabotaj için kullanılabilir. Örneğin Stuxnet , çok özel endüstriyel ekipmanı bozmak için tasarlandı. Dosyaların toplu olarak silinmesi ve ana önyükleme kayıtlarının bozulması da dahil olmak üzere , "bilgisayar öldürme" olarak tanımlanan , büyük bilgisayar ağlarına yayılan ve onları kapatan siyasi güdümlü saldırılar oldu . Bu tür saldırılar Sony Pictures Entertainment'a (25 Kasım 2014, Shamoon veya W32.Disttrack olarak bilinen kötü amaçlı yazılım kullanılarak ) ve Saudi Aramco'ya (Ağustos 2012) yapıldı.

Bulaşıcı kötü amaçlı yazılım

En iyi bilinen kötü amaçlı yazılım türleri, virüsler ve solucanlar, belirli davranış türlerinden ziyade yayılma biçimleriyle bilinir. Bilgisayar virüsü, kullanıcının bilgisi ve rızası olmadan kendisini hedef sistemdeki başka bir yürütülebilir yazılıma (işletim sisteminin kendisi dahil) gömen ve çalıştırıldığında virüs diğer yürütülebilir dosyalara yayılan bir yazılımdır. Öte yandan solucan , diğer bilgisayarlara bulaşmak için kendisini bir üzerinden aktif olarak ileten ve dosyalara bulaşmadan kendini kopyalayabilen bağımsız bir kötü amaçlı yazılımdır . Bu tanımlar, bir virüsün, virüsün yayılması için kullanıcının virüslü bir yazılım veya işletim sistemi çalıştırmasını gerektirdiği, oysa bir solucanın kendi kendine yayıldığı gözlemine yol açar.

Gizleme

Bu kategoriler birbirini dışlamaz, bu nedenle kötü amaçlı yazılım birden çok teknik kullanabilir. Bu bölüm yalnızca tespit edilmeden çalışacak şekilde tasarlanmış kötü amaçlı yazılımlar için geçerlidir, sabotaj ve fidye yazılımları için geçerli değildir.

virüsler

Bir bilgisayar virüsü, genellikle kendi kopyalarını üretebilen ve bunları başka programlara veya dosyalara ekleyebilen ve genellikle zararlı bir eylem gerçekleştiren (verileri yok etmek gibi) görünüşte zararsız başka bir programın içine gizlenmiş bir yazılımdır. Bunun bir örneği, bir PE enfeksiyonu, genellikle yayılma zararlı için kullanılan bir teknik olduğunu uçlar ekstra veri ya da yürütülebilir kod olarak PE dosyalarını .

Ekran kilitleyen fidye yazılımı

'Kilit ekranları' veya ekran dolapları, Windows veya Android cihazlarındaki ekranları yasa dışı içerik toplamaya yönelik yanlış bir suçlamayla engelleyen ve kurbanları bir ücret ödemeleri için korkutmaya çalışan bir tür "siber polis" fidye yazılımıdır. Jisut ve SLocker, Android cihazlarını diğer kilit ekranlarından daha fazla etkiliyor ve Jisut, tüm Android fidye yazılımı algılamalarının yaklaşık yüzde 60'ını oluşturuyor.

Şifreleme tabanlı fidye yazılımı

Şifreleme tabanlı fidye yazılımı, adından da anlaşılacağı gibi, virüslü bir makinedeki tüm dosyaları şifreleyen bir tür fidye yazılımıdır. Bu tür kötü amaçlı yazılımlar daha sonra, kullanıcıya dosyalarının şifrelendiğini ve onları kurtarmak için (genellikle Bitcoin olarak) ödeme yapmaları gerektiğini bildiren bir açılır pencere görüntüler. Şifreleme tabanlı fidye yazılımına bazı örnekler CryptoLocker ve WannaCry'dir.

Truva atları

Truva atı, kurbanı onu yüklemeye ikna etmek için normal, iyi huylu bir program veya yardımcı program gibi görünerek kendisini yanlış tanıtan zararlı bir programdır. Truva atı genellikle uygulama başlatıldığında etkinleşen gizli bir yıkıcı işlev taşır. Terim türetilmiştir Eski Yunan hikayesi Truva atı kenti istila için kullanılan Truva gizlice.

