Kötü amaçlı yazılım nedir?
Kötü amaçlı yazılım, bilgisayar sistemlerine, ağlara ve cihazlara sızmak ve bunları ele geçirmek için tasarlanmış zararlı yazılımlardır. Cihazlara erişim sağlamak, hassas bilgileri çalmak, finansal kazanç elde etmek amacıyla dosyaları şifrelemek veya kullanıcılar ile işletmelere zarar vermek için kullanılırlar. Kötü amaçlı yazılımlar, e-posta ekleri, virüslü web siteleri, çevrimiçi sahte bağlantılar, güvenlik açıkları veya sosyal mühendislik teknikleri gibi çeşitli kanallar aracılığıyla dağıtılabilir.
The most common types of malware
Doğaları ve çalışma şekilleri birbirinden farklı olan 12 yaygın kötü amaçlı yazılım türü vardır. Bu kötü amaçlı yazılım türlerinin hibrit versiyonları, en yıkıcı bilgisayar korsanlığı saldırılarının temelini oluşturabilir. Her bir kötü amaçlı yazılım türünün nasıl çalıştığına ve internet kullanıcılarını nasıl etkilediğine yakından göz atalım.
1. Virüs
Virüs, bilgisayar sistemlerine kendini yerleştiren, kendi kendini kopyalayan ve diğer sistemler ile cihazlara bulaşan kötü amaçlı bir kod parçasıdır. Virüsler genellikle tetiklendiklerinde, örneğin kurban indirdiği kötü amaçlı dosyayı açtığında aktif hale gelirler. Bir bilgisayar virüsü tetiklendiğinde, verilerinizi şifrelemeye, bozmaya, çalmaya veya daha karmaşık kötü amaçlı yazılım saldırıları gerçekleştirmeye çalışır.
Genellikle virüslerin bir cihaza bulaşması için kurbanların buna izin vermesi gerekir. Siber suçlular, bunu sağlayabilmek için sosyal mühendislik teknikleri kullanarak kullanıcıları e-posta ekleri, ağ paylaşımları, güvenliği ihlal edilmiş web siteleri veya çıkarılabilir ortamlar (örneğin USB sürücüler) aracılığıyla virüsleri indirmeleri veya yüklemeleri için kandırmaya çalışırlar.
Virüslerin gerçek hayattaki bir örneği, Mayıs 2000'de ortaya çıkan ILOVEYOU siber saldırısıdır. Bu virüs, aşk mektubu gibi görünen bir e-posta eki aracılığıyla yayılmıştır. Virüs, açıldığında bulaştığı bilgisayardaki dosyaları değiştirmiş ve kurbanın Microsoft Outlook adres defterindeki diğer kullanıcılara kendi kopyalarını göndermiştir.
2. Bilgisayar Solucanı (Worm)
Solucan, bir ağa girmek için işletim sistemindeki güvenlik açıklarını arayan ve kendi kendini kopyalayan bir kötü amaçlı yazılımdır. Genellikle cihazların belleklerine veya sabit disklerine saldırır. Ağları kesintiye uğratmak ve bant genişliğini tüketmek için tasarlanmışlardır. Bazen hassas verileri de çalarlar veya daha karmaşık siber saldırılar başlatmak için kullanılabilirler.
Virüslerin aksine, solucanlar yayılmak için kullanıcılar ile etkileşime girmeye veya yazılımlara eklenmeye ihtiyaç duymazlar. Bilgisayar sistemlerine genellikle yazılımlara yerleştirilmiş arka kapılar veya güvenlik açıkları aracılığıyla sızarlar. Ayrıca flash bellekler, e-posta veya mesaj ekleri yoluyla da yayılabilirler.
Conficker adında bir bilgisayar solucanı, 2008 yılında Microsoft Windows işletim sistemindeki bir güvenlik açığını kullanarak dünya çapında milyonlarca bilgisayara hızla yayıldı. Bu solucan, güvenlik güncellemeleri yapılmamış cihazları hedef aldı ve ağ paylaşımları ve çıkarılabilir ortamlar aracılığıyla yayıldı. Conficker, enfekte ettiği cihazları kullanarak tehdit aktörlerinin kontrolüne geçen ve güvenliği ihlal edilmiş bilgisayarlardan oluşan bir ağ kurdu.
