Bellekte gizlenen görünmez tehdit

Birçok kötü amaçlı yazılım ailesinin ortak çalışma şekli zararlı bir ekin istemeden açılması ile başlar.  Kod, kullanıcının bilgisi olmadan hareket eder. Sistemin farklı bölümlerini istila edebilir, tuş kaydediciler veya diğer casus yazılımlar gibi başka yükler yükleyebilir. Dosyalara veya uygulamalara erişimi engelleyebilir, kötü amaçlı reklamlar görüntüleyebilir ve daha fazlasını yapabilir. Dosyasız zararlı yazılım bilgisayarınızın sürücüsünde depolanmak yerine yalnızca bilgisayarın rastgele erişimli belleğine (RAM) yüklendikten sonra kötü niyetli bir şekilde hareket eder. Kendisini çalıştırmak için yürütülebilir dosyalardan yararlanan normal zararlı yazılımların aksine, bilgisayarı tehlikeye atmak için yasal programları kullandığından daha az görünürdür. Bu, dosyasız kötü amaçlı yazılımların tespit edilmesinin daha zor olduğu anlamına gelir çünkü konuşulacak bir ayak izi yoktur, tamamen bellekte bulunur.

Dosyasız zararlı yazılım, ayrı bir bağımsız ‘kampanya’ yürütmek yerine mevcut süreçleri ya da araçları kendi gündemi için manipüle eder. Sistem özelliklerini manipüle etme, kötüye kullanma ve bunların içinde gizlenme yeteneği nedeniyle daha kalıcı hale getirir. Bellek içi ‘dosyasız’ kötü amaçlı yazılımlar hala kötü amaçlı bağlantılar veya ekler aracılığıyla teslim edilir; sadece yürütme farklıdır. Dosyasız kötü amaçlı yazılımlar tespit edilmekten olabildiğince kaçmak ister.

İnsanları dosyasız zararlı yazılımlar gibi gelişmiş tehditlere karşı korumak için siber güvenlik korumaları artırılırken yine de söylenmesi gereken bir şey var: Tanıdığınız ve güvendiğiniz birinden gelse bile şüpheli e-postalardaki kötü amaçlı bağlantılara veya eklere asla tıklamayın. İlk olarak, farklı bir iletişim aracıyla -örneğin mesaj, telefon veya e-posta ile – göndericiye ulaşın ve mesajı gönderenin gerçekten onlar olup olmadığını ve niyetlerini doğrulayın. Bu biraz fazla gibi görünse de sosyal mühendislik oldukça karmaşık hale gelmiştir ve herkesi kolayca kandırabilir.

Dosyasız tehditlere karşı koruma

ESET Endpoint Security’nin çok katmanlı ürünü, Exploit Blocker ile birlikte kaçamak düşünülerek tasarlanmış kötü amaçlı yazılımlara karşı koruma sağlayan Gelişmiş Bellek Tarayıcı modülüne sahiptir. Ayrıca içinde kullanılan farklı AdvancedMachine Learning formları sayesinde tespitler, en iyi tespit oranlarını sunacak şekilde ince ayarlanır. Dosya sisteminde kalıcı bileşenleri olmayan bellek içi dosyasız saldırıları yalnızca bellek taraması başarılı bir şekilde keşfedebilir. Ayrıca ESET Host-based Intrusion Prevention System (HIPS) ve Deep Behavioral Inspection (DBI), çalışan işlemler, dosyalar ve kayıt defteri anahtarlarıyla ilgili şüpheli davranışları taramak ve izlemek için önceden tanımlanmış kuralları kullanır ve dosyasız zararlı yazılımların faaliyetlerini gizlemek için sıklıkla kullandığı yöntemleri hedef alır.