Truva atları genellikle bir tür sosyal mühendislik tarafından yayılır ; örneğin, bir kullanıcının şüpheli olmayan bir şekilde gizlenmiş bir e-posta ekini yürütmesi (örneğin, doldurulması gereken rutin bir form) veya arabadan indirilmesi . Yükleri herhangi bir şey olabilse de, birçok modern form bir arka kapı görevi görür , bir denetleyiciyle iletişim kurar ( eve telefon eder ), bu da daha sonra etkilenen bilgisayara yetkisiz erişime sahip olabilir, potansiyel olarak gizli bilgileri çalmak için bir keylogger gibi ek yazılımlar , kripto madenciliği yazılımı veya reklam yazılımı yükler. truva atının operatörüne gelir elde etmek için. Truva atları ve arka kapılar kendi başlarına kolayca tespit edilemese de, kripto madenciliği yazılımı yüklendiğinde olabileceği gibi, bilgisayarlar ağır işlemci veya ağ kullanımı nedeniyle daha yavaş çalışıyor, daha fazla ısı veya fan gürültüsü yayar gibi görünebilir. Kripto madencileri, kaynak kullanımını sınırlayabilir ve/veya algılamadan kaçınmak için yalnızca boş zamanlarda çalışabilir.

Bilgisayar virüsleri ve solucanlarının aksine, Truva atları genellikle kendilerini başka dosyalara enjekte etmeye veya başka bir şekilde yayılmaya çalışmazlar.

2017 baharında Mac kullanıcıları, tarayıcı otomatik doldurma verileri, Mac-OS anahtar zinciri ve parola kasaları gibi çeşitli kaynaklardan parola verilerini çıkarmak için eğitilen Proton Uzaktan Erişim Truva Atı'nın (RAT) yeni sürümüyle karşı karşıya kaldı.

Rootkit'ler

Bir sisteme kötü amaçlı yazılım yüklendikten sonra, tespit edilmesini önlemek için gizli kalması önemlidir. Kök setleri olarak bilinen yazılım paketleri , kötü amaçlı yazılımın kullanıcıdan gizlenmesi için ana bilgisayarın işletim sistemini değiştirerek bu gizlemeye izin verir. Rootkit'ler, zararlı bir işlemin sistemin işlemler listesinde görünmesini engelleyebilir veya dosyalarının okunmasını engelleyebilir.

Bazı zararlı yazılım türleri, yalnızca kendilerini gizlemek için değil, tanımlama ve/veya kaldırma girişimlerinden kaçınmak için rutinler içerir. Bu davranışın erken bir örneği, bir Xerox CP-V zaman paylaşım sistemini istila eden bir çift programın Jargon Dosyası hikayesinde kaydedilmiştir :

Her bir hayalet işi, diğerinin öldürüldüğünü tespit edecek ve birkaç milisaniye içinde yakın zamanda durdurulan programın yeni bir kopyasını başlatacaktı. Her iki hayaleti de öldürmenin tek yolu, onları aynı anda öldürmek (çok zor) veya kasıtlı olarak sistemi çökertmekti.

arka kapılar

Arka kapı , genellikle İnternet gibi bir ağ bağlantısı üzerinden normal kimlik doğrulama prosedürlerini atlama yöntemidir . Bir sistemin güvenliği ihlal edildiğinde, gelecekte kullanıcıya görünmez bir şekilde erişime izin vermek için bir veya daha fazla arka kapı kurulabilir.