3. Reklam Yazılımı (Adware)
Reklam yazılımı, kullanıcının cihazında istenmeyen veya zararlı reklamlar görüntüleyen reklam destekli bir yazılımdır. Kullanıcıların çevrimiçi etkinliklerini takip eder ve onları hedefleyen reklamlar sunmak için veri toplarlar. Reklam yazılımları, “gri yazılım” kategorisine girer. Yani amaçları kullanıcıya doğrudan bir zarar vermek değildir, ancak cihazınızın performansını düşürebilir ve farklı türlerde kötü amaçlı yazılımların indirilmesine neden olabilirler.
Reklam yazılımı, genellikle kullanıcının bilgisi olmadan başka bir yazılımla birlikte yüklenir. Kurbanın ekranına (genellikle web tarayıcısında veya pop-up pencere şeklinde görüntülenen) reklamlar yerleştirmek için tasarlanmışlardır.
2017’de, Fireball adlı büyük ölçekli bir reklam yazılımı ortaya çıktı ve meşru yazılımları kullanarak yayıldı. Fireball, tarayıcıları ele geçirdi, ayarlarını değiştirdi, arama sorgularını yönlendirdi ve hedefli reklamlar sunmak için kullanıcı faaliyetlerini takip etti. Raporlara göre, Fireball reklam yazılımı dünya çapında 250 milyondan fazla bilgisayarı etkiledi.
4. Truva Atı (Trojan)
Truva atı, zararsız ve meşru bir yazılım, uygulama veya oyun gibi görünen ve kullanıcıları kendisini indirmeye teşvik eden kötü amaçlı bir yazılımdır. Truva atları bir sisteme sızdıklarında, saldırgana cihazlar üzerinde tam bir kontrol sağlar veya kullanıcının bilgisi olmadan kötü amaçlı yazılım yaymaya başlarlar. Buna hassas bilgilerin çalınması, dosyaların değiştirilmesi, sistemin kontrolünün ele geçirilmesi veya uzaktan erişim için arka kapılar oluşturulması dahildir.
Truva atları genellikle sosyal mühendislik teknikleriyle dağıtılır ve bunlar arasında e-posta kimlik avı, sahte yazılım güncellemeleri veya güvenliği ihlal edilmiş web siteleri yer alır. Bu kötü amaçlı yazılım kendi başına yayılmaz, sadece belirli bir kişi tarafından çalıştırılabilir.
Emotet, 2014’de ortaya çıkan sofistike bir truva atı saldırısıydı. Temel olarak virüslü ekler veya kötü amaçlı bağlantılar içeren ve gerçekmiş gibi görünen e-postalar aracılığıyla yayıldı. Emotet, çok sayıda hassas bilgiyi çaldı ve fidye yazılımları ile bankacılık truva atları dahil olmak üzere diğer kötü amaçlı yazılımlar için bir dağıtım platformu olarak çalıştı.
5. Fidye Yazılımı (Ransomware)
Fidye yazılımı, bir bilgisayar korsanının kullanıcı dosyalarını veya cihazlarını şifreleyip belirli bir süre sonuna kadar fidye karşılığında “rehin aldığı”, zaman sınırlı bir siber saldırıdır. Kurban fidyeyi ödese bile, dosyalarının veya cihazlarının şifresinin çözüleceğine dair hiçbir garanti yoktur.
Fidye yazılımı saldırıları, kötü amaçlı dosyalar, güvenlik açığı kitleri, güvenliği ihlal edilmiş web siteleri, kötü amaçlı yazılım bulaşmış dosya indirmeleri veya bağlantılar gibi pek çok farklı yolla başlatılabilir. Saldırganlar ayrıca genellikle hedefledikleri kurbanlara hitap eden özel mesajlar hazırlama eğilimindedir. Fidye yazılımı, yüklendikten sonra bilgisayar korsanının hedef aldığı cihaza erişip içindeki verileri şifrelemesi için bir arka kapı oluşturur.
2017’de gerçekleşen WannaCry fidye yazılımı saldırısı, 150'den fazla ülkede binlerce bilgisayarı hedef aldı. Bu kötü amaçlı yazılım, Windows SMB güvenlik açığı yoluyla hızla yayıldı, dosyaları şifreledi ve Bitcoin ile fidye ödemesi talep etti. SMB güvenlik açıkları, WannaCry ve Petya/NotPetya fidye yazılımı gibi dünya çapında kullanıcıları etkilemiş birçok ünlü kötü amaçlı yazılım saldırısından sorumludur.
6. Casus Yazılım (Spyware)
Casus yazılım, kullanıcının bilgisi veya onayı olmadan, kullanıcı faaliyetlerini gizlice takip eden ve bilgi toplayan bir kötü amaçlı yazılımdır. Şifreler, gezinti alışkanlıkları, kişisel veya finansal bilgiler gibi hassas verileri toplamak ve bunları uzaktaki bir saldırgana iletmek için tasarlanmıştır.
