[KB186] Virüsler, zararlı yazılımlar, uzak saldırılar ve tanımları

Çözüm

ESET güvenlik ürünleri; virüsler, zararlı yazılımlar ve uzak saldırılar gibi birçok tehdit sınıflandırmasına karşı koruma sağlayabilecek şekilde geliştirilmiştir. Bilgisayarınız, kendi isteğinizle kurduğunuz programlar bir yana bilgisayarınıza sizden habersiz kurulan zararlı yazılımlar veya ağ yoluyla uzaktan yapılan saldırılar ile tehdit edilebilir. Kötü amaçlı yazılımlar ve uzak saldırılar para ve zaman kayıplarına neden olabilir. Aşağıda karşı karşıya kalabileceğiniz saldırı türlerinin tanımlarını bulabilirsiniz.

Virüsler
Virüs, çalıştırılabilir dosyalara(exe, com) bulaşan bir yazılım türüdür. Virüsler, bulaştıkları diğer bilgisayarlardan sizin bilgisayarınıza CD, DVD, USB bellek veya ağ yoluyla erişebilirler. Aşağıda yaygın virüs türlerini görebilirsiniz:

  1. Dosya virüsleri: Dosyalara bulaşan virüslerdir,  .exe ve .com uzantılı çalıştırılabilir dosyalara bulaşır.
  2. Script virüsleri: Script virüsleri, dosya virüslerinin çeşitli programlama dillerinde (VBS, JavaScript, BAT, PHP v.s) yazılmış bir alt türüdür. Bu virüs türleri diğer scriptlere(örneğin, Windows veya Linux komutları ve servis dosyaları) kendi kodunu ekleyerek bulaşan bir formda olabildiği gibi çoklu-bileşenli virüslerin bir parçası durumunda da olabilir. Script virüsleri HTML gibi içerisinde farklı bir script  çalıştırılabilen diğer uzantılara sahip dosyalara da bulaşabilir.
  3. Boot virüsleri: Boot virüsleri çıkarılabilir medyaların veya sabit disklerin boot sektörüne bulaşan ve bu aygıtlar her çalıştırıldığında otomatik olarak kendilerini çalıştıran virüs türleridir.
  4. Makro virüsleri: Makro virüsleri zararlı virüs kodunu dökümanların içine enjekte edebilir. Bu virüs türleri genellikleri zararlı virüs kodunu kelime veya tablo işleme uygulamalarının(word, excel, v.s) dosyalarına enjekte eder. Bu şekilde virüslü döküman her çalıştırıldığında virüs de çalıştırılmış olur.

Virüsler ayrıca eylemi gerçekleştirme türlerine göre de sınıflandırılabilir. Direct action virüsleri çalışmak için kullanıcının bir eylem gerçekleştirmesini bekler. Resident(kalıcı) virüsler ise sürekli olarak bilgisayar belleğinde çalışmaya devam eder.

Solucanlar

Bilgisayar solucanı, ana bilgisayarlara saldıran ve ağ aracılığıyla yayılan kötü amaçlı kod içeren bir programdır. Virüs ile solucan arasındaki temel fark, solucanların kendi kendilerine yayılabilmesidir. Bunlar, ana bilgisayar dosyalarına (veya önyükleme kesimlerine) bağlı değildir. Solucanlar iletişim listenizdeki e-posta adreslerine yayılır veya ağ uygulamalarındaki güvenlik açıklarından yararlanır.

Sistemde etkinleştirilen solucan çeşitli sıkıntılara neden olabilir: Dosyaları silebilir, sistem performansını düşürebilir, hatta programları devre dışı bırakabilir. Bilgisayar solucanı doğası gereği diğer sızıntı türleri için "taşıma yolu" görevi yapar.

Truva Atları

Truva atları, virüs ve solucan gibi kendini kopyalayıp dosyalara bulaşamayan bir zararlı yazılım türüdür. Genellikle çalıştırılabilir dosya (exe, com) formunda bulunur ve trojan kodu dışında farklı bir kod barındırmaz. Bu nedenle, tek çözümü trojan dosyasının silinmesidir..

Trojanlar, keylogger(tüm klavye girişleri kaydeden program) işlevinden dosyaları silmeye veya disk biçimlendirmeye kadar çeşitli fonksiyonlara sahip olabilir. Bazı trojanlar sisteme bir backdoor uygulaması(bilgisayarınızı uzaktan yönetmeye yarayan istemci-sunucu taraflı program)  yükleyerek özel yetenekler kazanırlar. Legal programların aksine kullanıcının rızası olmadan bilgisayarlara kurulurlar.