Bilgisayar üreticilerinin, müşterilere teknik destek sağlamak için sistemlerine arka kapıları önceden yüklemeleri fikri sıklıkla öne sürülmüştür, ancak bu hiçbir zaman güvenilir bir şekilde doğrulanmamıştır. 2014'te ABD devlet kurumlarının, "hedef" olarak kabul edilenler tarafından satın alınan bilgisayarları, kurum tarafından uzaktan erişime izin veren yazılım veya donanımın kurulu olduğu ve çevredeki ağlara erişim elde etmek için en verimli işlemlerden biri olarak kabul edilen gizli atölyelere yönlendirdiği bildirildi. Dünya. Arka kapılar Truva atları, solucanlar , implantlar veya diğer yöntemlerle kurulabilir .

kaçınma

2015'in başından bu yana, kötü amaçlı yazılımların büyük bir kısmı, tespit ve analizden kaçınmak için tasarlanmış birçok tekniğin bir kombinasyonunu kullanıyor. En yaygın olandan en az yaygın olana:

  1. yürütüldüğünde ortamın parmak izini alarak analiz ve algılamadan kaçınma .
  2. kafa karıştırıcı otomatik araçların algılama yöntemleri. Bu, kötü amaçlı yazılım tarafından kullanılan sunucuyu değiştirerek, kötü amaçlı yazılımın imza tabanlı virüsten koruma yazılımı gibi teknolojiler tarafından algılanmasını önlemesini sağlar.
  3. zamanlamaya dayalı kaçırma. Bu, kötü amaçlı yazılımın belirli zamanlarda veya kullanıcı tarafından gerçekleştirilen belirli eylemlerin ardından çalıştırılmasıdır, bu nedenle, önyükleme işlemi sırasında olduğu gibi belirli savunmasız dönemlerde yürütülür ve zamanın geri kalanında uykuda kalır.
  4. obfuscating dahili verileri otomatik araçlar kötü amaçlı yazılımları tespit etmeyecek şekilde.

Giderek yaygınlaşan bir teknik (2015), kötü amaçlı yazılımdan koruma ve virüs korumasını devre dışı bırakmak için çalınan sertifikaları kullanan reklam yazılımıdır; adware ile başa çıkmak için teknik çözümler mevcuttur.

Günümüzde en sofistike ve gizli kaçırma yollarından biri, bilgi gizleme teknikleri yani stegomalware kullanmaktır . Stegomalware hakkında bir anket Cabaj ve diğerleri tarafından yayınlandı. 2018 yılında.

Başka bir kaçınma tekniği türü, Dosyasız kötü amaçlı yazılım veya Gelişmiş Geçici Tehditlerdir (AVT'ler). Dosyasız kötü amaçlı yazılım, çalışması için bir dosya gerektirmez. Bellek içinde çalışır ve kötü niyetli eylemler gerçekleştirmek için mevcut sistem araçlarını kullanır. Sistemde dosya bulunmadığından, virüsten koruma ve adli tıp araçlarının analiz etmesi için yürütülebilir dosya yoktur ve bu tür kötü amaçlı yazılımların tespit edilmesini neredeyse imkansız hale getirir. Dosyasız kötü amaçlı yazılımları tespit etmenin tek yolu, onu gerçek zamanlı olarak çalışırken yakalamaktır. Son zamanlarda bu tür saldırılar 2017'de %432'lik bir artışla ve 2018'de saldırıların %35'ini oluşturarak daha sık hale geldi. Bu tür saldırıların gerçekleştirilmesi kolay değil, ancak açıklardan yararlanma kitlerinin yardımıyla daha yaygın hale geliyor.

güvenlik açığı

  • Bu bağlamda ve baştan sona, saldırı altındaki "sistem" olarak adlandırılan şey, tek bir uygulamadan, eksiksiz bir bilgisayar ve işletim sistemi aracılığıyla büyük bir ağa kadar her şey olabilir .
  • Çeşitli faktörler, bir sistemi kötü amaçlı yazılımlara karşı daha savunmasız hale getirir:

Yazılımdaki güvenlik kusurları

Kötü amaçlı yazılım , işletim sisteminin tasarımındaki, uygulamalardaki (örneğin, Windows XP tarafından desteklenen Microsoft Internet Explorer'ın eski sürümleri gibi tarayıcılar) veya Adobe Flash Player gibi tarayıcı eklentilerinin savunmasız sürümlerindeki güvenlik kusurlarından ( güvenlik hataları veya açıklar ) yararlanır. , Adobe Acrobat veya Reader veya Java SE . Bazen bu tür eklentilerin yeni sürümlerini yüklemek bile eski sürümleri otomatik olarak kaldırmaz. Eklenti sağlayıcılarının güvenlik önerileri, güvenlikle ilgili güncellemeleri duyurur. Yaygın güvenlik açıklarına CVE kimlikleri atanır ve ABD Ulusal Güvenlik Açığı Veritabanında listelenir . Secunia PSI , kişisel kullanım için ücretsiz, bir PC'yi savunmasız güncel olmayan yazılımlara karşı kontrol edecek ve güncellemeye çalışacak bir yazılım örneğidir.