Casus yazılımlar, meşru bir yazılım gibi görünerek bulaşabilir veya kötü amaçlı e-posta ekleri ya da virüs bulaşmış web siteleri aracılığıyla dağıtılabilir. Bu tür kötü amaçlı yazılımlar, genellikle bir bilgisayar korsanının hedef aldığı sistemi keşfetmesini sağlar ve veri ihlalinin ilk aşaması olarak kullanılırlar.
Casus yazılımlara örnek olarak, iş amaçlı yolculuk eden VIP seyahatçilere odaklanan Darkhotel adındaki siber saldırı gösterilebilir. Uzun zamandır devam eden bu saldırının adı, seyahatçilerin planlarını takip etme yönteminden gelir. Bu kötü amaçlı yazılım, konaklanan otelin Wi-Fi ağı üzerinden kurbanların cihazlarına bir casus yazılım yerleştirir. Darkhotel saldırısı genellikle yüksek mevkilerdeki hükümet yetkililerinin hassas verilerini çalmak amacıyla gerçekleştirilir.
7. Bot ve Botnet’ler
Bot, bulaştığı cihazlardan oluşan bir ağ, yani bir “botnet” (bot ağı) oluşturmak için tasarlanmış kötü amaçlı bir yazılım uygulamasıdır. Bu botnet, bir bilgisayar korsanı tarafından kontrol edilir. Bir cihaza bot bulaştığında, botnet’in bir parçası haline gelir ve saldırganın ele geçirdiği cihazları uzaktan kontrol etmesine ve komut vermesine olanak tanır.
Botnet’ler, enfekte olmuş bilgisayar ağları aracılığıyla geniş çaplı ve uzaktan kontrol edilen siber saldırılar düzenleyebilir, hassas bilgileri çalabilir veya büyük ölçekli spam kampanyaları başlatabilirler. Botlar internette dolaşır ve güvenlik altyapılarını ihlal etmenin yollarını ararken, genellikle sosyal mühendislik taktikleri veya yazılım güvenlik açıklarını kullanarak yayılırlar.
2016’da ortaya çıkan Mirai botnet’i, router’lar, kameralar ve dijital video kaydediciler (DVR'ler) gibi Nesnelerin İnterneti (IoT) cihazlarını hedef almıştı. Enfekte olduktan sonra, bu cihazlar Mirai botnet’inin bir parçası haline geldi ve sonrasında başlatılan büyük çaplı bir DDoS (denial of service - dağıtılmış hizmet reddi) saldırısında kullanıldı.
8. Rootkit
Rootkit (kök kullanıcı takımı), bir bilgisayar sistemine yetkisiz erişim sağlayarak yönetici ayrıcalıkları elde eden kötü amaçlı bir yazılımdır. Rootkit'ler genellikle veri ihlallerinin ilk adımını oluşturur ve bulaşan diğer kötü amaçlı yazılımları gizlemek ve yaymak için kullanılırlar. Ayrıca hassas bilgileri çalabilir, dosyaları değiştirebilir, tuş vuruşlarını yakalayabilir veya ağ trafiğini engelleyebilirler.
Rootkit’ler, virüs bulaşmış bir cihazda uzun süre boyunca kalmak için ve kullanıcı veya güvenlik yazılımları tarafından tespit edilemeyecek şekilde tasarlanırlar. Bu kötü amaçlı yazılım, sistem yeniden başlatıldıktan veya güvenlik önlemleri uygulandıktan sonra bile kendini otomatik olarak yeniden yükleyebilir veya etkinleştirebilir. Rootkit’ler genellikle kimlik avı saldırıları, istenmeyen kötü amaçlı indirmeler veya güvenliği ihlal edilmiş paylaşılan dosyalar aracılığıyla yayılırlar.
2018'de ortaya çıkan Zacinlo, ileri düzey bir rootkit saldırısına iyi bir örnektir. Bu rootkit'in amacı tıklama sahtekarlığı yapmaktı: Web tarayıcılarını ele geçirdi, web sayfalarına sahte reklamlar ekledi ve tehdit aktörlerinin gelir elde edebilmesi için, kullanıcıların bu reklamlara tıklamasını sağladı.
