Memory-Based Attack Nedir?
Memory-based attack, zararlı kodun:
- Diskte kalıcı bir dosya oluşturmadan
- İşletim sisteminin RAM belleği üzerinde çalıştırıldığı
- Sistem yeniden başlatıldığında çoğu zaman iz bırakmadan kaybolan
saldırı türlerini ifade eder.
Bu saldırılar genellikle:
- Mevcut sistem araçlarını kullanır
- Meşru süreçler içine enjekte edilir
- Klasik antivirüs çözümlerinin imza tabanlı tespitinden kaçar
Neden Diskte İz Bırakmamak Bu Kadar Etkili?
Çoğu güvenlik çözümü hâlâ şu varsayımlara dayanır:
- Zararlı = dosya
- Dosya = disk
- Disk = taranabilir
Memory-based saldırılar bu zinciri tamamen kırar.
Avantajları (Saldırgan Açısından)
- Daha az adli iz
- Düşük tespit oranı
- Hızlı çalıştırma
- Olay müdahale ekipleri için zor analiz
Memory-Based Attacks Hangi Saldırıların Parçasıdır?
Bellek tabanlı saldırılar genellikle tek başına değil, daha büyük saldırı zincirlerinin bir parçası olarak kullanılır:
- Ransomware öncesi keşif
- Advanced Persistent Threat (APT) operasyonları
- Kimlik bilgisi toplama
- Lateral movement
- Yetki yükseltme
Özellikle modern ransomware grupları, ilk aşamada bellek tabanlı teknikleri tercih eder.
En Yaygın Memory-Based Attack Türleri
1. Fileless Malware
Dosya oluşturmadan çalışan zararlı yazılımlar:
- Bellekte çalışır
- Mevcut sistem araçlarını kullanır
- Script tabanlıdır
Çoğu zaman PowerShell, WMI veya benzeri mekanizmalar üzerinden tetiklenir.
2. Process Injection (Süreç Enjeksiyonu)
Zararlı kod, meşru bir uygulamanın belleğine enjekte edilir.
Sonuç:
- Zararlı trafik “güvenilir uygulama” gibi görünür
- Davranış analizi yapılmadıkça fark edilmez
3. Living off the Land (LotL) Teknikleri
Saldırganlar sisteme yeni araç getirmek yerine:
- İşletim sistemiyle gelen araçları
- Kurumun kendi yazılımlarını
kullanarak saldırı gerçekleştirir.
Bu da saldırının normal kullanıcı davranışı gibi algılanmasına neden olur.
4. Reflective Code Loading
Kod doğrudan belleğe yüklenir ve çalıştırılır. Diskte hiçbir zaman yer almaz.
Bu teknik:
- Klasik malware taramalarını
- Hash ve imza kontrollerini
etkisiz hale getirir.
5. Credential Dumping (Bellekten Kimlik Bilgisi Toplama)
Birçok işletim sistemi, kimlik bilgilerini geçici olarak bellekte tutar.
Memory-based saldırılar:
- Kullanıcı parolalarını
- Hash değerlerini
- Token’ları
doğrudan bellekten hedef alır.
Neden Geleneksel Antivirüsler Yetersiz Kalır?
Klasik antivirüs çözümleri genellikle:
- Disk taraması yapar
- İmza bazlı çalışır
- Bilinen zararlılara odaklanır
Memory-based saldırılar ise:
- Yeni veya özel teknikler kullanır
- Meşru süreçleri istismar eder
- Diskte iz bırakmaz
Bu nedenle EDR/XDR olmadan bu saldırıların yakalanması oldukça zordur.
Memory-Based Attacks Nasıl Tespit Edilebilir?
Davranış Analizi Şarttır
Dosya yerine davranış izlenmelidir:
- Olağandışı bellek erişimleri
- Meşru uygulamaların beklenmedik davranışları
- Normal dışı API çağrıları
Log ve Telemetri Önemi
Aşağıdaki veriler kritik önemdedir:
- Process creation logları
- Parent-child process ilişkileri
- Network bağlantı davranışları
Merkezi loglama olmadan bu saldırılar neredeyse görünmezdir.
Kurumlar Kendini Nasıl Koruyabilir?
1. EDR / XDR Kullanımı
Bellek davranışlarını izleyebilen çözümler şarttır.
2. PowerShell ve Script Kontrolleri
- Script logging
- Kısıtlı execution policy
- Yetkisiz script çalıştırmanın engellenmesi
3. Least Privilege Prensibi
Düşük yetkili hesaplar, bellek tabanlı saldırıların etkisini ciddi şekilde sınırlar.
4. Anomali Tabanlı İzleme
İmza değil, alışkanlık dışı davranış izlenmelidir.
5. Olay Müdahale Senaryoları
Memory-based saldırılar için özel IR playbook’ları hazırlanmalıdır.
Olay Müdahale Açısından Zorluklar
Bellek tabanlı saldırılar:
- Yeniden başlatma sonrası kaybolabilir
- Diskte iz bırakmaz
- Adli analiz sürecini zorlaştırır
Bu nedenle canlı sistem analizi (live response) büyük önem taşır.
Sonuç: Görünmeyen Tehdit, Gerçek Risk
Memory-based attacks, modern siber tehditlerin en sessiz ama en etkili türlerinden biridir. Diskte iz bırakmaması, bu saldırıları zararsız yapmaz; aksine daha tehlikeli hale getirir.
Günümüz siber güvenliğinde temel gerçek şudur:
Dosya yoksa tehdit yoktur anlayışı artık geçerli değildir.
Belleği göremeyen güvenlik yaklaşımı, saldırıyı da göremez.
Memory-Based Attacks: Diskte İz Bırakmayan Saldırılar