Kötü amaçlı yazılım yazarları , istismar edilecek hataları veya boşlukları hedefler . Yaygın bir yöntem, verileri belirli bir bellek bölgesinde depolamak için tasarlanan yazılımın, arabelleğin barındırabileceğinden daha fazla verinin sağlanmasını engellemediği bir arabellek taşması güvenlik açığından yararlanmaktır. Kötü amaçlı yazılım, arabelleği aşan verileri, sonundan sonra kötü amaçlı yürütülebilir kod veya verilerle sağlayabilir; bu yüke erişildiğinde, meşru yazılımın değil, saldırganın belirlediğini yapar.

Kötü amaçlı yazılımdan koruma, kötü amaçlı yazılım tespiti için sürekli büyüyen bir tehdittir. Symantec'in 2018 İnternet Güvenliği Tehdit Raporu'na (ISTR) göre, kötü amaçlı yazılım varyant sayısı 2017'de 669.947.865'e ulaştı ve bu, 2016'daki kötü amaçlı yazılım varyantlarının iki katı.

Güvenli olmayan tasarım veya kullanıcı hatası

İlk bilgisayarların disketlerden başlatılması gerekiyordu . Yerleşik sabit sürücüler yaygınlaştığında, işletim sistemi normal olarak onlardan başlatıldı, ancak varsa, disket, CD-ROM , DVD-ROM, USB flash sürücü veya ağ gibi başka bir önyükleme aygıtından önyükleme yapmak mümkün oldu. . Bilgisayarı, mümkün olduğunda bu aygıtlardan birinden önyükleme yapacak şekilde yapılandırmak yaygındı. Normalde hiçbiri mevcut olmazdı; kullanıcı, örneğin, bir işletim sistemi kurmak gibi, bilgisayarı özel bir şekilde başlatmak için optik sürücüye kasıtlı olarak bir CD yerleştirir. Önyükleme yapılmadan bile bilgisayarlar, örneğin takıldığında bir CD veya USB aygıtının otomatik olarak çalıştırılması gibi, kullanılabilir olduklarında bazı ortamlarda yazılımı çalıştıracak şekilde yapılandırılabilir.

Kötü amaçlı yazılım dağıtıcıları, kullanıcıyı virüslü bir cihaz veya ortamdan önyükleme yapması veya çalıştırması için kandırır. Örneğin, bir virüs, virüs bulaşmış bir bilgisayarın, takılı herhangi bir USB çubuğuna otomatik çalıştırılabilir kod eklemesine neden olabilir. Daha sonra çubuğu USB'den otomatik çalışacak şekilde ayarlanmış başka bir bilgisayara takan herkes sırayla virüs bulaşır ve enfeksiyonu aynı şekilde bulaşır. Daha genel olarak, bir USB bağlantı noktasına takılan herhangi bir cihaz - hatta ışıklar, fanlar, hoparlörler, oyuncaklar veya dijital mikroskop gibi çevre birimleri - kötü amaçlı yazılımları yaymak için kullanılabilir. Kalite kontrol yetersizse, cihazlar üretim veya tedarik sırasında enfekte olabilir.

Bu tür bir bulaşma, bilgisayarları varsayılan olarak, varsa dahili sabit sürücüden önyükleme yapacak ve cihazlardan otomatik olarak çalıştırılmayacak şekilde ayarlayarak büyük ölçüde önlenebilir. Önyükleme sırasında belirli tuşlara basılarak başka bir aygıttan kasıtlı önyükleme her zaman mümkündür.

