İçereği Atla

Dosyasız (Fileless) Saldırılar Nedir? Antivirüsler Neden Yakalayamaz?

Dosyasız (Fileless) saldırılar, kötü amaçlı kodun geleneksel dosya formatlarında (örneğin .exe, .dll, .doc) depolanmak yerine, bilgisayarın belleğinde (RAM) ve işletim sisteminin yerleşik araçlarında (örneğin PowerShell, WMI, Windows Kayıt Defteri) çalıştığı sofistike siber saldırı türüdür.
8 Aralık 2025 yazan
Dosyasız (Fileless) Saldırılar Nedir? Antivirüsler Neden Yakalayamaz?
Ayşe CAN
 
  1. Dosyasız Saldırıların Mekanizması

  2. Bellek Tabanlı Çalışma: Kötü amaçlı kod, doğrudan bir uygulama belleğine enjekte edilir ve RAM'de çalışır. Bu, diske kalıcı bir dosya bırakmadığı anlamına gelir. Bilgisayar yeniden başlatıldığında, genellikle bellek içeriği silinir ve kötü amaçlı yazılım kaybolur (ancak saldırganlar kalıcılığı sağlamak için Kayıt Defteri'ni kullanabilir).

     Yerleşik Araçların Kötüye Kullanımı (Living off the Land - LotL): Saldırganlar, PowerShell, WMI (Windows Management Instrumentation) ve Komut İstemi gibi işletim sisteminin meşru ve güvenilir araçlarını kullanır. Antivirüsler bu araçların kendisini engellemez, çünkü bunlar sistemin çalışması için gereklidir. Saldırgan, bu araçları zararlı komutları çalıştırmak için kullanır.

  3. Geleneksel Antivirüslerin Zorlanma Nedenleri

  4. Geleneksel antivirüs yazılımları, büyük ölçüde imza tabanlı tespit yöntemine dayanır:

     İmza Kontrolü: Antivirüs, zararlı bir yazılımın bilinen "imzasını" (benzersiz bir kod parçasını) diske yazılı bir dosyada arar.

     Dosya Yok: Dosyasız saldırılarda, diske taranacak kötü amaçlı bir dosya yazılmaz. Bu nedenle, imza tabanlı antivirüsler, diskteki bir tehdidi tararken, bellekte çalışan bu zararlı kodu göremez.

  5. Korunma Yöntemleri

  6. Uç Nokta Algılama ve Yanıt (EDR) Çözümleri: Dosyasız saldırılara karşı en iyi korumayı sağlar. EDR, dosyalara değil, sistemdeki davranışa odaklanır. PowerShell'in beklenmedik veya şüpheli komutları çalıştırması gibi anormallikleri tespit eder.

     Davranışsal Analiz: Bir uygulamanın veya yerleşik aracın normalden farklı bir şekilde (örneğin, bir word belgesinin aniden PowerShell çalıştırması) çalışmasını izlemek.

     PowerShell Kısıtlamaları: PowerShell'de komut kayıtlarını etkinleştirin ve gereksiz durumlarda kısıtlı dil modunu (Constrained Language Mode) uygulayın.

Sonuç

Dosyasız saldırılar, antivirüs yazılımlarının evrimleşmesi gerektiğini gösteren bir tehdittir. Savunma, disk tabanlı imza avcılığından, bellekte ve işletim sistemi araçlarında gerçekleşen davranışsal anormalliklerin tespitine kaymalıdır.

Dosyasız (Fileless) Saldırılar Nedir? Antivirüsler Neden Yakalayamaz?
Ayşe CAN 8 Aralık 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment