Dosyasız Saldırıların Mekanizması
Geleneksel Antivirüslerin Zorlanma Nedenleri
Korunma Yöntemleri
Bellek Tabanlı Çalışma: Kötü amaçlı kod, doğrudan bir uygulama belleğine enjekte edilir ve RAM'de çalışır. Bu, diske kalıcı bir dosya bırakmadığı anlamına gelir. Bilgisayar yeniden başlatıldığında, genellikle bellek içeriği silinir ve kötü amaçlı yazılım kaybolur (ancak saldırganlar kalıcılığı sağlamak için Kayıt Defteri'ni kullanabilir).
Yerleşik Araçların Kötüye Kullanımı (Living off the Land - LotL): Saldırganlar, PowerShell, WMI (Windows Management Instrumentation) ve Komut İstemi gibi işletim sisteminin meşru ve güvenilir araçlarını kullanır. Antivirüsler bu araçların kendisini engellemez, çünkü bunlar sistemin çalışması için gereklidir. Saldırgan, bu araçları zararlı komutları çalıştırmak için kullanır.
Geleneksel antivirüs yazılımları, büyük ölçüde imza tabanlı tespit yöntemine dayanır:
İmza Kontrolü: Antivirüs, zararlı bir yazılımın bilinen "imzasını" (benzersiz bir kod parçasını) diske yazılı bir dosyada arar.
Dosya Yok: Dosyasız saldırılarda, diske taranacak kötü amaçlı bir dosya yazılmaz. Bu nedenle, imza tabanlı antivirüsler, diskteki bir tehdidi tararken, bellekte çalışan bu zararlı kodu göremez.
Uç Nokta Algılama ve Yanıt (EDR) Çözümleri: Dosyasız saldırılara karşı en iyi korumayı sağlar. EDR, dosyalara değil, sistemdeki davranışa odaklanır. PowerShell'in beklenmedik veya şüpheli komutları çalıştırması gibi anormallikleri tespit eder.
Davranışsal Analiz: Bir uygulamanın veya yerleşik aracın normalden farklı bir şekilde (örneğin, bir word belgesinin aniden PowerShell çalıştırması) çalışmasını izlemek.
PowerShell Kısıtlamaları: PowerShell'de komut kayıtlarını etkinleştirin ve gereksiz durumlarda kısıtlı dil modunu (Constrained Language Mode) uygulayın.
Sonuç
Dosyasız saldırılar, antivirüs yazılımlarının evrimleşmesi gerektiğini gösteren bir tehdittir. Savunma, disk tabanlı imza avcılığından, bellekte ve işletim sistemi araçlarında gerçekleşen davranışsal anormalliklerin tespitine kaymalıdır.
Dosyasız (Fileless) Saldırılar Nedir? Antivirüsler Neden Yakalayamaz?