Eski e-posta yazılımı, potansiyel olarak kötü amaçlı JavaScript kodu içeren HTML e-postasını otomatik olarak açar . Kullanıcılar ayrıca gizlenmiş kötü niyetli e-posta eklerini yürütebilir. CSO Online tarafından alıntılanan Verizon tarafından hazırlanan 2018 Veri İhlali Araştırmaları Raporu , e-postaların kötü amaçlı yazılım dağıtımının birincil yöntemi olduğunu ve dünya çapında kötü amaçlı yazılım dağıtımının %92'sini oluşturduğunu belirtiyor.

Aşırı ayrıcalıklı kullanıcılar ve aşırı ayrıcalıklı kod

Bilgi işlemde ayrıcalık , bir kullanıcının veya programın bir sistemi ne kadar değiştirmesine izin verildiğini ifade eder. Kötü tasarlanmış bilgisayar sistemlerinde hem kullanıcılara hem de programlara olması gerekenden daha fazla ayrıcalık atanabilir ve kötü amaçlı yazılım bundan yararlanabilir. Kötü amaçlı yazılımın bunu yapmasının iki yolu, aşırı ayrıcalıklı kullanıcılar ve aşırı ayrıcalıklı koddur.

Bazı sistemler, tüm kullanıcıların kendi iç yapılarını değiştirmelerine izin verir ve bu tür kullanıcılar bugün aşırı ayrıcalıklı kullanıcılar olarak kabul edilir . Bu, bir yönetici veya kök ile sistemin düzenli bir kullanıcısı arasında hiçbir ayrımın olmadığı erken dönem mikrobilgisayar ve ev bilgisayar sistemleri için standart işletim prosedürüydü . Bazı sistemlerde, yönetici olmayan kullanıcılar, sistemin iç yapılarını değiştirmelerine izin verilmesi anlamında, tasarım gereği aşırı ayrıcalıklıdır. Bazı ortamlarda, kullanıcılara uygun olmayan bir şekilde yönetici veya eşdeğer statü verildiğinden, kullanıcılara aşırı ayrıcalık tanınır.

Bazı sistemler, bir kullanıcı tarafından yürütülen kodun, o kullanıcının aşırı ayrıcalıklı kod olarak bilinen tüm haklarına erişmesine izin verir. Bu aynı zamanda erken mikrobilgisayar ve ev bilgisayar sistemleri için standart işletim prosedürüydü. Aşırı ayrıcalıklı kod olarak çalışan kötü amaçlı yazılımlar, sistemi bozmak için bu ayrıcalığı kullanabilir. Şu anda popüler olan hemen hemen tüm işletim sistemleri ve ayrıca birçok komut dosyası uygulaması , genellikle bir kullanıcı kodu yürüttüğünde , sistemin o koda o kullanıcının tüm haklarına izin vermesi anlamında, koda çok fazla ayrıcalık tanır. Bu, kullanıcıları, gizlenebilen veya görünmeyen e-posta ekleri biçimindeki kötü amaçlı yazılımlara karşı savunmasız hale getirir .

Aynı işletim sisteminin kullanılması

  • Homojenlik bir güvenlik açığı olabilir. Örneğin, bir ağdaki tüm bilgisayarlar aynı işletim sistemini çalıştırdığında, bir tanesini kullandığında, bir solucan hepsinden yararlanabilir: Özellikle, Microsoft Windows veya Mac OS X pazarda o kadar büyük bir paya sahiptir ki, istismar edilen bir güvenlik açığı her ikisine de odaklanır. işletim sistemi çok sayıda sistemi alt üst edebilir. Linux bilgisayarları eklemek gibi yalnızca sağlamlık adına çeşitlilik sunmak, eğitim ve bakım için kısa vadeli maliyetleri artırabilir. Ancak, tüm düğümler kimlik doğrulama için aynı dizin hizmetinin parçası olmadığı sürece , birkaç farklı düğüme sahip olmak ağın tamamen kapanmasını engelleyebilir ve bu düğümlerin virüslü düğümlerin kurtarılmasına yardımcı olmasına izin verebilir. Bu tür ayrı, işlevsel artıklık, çoklu oturum açma kimlik doğrulaması açısından artan karmaşıklık ve azalan kullanılabilirlik pahasına toplam kapatma maliyetinden kaçınabilir .