Adware

Adware, reklam-destekli yazılım ifadesinin kısatılmış halidir. Kullanıcıya reklam materyali gösterme amacı taşıyan yazılımlar bu kategoriye girer. Adware genellikle internete bağlandınız sırada reklam içerikli tarayıcı penceresi açarak, internet tarayıcı anasayfasını değiştirirerek veya bir windows uygulamasının penceresini açarak karşımıza çıkarlar. Adware reklamları çoğunlukla ücretsiz sağlanan programlarla birlikte gelir ve (genellikle yararlı olan) bu uygulamaları hazırlayanların geliştirme maliyetlerini karşılamalarına olanak sağlar.

Bu reklam amaçlı yazılımlar tek başlarına tehlikeli değildir; kullanıcılar yalnızca reklamlardan rahatsız olur. Gerçek tehlikesi bazı  reklam yazılımlarının izleme işlevleri de gerçekleştirebilmesidir (casus yazılımların yaptığı gibi).

 

Spyware

Spyware, kullanıcı izni olmadan bilgisayardan çeşitli bilgiler toplayan bir zararlı yazılım türüdür. Bazı Spyware yazılımları çalıştıkları bilgisayarlarda sistemde kurulu mevcut programlar ve ziyaret edilen web siteleri gibi bilgileri elde etmeye çalışır. Bunun yanında finansal bilgi  ve kimlik hırsızlığı gibi tehlikeli amaçlar için oluşturulan Spyware türleri de vardır.



Riskware
Çalıştığı zaman kullanıcı güvenliği için risk oluşturan tüm yazılımlar bu sınıfa girer. Spyware ve adware'de olduğu gibi riskware yazılımları da kullanıcının bilgisi dahilinde bilgisayara kurulabilir. Kullanıcıyı ödeme sayfasına yönlendiren "Dialer" isimli uygulamalar en tanınmış riskware tipine bir örnektir. Birçok program legal olarak kullanıcıyı ödeme sayfasına yönlendirebilir ancak bu gibi yazılımlar kullanıcıyı yanıltarak rızası olmadan bu sayfalara yönlendirir.



Tehlikeli olabilecek uygulamalar
Tehlikeli olabilecek uygulamalar, kullanıcı tarafından kurulan; legal fakat güvenlik riskleri oluşturan programları kapsayan sınıflamadır. Keylogger, ekran kaydetme, uzaktan erişim araçları, şifre kırma ve güvenlik testi programları bu sınıfa giren programlara örnektir.


Hoax
Hoax, gönderilen eposta mesajları ile kullanıcıları kasıtlı olarak yanlış bilgilendirme amacı taşır ve masum bir yardım isteği ile veya bilgisiz insanlar tarafından yayılır. Hoax genellikle kullanıcıları yapmamaları gereken birşeyi yaptırmak için tasarlanmıştır. Zararlı hoax epostaları bazen kullanıcıdan zararsız bir sistem dosyasının tehlikeli bir virüs olduğunu söylerek bu dosyayı silmesini ister.

Hoax epostaları çoğu kez okuyucuların dikkatini çekmek amacıyla güvenilir bir kurum veya şirkete referansta bulunur. Örneğin, "Microsoft uyarıyor" veya "CNN Açıkladı!"  başlıklı epostalar. Bu epostalar sıklıkla bir felaket konusunda kullanıcılara uyarı niteliğindedir. Uyarıları içeren epostaların ortak özelliği okuyucuları bu mesajı tüm tanıdıklarına göndererek yaymaları yönünde teşvik etmesidir. Hoax epostaları çok büyük oranda bu şekilde yayılır.

Hoax mesajlarından korunmanın tek yolu eposta mesajındaki uyarıların veya iddiaların gerçek olup olmadığını güvenilir bir kaynaktan teyit etmenizdir.


Scam
Scam, geniş tanımıyla ekonomik kazanç elde etmek amacıyla internet kullanıcılarına yönelik yapılan dolandırıcılık ve kimlik hırsızlığıdır. Dolandırıcılık genellikle Nijerya veya diğer Batı Afrika ülkelerinden gönderilen istenmeyen bir fax, eposta veya mektup ile başlar. Gönderilen mesaj yasal bir iş teklifi olarak görünecek ancak ileride hedefdeki kişiden ücret peşin olarak istenecektir. Yapılan iş teklifi dolandırıcılık amaçlıdır ve karşı tarafa iş amaçlı gönderilen para hemen çalınır.