9. Dosyasız Kötü Amaçlı Yazılım (Fileless Malware)
Dosyasız kötü amaçlı yazılım, bilgisayarların belleğinde çalışan, yani dosya sisteminde iz bırakmayan bellek tabanlı bir kötü amaçlı yazılım programıdır. Dosyasız kötü amaçlı yazılımlar, hedefli saldırılarda bir bilgisayar sistemine uzun süreli erişim sağlamak için sıklıkla kullanılırlar. Bu kötü amaçlı yazılım programı, geleneksel güvenlik önlemlerini atlatabilen ve tespit edilmesini zorlaştıran bir yapıya sahip olduğundan, ileri düzey siber saldırılar için tercih edilir.
Dosyasız kötü amaçlı yazılım, bulaştığı cihazdaki meşru programları etkiler. Bu amaçla, dosyalarda, uygulamalarda, protokollerde veya yazılımlarda değişiklikler yapar. Tüm bunlar işletim sisteminin bir parçası olduğu için, antivirüs yazılımları dosyasız kötü amaçlı yazılımları tespit etmekte zorlanır.
Astaroth, dosyasız siber saldırının gerçek hayattan bir örneğidir. 2018’de keşfedilen bu kötü amaçlı yazılım saldırısı, Windows Kayıt Defteri'ni değiştirerek ve zamanlanmış görevler oluşturarak bulaştığı bilgisayar sistemlerinde kalıcı hale gelmiştir. Güncellemeleri almak, ek yükleri indirmek ve verileri çalmak için komut ve kontrol sunucularıyla iletişim kurar.
10. Tuş Kaydediciler (Keylogger)
Tuş kaydedici, tuş vuruşlarını, yani bilgisayar klavyesinde yazılan her şeyi kaydetmek amacıyla kullanılan bir kötü amaçlı yazılım veya donanım cihazıdır. Kullanıcı adları, şifreler, kredi kartı bilgileri ve kullanıcıların girdiği diğer gizli kalması gereken veriler gibi hassas bilgileri yakalamak ve kaydetmek için tasarlanmıştır.
Tuş kaydedicileri tespit etmek genellikle zordur. Arka planda çalışabilir, antivirüs yazılımlarını atlatabilir ve kullanıcının haberi olmadan tuş vuruşlarını yakalayabilirler.
2007’de ortaya çıkan Zeus (veya Zbot) adındaki bir tuş kaydedici saldırısı, dünya çapında çok sayıda finans kurumunu hedef aldı. Zeus, kimlik avı e-postaları ve güvenlik açığı kitleri aracılığıyla dağıtıldı ve bulaştıktan sonra, hassas bilgileri yakalamak için kurbanın cihazına bir tuş kaydetme bileşeni ekledi.
11. Kötü Amaçlı Reklamcılık (Malvertising)
Kötü amaçlı reklamcılık, İngilizcede “kötü amaçlı” (malware) ve “reklam” (advertising) kelimelerinin birleşmesiyle oluşmuş bir terimdir ve çevrimiçi reklamlar aracılığıyla kötü niyetli içeriklerin dağıtılması anlamına gelir. Kötü amaçlı reklamcılık, virüsler, fidye yazılımları, casus yazılımlar veya reklam yazılımları gibi farklı türlerde kötü amaçlı yazılımların dağıtılması için kullanılabilir.
Kötü amaçlı reklamcılık, zararlı yazılımları genellikle meşru ve saygın web sitelerini kullanarak dağıtır. Kullanıcının ilgili reklama farkında olmadan tıklaması, kötü amaçlı yazılımın bilgisi dışında otomatik olarak indirilip cihazına yüklenmesine neden olabilir.
2016’da gerçekleşen Kyle ve Stan kötü amaçlı reklamcılık saldırısı, birçok büyük web sitesini etkilemiştir. Bu saldırıda kullanılan reklamlar, kullanıcıların tarayıcılarında veya eklentilerinde bulunan güvenlik açıklarını istismar ederek fidye yazılımı ve bankacılık truva atları dahil olmak üzere farklı türlerde kötü amaçlı yazılımlar yaymıştır. Yayılan bu kötü amaçlı yazılımlar, hassas bilgileri çalmak, fidye için dosyaları şifrelemek ve kurbanın cihazına yetkisiz erişim sağlamak amacıyla tasarlanmıştır.
12. Logic Bomb (Mantık Bombası)
Logic bomb (mantık bombası), kötü amaçlı kod veya yazılım aracılığıyla gerçekleştirilen ve önceden ayarlanan bir saldırıdır. Belirli bir koşul gerçekleşene veya kurbanların kendileri tarafından tetiklenene kadar pasif kalır. Logic bomb’lar genellikle bilgisayar virüsleri veya solucanları ile ayarlanırlar. Sistemleri sabote edebilir, kurbanlardan maddi kazanç elde etmek için şantaj yapabilir veya sistem genelinde kesintiye neden olabilirler.