Kötü amaçlı yazılımdan koruma stratejileri

Kötü amaçlı yazılım saldırıları daha sık hale geldikçe, dikkatler virüsler ve casus yazılım korumasından kötü amaçlı yazılım korumasına ve kötü amaçlı yazılımlarla mücadele için özel olarak geliştirilmiş programlara kaymaya başladı . (Yedekleme ve kurtarma yöntemleri gibi diğer önleyici ve kurtarma önlemleri bilgisayar virüsü makalesinde belirtilmiştir). Yazılımı geri yüklemek için yeniden başlatma, kötü amaçlı değişiklikleri geri alarak kötü amaçlı yazılımları azaltmak için de yararlıdır.

Anti-virüs ve anti-malware yazılımı

Genellikle erişime açık veya gerçek zamanlı tarayıcı olarak adlandırılan virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımının belirli bir bileşeni , işletim sisteminin çekirdeğine veya çekirdeğine derinlemesine takılır ve belirli kötü amaçlı yazılımların kendisinin nasıl yapmaya çalışacağına benzer bir şekilde çalışır. sistemi korumak için kullanıcının bilgilendirilmiş izniyle çalıştırılmalıdır. İşletim sistemi bir dosyaya her eriştiğinde, erişim tarayıcısı dosyanın 'meşru' bir dosya olup olmadığını kontrol eder. Dosya tarayıcı tarafından kötü amaçlı yazılım olarak tanımlanırsa, erişim işlemi durdurulacak, dosya tarayıcı tarafından önceden tanımlanmış bir şekilde (anti-virüs programının kurulum sırasında/sonrasında nasıl yapılandırıldığı) ele alınacaktır. kullanıcı bilgilendirilecektir. Etki derecesi tarayıcının ne kadar iyi programlandığına bağlı olsa da, bunun işletim sistemi üzerinde önemli bir performans etkisi olabilir. Amaç, hatalardan yararlanabilecek veya beklenmeyen işletim sistemi davranışını tetikleyebilecek etkinlikler de dahil olmak üzere, kötü amaçlı yazılımın sistemde yapabileceği tüm işlemleri oluşmadan önce durdurmaktır .

Kötü amaçlı yazılımdan koruma programları, kötü amaçlı yazılımlarla iki şekilde mücadele edebilir:

  1. Kötü amaçlı yazılımların bir bilgisayara yüklenmesine karşı gerçek zamanlı koruma sağlayabilirler. Bu tür kötü amaçlı yazılım koruması, kötü amaçlı yazılımdan koruma yazılımının gelen tüm verilerini kötü amaçlı yazılımlara karşı taraması ve karşılaştığı tüm tehditleri engellemesi bakımından virüsten koruma korumasıyla aynı şekilde çalışır .
  2. Kötü amaçlı yazılımdan koruma yazılım programları, yalnızca bir bilgisayara önceden yüklenmiş olan kötü amaçlı yazılım yazılımlarının algılanması ve kaldırılması için kullanılabilir. Bu tür kötü amaçlı yazılımdan koruma yazılımı, Windows kayıt defterinin, işletim sistemi dosyalarının ve bir bilgisayarda yüklü programların içeriğini tarar ve bulunan tüm tehditlerin bir listesini sağlayarak kullanıcının hangi dosyaların silineceğini veya tutulacağını seçmesine veya karşılaştırma yapmasına olanak tanır. bu liste, eşleşen dosyaları kaldırarak bilinen kötü amaçlı yazılım bileşenlerinin bir listesine.

Kötü amaçlı yazılımlara karşı gerçek zamanlı koruma, gerçek zamanlı virüsten koruma korumasıyla aynı şekilde çalışır: yazılım, indirme sırasında disk dosyalarını tarar ve kötü amaçlı yazılımı temsil ettiği bilinen bileşenlerin etkinliğini engeller. Bazı durumlarda, başlangıç ​​öğelerini yükleme veya tarayıcı ayarlarını değiştirme girişimlerini de engelleyebilir. Birçok kötü amaçlı yazılım bileşeni, tarayıcı istismarları veya kullanıcı hatası sonucu yüklendiğinden, tarayıcıları "korumalı alan" (esas olarak tarayıcıyı bilgisayardan ve dolayısıyla herhangi bir kötü amaçlı yazılımdan izole etmek) için güvenlik yazılımı (bazıları kötü amaçlı yazılımdan koruma amaçlıdır, ancak çoğu değildir) kullanılır. uyarılmış değişiklik), yapılan herhangi bir hasarı kısıtlamaya yardımcı olmada da etkili olabilir.