Diğer yaygın scam türü ise kimlik avı amaçlı epostalar ve web sitelerini içerir. Bu scam türünün amacı kullanıcıların banka hesap bilgileri gibi hassas bilgileri ele geçirmektir. Bu bilgilere erişim genellikle güvenilir bir kişi veya kuruluşun(banka, sigorta şirketi v.b) kimliğine bürünmüş eposta mesajları ile sağlanır.

Gönderilen eposta (veya kullanıcının yönlendiği web sayfası) gayet orijinal bir görünüme sahiptir ve taklit ettiği kurumun orijinal grafiklerini kullanır. Kullanıcının yönlendiği sayfada banka hesabına ait kullanıcı adı ve parola gibi kişisel bilgilerin girilmesi istenir. Bu bilgiler girildiğinde, kişisel bilgiler kolayca çalınabilir.

Bankalar, sigorta şirketleri ve diğer yasal kuruluşların asla kullanıcı adı ve parolanızı eposta yolu ile istemeyeceklerini bilmeniz gerekiyor. Hoax, scam ve phishing konusunda detaylı bilgi için buraya tıklayın.


Uzak saldırılar
Saldırganların uzak sistemlerdeki güvenliği aşmasına olanak veren pek çok özel teknik vardır. Bunlar çeşitli kategorilere ayrılır.

 

DoS saldırıları

DoS veya Hizmet Reddi, bir bilgisayarı veya ağı kullanıcıları için kullanılamaz hale getirmeye yöneliktir. Bu durumdan etkilenen kullanıcılar arasındaki iletişim engellenir ve işlevsel bir şekilde çalışmaya devam edemez. DoS saldırılarına uğrayan bilgisayarların düzgün şekilde çalışabilmeleri için genelde yeniden başlatılması gerekir.

Çoğu durumda web sunucuları hedef alınır ve belirli bir süre için kullanıcılar tarafından kullanılamayacak hale getirilmesi amaçlanır

 

DNS Zehirleme

Bilgisayar korsanları, herhangi bir bilgisayarın DNS sunucusunu (Etki Alanı Adı Sunucusu) DNS zehirleme yöntemiyle kandırarak, sağladıkları sahte verilerin yasal ve gerçek olduğuna inanmasını sağlayabilir. Sahte bilgiler belirli bir süre için önbelleğe alınır ve saldırganların IP adreslerinin DNS yanıtlarını yeniden yazmalarını mümkün kılar. Bunun sonucunda, Internet web sitelerine erişmeye çalışan kullanıcılar, özgün içerik yerine bilgisayar virüsleri veya solucanlar yükler..

 

Bağlantı noktası tarama

Bağlantı noktası tarama, bir ağ ana bilgisayarında hangi bilgisayar bağlantı noktalarının açık olduğunu belirlemek için kullanılır. Bağlantı noktası tarayıcı bu tür bağlantı noktalarını bulmak için tasarlanmış bir yazılımdır.

Bilgisayar bağlantı noktası gelen ve giden verileri işleyen sanal bir noktadır; bu, güvenlik açısından çok önemlidir. Geniş bir ağda bağlantı noktası tarayıcıları tarafından toplanan bilgiler olası güvenlik açıklarını belirlemek açısından yararlıdır. Bu normal bir kullanımdır.

Ancak bağlantı noktası tarama, bilgisayar korsanları tarafından güvenliği aşma denemelerinde sıklıkla kullanılır. Korsanların ilk adımı her bağlantı noktasına paket göndermektir. Yanıt türüne bağlı olarak hangi bağlantı noktalarının kullanılmakta olduğunu belirlemek mümkündür. Tarama kendi başına bir zarara neden olmaz, ancak bu etkinliğin olası güvenlik açıklarını ortaya çıkarabileceğine ve korsanların uzak bilgisayarların denetimini ele geçirmesine olanak verebileceğine dikkat edin.

Ağ yöneticilerinin kullanılmayan tüm bağlantı noktalarını engellemesi ve kullanılanları da yetkisiz erişimden koruması önerilir.