İleri düzey logic bomb saldırıları, meşru yazılımlar veya ağ altyapısı aracılığıyla gerçekleştirilebilir, bu da onları tespit etmeyi zorlaştırır. Bu siber saldırı türü genellikle olumlu bir katalizör (örneğin, belirli bir dosyanın açılması) veya olumsuz bir katalizör (örneğin, kimsenin saldırıyı devre dışı bırakmaması) tarafından tetiklenir.
Bu siber saldırının ünlü bir örneği, 2008’de San Francisco şehir ağ altyapısına logic bomb yerleştiren bir belediye çalışanı tarafından gerçekleştirilmiştir. Logic bomb, bir sonraki bakım için kapatıldığında şehrin bilgisayar ağını sabote etmek amacıyla yerleştirilmiştir.
Hibrit kötü amaçlı yazılım nedir?
Hibrit kötü amaçlı yazılım, farklı türlerdeki kötü amaçlı yazılımların özelliklerini birleştirerek daha fazla şey yapabilmelerini sağlamak ve tespit edilmelerini önlemek için tasarlanmış kötü amaçlı yazılımlardır. Virüsler, solucanlar, truva atları veya fidye yazılımları gibi iki veya daha fazla kötü amaçlı yazılım türünün birleşiminden oluşabilirler.
Bu tür kötü amaçlı yazılımlar, kodlarını veya yapılarını dinamik olarak değiştirmek için çeşitli teknikler kullanabilir ve bu da güvenlik yazılımları tarafından tespit edilmelerini zorlaştırır. Örneğin, bir truva atı sisteme girdikten sonra solucan veya virüse dönüşebilir. Diğer siber saldırı türlerinde olduğu gibi, hibrit saldırılar da yazılım açıkları, sosyal mühendislik teknikleri, zararlı yazılım içeren web siteleri veya güvenliği ihlal edilmiş ağ cihazları aracılığıyla yayılabilir.
Kendinizi kötü amaçlı yazılımlardan nasıl korursunuz
Cihazlarınızı kötü amaçlı yazılım saldırılarından korumanın en iyi yolu, güvenlik yazılımı araçları kullanmak ve çevrimiçi tehditlerin farkında olmaktır.
Çevrimiçi tehditlerden korunmanıza yardımcı olacak bazı kolay ve etkili yöntemler arasında şunlar yer alır:
- Çok faktörlü kimlik doğrulama (multi-factor authentication - MFA). MFA, hesabınıza erişmeden önce tamamlamanız gereken ek bir adım sağlayarak oturum açma işlemlerini daha güvenli hale getirir. Genellikle bu adım, yalnızca kısa bir süre için geçerli olan tek kullanımlık şifre (TOTP) şeklindeki bir kodun girilmesini gerektirir. Kod, sisteme her bağlandığınızda değiştiği için, sadece o oturuma özeldir ve gelecekteki kimlik doğrulama girişimleri için kullanılamaz.
- Antivirüs. Güvenilir bir antivirüs yazılımı kullanmayı düşünün. Böyle bir yazılım, birçok farklı türdeki kötü amaçlı yazılımı, verileriniz ihlal edilmeden veya ağınız felç olmadan önce takip eder, algılar ve durdurur. Çevrimiçi güvenliğinizi artırmak ve daha spesifik çevrimiçi tehditlerle başa çıkmanıza yardımcı olmak için ek kötü amaçlı yazılımdan korunma çözümleri kullanmak da iyi bir fikirdir.
- Sosyal mühendislik tekniklerine karşı dikkatli olun. Şüpheci olmak, kötü amaçlı yazılımların belirtilerini fark etmek ve çevrimiçi güvenliğinizi korumak için büyük bir öneme sahiptir. İstenmeyen veya şüpheli görünen e-posta adreslerinden gelen mesajlara cevap vermeyin, bu mesajlardaki bağlantılara tıklamayın veya eklerindeki dosyaları indirmeyin. Her zaman spam filtreleri kullanın. Gerçek olamayacak kadar iyi görünen bir reklam görüyorsanız, muhtemelen gerçek değildir. Cihazınıza kötü amaçlı kod indirmekten kaçınabilmek için sizi agresif bir şekilde buna teşvik eden bağlantılara asla tıklamayın.
Tek bir tıkla online güvenliğe adım atın.
Dünyanın lider VPN'i ile güvende kalın