Microsoft Windows virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımı örnekleri arasında, gerçek zamanlı koruma için isteğe bağlı Microsoft Security Essentials (Windows XP, Vista ve Windows 7 için), Windows Kötü Amaçlı Yazılımları Temizleme Aracı (artık Windows (Güvenlik) Güncellemelerine dahildir ) yer alır. Yama Salı ", her ayın ikinci Salı günü) ve Windows Defender (Windows XP durumunda isteğe bağlı bir indirme, Windows 8 ve sonraki sürümlerde MSE işlevselliğini içerir). Ayrıca, birkaç yetenekli virüsten koruma yazılımı programı İnternet'ten ücretsiz olarak indirilebilir (genellikle ticari olmayan kullanımla sınırlıdır). Testler, bazı ücretsiz programların ticari programlarla rekabet edebileceğini buldu. Microsoft'un Sistem Dosyası Denetleyicisi , bozuk sistem dosyalarını kontrol etmek ve onarmak için kullanılabilir.

Bazı virüsler, Sistem Geri Yükleme'yi ve Görev Yöneticisi ve Komut İstemi gibi diğer önemli Windows araçlarını devre dışı bırakır . Bu tür virüslerin çoğu , bilgisayarı yeniden başlatarak , ağ ile Windows güvenli moduna girerek ve ardından sistem araçları veya Microsoft Güvenlik Tarayıcısı kullanılarak kaldırılabilir .

Donanım implantları herhangi bir tipte olabilir, dolayısıyla onları tespit etmenin genel bir yolu olamaz.

Web sitesi güvenlik taramaları

Kötü amaçlı yazılımlar, güvenliği ihlal edilen web sitelerine de zarar verdiğinden (itibarını kırarak, arama motorlarında kara listeye alarak, vb.), bazı web siteleri güvenlik açığı taraması sunar. Bu tür taramalar web sitesini kontrol eder, kötü amaçlı yazılımları tespit eder, güncel olmayan yazılımları not edebilir ve bilinen güvenlik sorunlarını bildirebilir.

"Hava boşluğu" izolasyonu veya "paralel ağ"

Son çare olarak, bilgisayarlar kötü amaçlı yazılımlardan korunabilir ve virüslü bilgisayarların güvenilir bilgileri yayması, bir "hava boşluğu" oluşturarak (yani, diğer tüm ağlarla olan bağlantılarını tamamen keserek) önlenebilir . Ancak, kötü amaçlı yazılım bazı durumlarda hava boşluğunu yine de geçebilir. Stuxnet , bir USB sürücü aracılığıyla hedef ortama tanıtılan kötü amaçlı yazılımlara bir örnektir.

"AirHopper", "BitWhisper", "GSMem" ve "Fansmitter", araştırmacılar tarafından elektromanyetik, termal ve akustik emisyonlar kullanarak hava boşluklu bilgisayarlardan veri sızdırabilen dört tekniktir.

gri eşya

Grayware (bazen greyware olarak yazılır ), kötü amaçlı yazılım olarak sınıflandırılmayan ancak bilgisayarların performansını kötüleştirebilen ve güvenlik risklerine neden olabilen istenmeyen uygulamalara veya dosyalara uygulanan bir terimdir.

Can sıkıcı veya istenmeyen bir şekilde davranan, ancak yine de kötü amaçlı yazılımlardan daha az ciddi veya zahmetli olan uygulamaları tanımlar. Grayware, casus yazılımları , reklam yazılımlarını , sahte numara çeviricileri , şaka programlarını, uzaktan erişim araçlarını ve bilgisayarların performansına zarar verebilecek veya rahatsızlığa neden olabilecek diğer istenmeyen programları kapsar. Terim 2004 civarında kullanılmaya başlandı.