 

TCP desynchronization

TCP zaman uyumsuzluğu(TCP desynchronization) TCP veri hırsızlığı saldırılarında kullanılan bir tekniktir. Bu tür bir saldırı gelen paketlerdeki sıra numarasının beklenen sıra numarasından farklı olduğu bir işlemle tetiklenir. Beklenmedik sıra numarasına sahip olan paketler atılır (ya da geçerli iletişim penceresinde yer alıyorlarsa arabellek depolama alanına kaydedilir).

Zaman uyumsuzluğu durumunda iki iletişim bitiş noktası da alınan paketleri atar. Bu noktada uzak saldırganlar sisteme sızabilir ve doğru sıra numarasına sahip paketler sağlayabilir. Hatta saldıranlar iletişimi yönlendirebilir veya değiştirebilir.

TCP Veri Hırsızlığı saldırıları sunucu ile istemci veya eş düzey bilgisayarlar arasındaki iletişimi kesmeyi hedefler. Her TCP kesimi için kimlik doğrulama kullanılarak pek çok saldırı engellenebilir. Ayrıca ağ aygıtlarınızda önerilen yapılandırmaları kullanmanızı da salık veririz.

 

SMB Relay

SMBRelay ve SMBRelay2 uzak bilgisayarlara saldırmak için kullanılabilecek özel programlardır. Bu programlar NetBIOS üzerinde katman oluşturan Sunucu İleti Bloğu dosya paylaşım protokolünü kendi amaçları için kullanır. Yerel ağ içinde herhangi bir klasörü veya dizini paylaşan bir kullanıcı, büyük olasılıkla bu paylaşım protokolünü kullanmaktadır.

Yerel ağ iletişiminde parola karmaları değiş tokuş edilir.

SMBRelay UDP bağlantı noktası 139 ve 445 üzerinde bir bağlantı alır, istemci ve sunucu arasında değiş tokuş edilen paketlerin geçişini sağlar ve bunları değiştirir. Bağlantı kurulmasının ve kimlik doğrulanmasının ardından istemcinin bağlantısı kesilir. SMBRelay yeni bir sanal IP adresi oluşturur. Yeni adrese erişmek için "net use \192.168.1.1" komutu kullanılabilir. Bu adres daha sonra Windows ağ işlevleri tarafından kullanılabilir. SMBRelay anlaşma ve kimlik doğrulama dışında SMB protokolü iletişiminin geçişini sağlar. İstemci bilgisayar bağlı kaldığı sürece uzak saldırganlar IP adresini kullanabilir.

SMBRelay2, IP adresleri yerine NetBIOS adları kullanması dışında SMBRelay ile aynı çalışma prensibini kullanır. Her ikisi de "man-in-the-middle" saldırılarına aracı olabilir. Bu saldırılar uzak saldırganların iletişimin iki bitiş noktası arasında iletilen iletileri fark edilmeden okumasına, eklemesine ve değiştirmesine olanak verir. Bu tür saldırılara maruz kalan bilgisayarlar sıklıkla yanıt vermemeye başlar veya beklenmedik şekilde yeniden başlatılır.

Saldırıları engellemek için kimlik doğrulama parolaları veya anahtarları kullanmanızı öneririz.

 

ICMP saldırıları

ICMP (Internet Denetim İletisi Protokolü) gözde ve yaygın olarak kullanılan bir Internet protokolüdür. Birincil olarak ağ bilgisayarları tarafından çeşitli hata iletileri göndermek için kullanılır.

Uzak saldırganlar ICMP protokolünün zayıflığından yararlanmaya çalışır. ICMP protokolü, kimlik doğrulaması gerektirmeyen tek yönlü iletişim için tasarlanmıştır. Bu durum, uzak saldırganların DoS denilen (Hizmet Reddi) saldırıları veya yetkisiz kişilere gelen ve giden paketlere erişme izni veren saldırılar yapmasına olanak tanır.

ICMP saldırısının sık rastlanan örnekleri ping seli, ICMP_ECHO seli ve ICMP paketi saldırılarıdır. ICMP saldırısına mağruz kalan bilgisayarlar son derece yavaşlar (bu Internet'i kullanan tüm uygulamalar için geçerlidir) ve Internet'e bağlanma sorunları yaşarlar.

 

ToTehditler, uzak saldırılar ve zararlı yazılımlar hakkında daha fazla bilgi için, ESET Threat Encyclopedia sayfasını ziyaret edin..