Başka bir terim, potansiyel olarak istenmeyen program (PUP) veya potansiyel olarak istenmeyen uygulama (PUA), kullanıcı tarafından sıklıkla indirilmiş olmasına rağmen, muhtemelen bir indirme sözleşmesini okumadıktan sonra istenmeyen olarak kabul edilecek uygulamaları ifade eder. PUP'lar, casus yazılımları, reklam yazılımlarını ve sahte numara çeviricileri içerir. Pek çok güvenlik ürünü, yetkisiz anahtar oluşturucuları gri yazılım olarak sınıflandırır, ancak görünür amaçlarına ek olarak sıklıkla gerçek kötü amaçlı yazılımları da taşırlar.

Yazılım üreticisi Malwarebytes , bir programı PUP olarak sınıflandırmak için çeşitli kriterler listeler. Bazı reklam yazılımı türleri (çalınan sertifikalar kullanarak), kötü amaçlı yazılımdan korumayı ve virüs korumasını kapatır; teknik çözümler mevcuttur.

Tarih

İnternet erişimi yaygınlaşmadan önce , virüsler, yürütülebilir programları veya disketlerin önyükleme sektörlerini bulaştırarak kişisel bilgisayarlara yayıldı . Bu programlarda veya önyükleme sektörlerinde makine kodu talimatlarına kendisinin bir kopyasını ekleyerek , program çalıştırıldığında veya disk önyüklendiğinde bir virüs kendisinin çalışmasına neden olur. Erken bilgisayar virüsleri Apple II ve Macintosh için yazılmıştı , ancak IBM PC ve MS-DOS sisteminin hakimiyeti ile daha yaygın hale geldi . "Vahşi" durumdaki ilk IBM PC virüsü, 1986'da Pakistan'daki Farooq Alvi kardeşler tarafından yaratılan (c)Beyin adlı bir önyükleme sektörü virüsüydü .

İlk solucanlar, kaynaklı bulaşıcı programlar, kişisel bilgisayarlarda değil, çok görevli Unix sistemlerinde ortaya çıktı. İlk iyi bilinen solucan, SunOS ve VAX BSD sistemlerine bulaşan 1988 İnternet Solucanıydı . Bir virüsün aksine, bu solucan kendisini diğer programlara sokmadı. Bunun yerine, ağ sunucusu programlarındaki güvenlik açıklarından ( güvenlik açıklarından ) yararlandı ve kendisini ayrı bir süreç olarak çalıştırmaya başladı . Bu aynı davranış günümüz solucanları tarafından da kullanılmaktadır.

1990'larda Microsoft Windows platformunun yükselişi ve uygulamalarının esnek makroları ile Microsoft Word ve benzeri programların makro dilinde bulaşıcı kod yazmak mümkün hale geldi . Bu makro virüsleri , uygulamalardan ( yürütülebilir dosyalar ) ziyade belgelere ve şablonlara bulaşır , ancak bir Word belgesindeki makroların bir yürütülebilir kod biçimi olduğu gerçeğine dayanır .

Akademik araştırma

Kendi kendini yeniden üreten bir bilgisayar programı kavramı, karmaşık otomatların işleyişiyle ilgili ilk teorilere kadar uzanabilir. John von Neumann , teoride bir programın kendini yeniden üretebileceğini gösterdi. Bu, hesaplanabilirlik teorisinde bir inandırıcılık sonucu oluşturdu . Fred Cohen bilgisayar virüsleriyle deneyler yaptı ve Neumann'ın varsayımını doğruladı ve temel şifreleme kullanarak tespit edilebilirlik ve kendi kendini gizleme gibi kötü amaçlı yazılımların diğer özelliklerini araştırdı. 1987 yılındaki doktora tezi bilgisayar virüsleri üzerineydi. Virüsün yükünün bir parçası olarak kriptografik teknolojinin kombinasyonu, saldırı amacıyla kullanılması, 1990'ların ortalarından itibaren başlatıldı ve araştırıldı ve ilk fidye yazılımı ve kaçırma fikirlerini içeriyor.

Ayrıca bakınız

Referanslar


Dış bağlantılar