FUD (Full Undetected) Nedir ?
Öncelikle FUD yani “Full Undetected” denilen şey, Tamamen Tespit Edilemez manasına gelen, zararlı yazılım ve kod parçacığı içeren dosyayı tamamen virüssüz olarak gösteren bir Crypter sistemidir. Normal şartlarda antivirüs uygulamaları tarafından tespit edilmesi gereken, içerisinde zararlı kod parçacıkları ve yazılımlar barındıran dosyaların tümünün antivirüs tarafından tespit edilememesini, doğal olarak da o dosyanın temiz olarak görünmesini sağlar.
FUD Crypter veya Full Undetected Crypter, içerisinde zararlı yazılım barındıran dosyaları tersine mühendislik yöntemlerine kapatmak ve bu dosyaları antivirüsler tarafından tanınamaz hale getirmek için kullanılan otomatikleştirilen yazılımlardır. FUD Crypter’lar yardımıyla bir saldırgan istediği kötü amaçlı yazılımı büyük ölçüde antivirüsler ve virüs taraması yapmaya yardımcı olan online servislerden gizleyebilir.
FUD hale getirilen dosyalar yalnızca çok kısa bir süreliğine antivirüslerden kaçmayı başaracaktır. Bu nedenle kısa süre içerisinde hazırlanıp kullanılması gerekir.
FUD hale getirilen dosyaların tümü antivirüs yazılımları tarafından yakalanmayacak diye bir kaide olmamakla birlikte, istisnai olsa da bazı antivirüs programları FUD dosyalardaki zararlı yazılımları tanımlayabilirler ve FUD olarak hazırlanan dosyaların hiç biri profesyonel konularda kullanılmaya uygun değildir.
Kötü amaçlı yazılımın tespiti genellikle bir veritabanındaki virüs tanımları veya imzaları kullanılarak yapılır. Virüsten koruma gibi güvenlik ürünleri, dosyaların iyi mi yoksa kötü mü olduğunu tespit etmek için bir virüs veritabanı kullanarak dosyaları tarayacaktır. Veritabanındaki bir girişle eşleşmiyorlarsa dosyaları iyi olarak algılarlar ve bir girişle eşleşirlerse dosyaları kötü olarak değerlendirirler. Antivirüs programları neredeyse gelişmiş bir kara liste gibi çalışır.
Kötü amaçlı yazılım yazarları, güvenlik ürünlerinin nasıl çalıştığını anlar ve bu ürünlerin algılayamayacağı kötü amaçlı yazılımlar oluşturur. Yeraltında bunun için; ”Tamamen Tespit Edilemez” adı verilen bir tanımlama vardır. FUD, yazarların antivirüs ürünlerinin tespit etmeyeceğini garanti ettiği kötü amaçlı yazılımdır.
FUD’lar özellikle de hepimizin uzaktan veya yakından bir şekilde aşina olduğu Keylogger, Malware ve Trojan gibi yazılımların antivirüsler tarafından tespit edilmemesini sağlarken, bu zararlı yazılımların arka planda sessiz bir şekilde çalışmasına da olanak sağlamaktadır.
FUD Crypter Nedir ?
Evet, asıl can alıcı nokta tam olarak burada başlıyor. FUD ile zararlı yazılımların zararsız gibi gösterilmesinde en büyük rol FUD Crypter olarak bilinen yazılımlardır. Bunun temel çalışma mantığı da oldukça basittir. İçerisine zararlı yazılım eklenen dosyaları tersine mühendislik yöntemiyle antivirüsler tarafından tanınmaz hale getirmektedir.
FUD Crypter, exe dosyalarınızı şifrelemek için kullanılabilecek bir yazılımdır. FUD Crypter, virüsleri ve keyloggerları şifreleyerek antivivüs dosyalarının görmesini engelleyebilir. Keylogger ve Trojanlar gibi kimlik avı için kullanılan kötü niyetli yazılımları hazırlamak oldukça kolaydır ancak bu kötü niyetli yazılımların kullanıcılar tarafından açılması her zaman sanıldığı kadar kolay olmayabilir. Özellikle de VirusTotal gibi online virüs tarama yöntemlerinden de başarıyla kaçılabilmektedir. Bu yöntem sayesinde zararlı yazılım içeren dosyayı, FUD Crypter yapan bir kişi istediği şekilde kullanabilmektedir. Tabi kullanabilmesi için de çok zamanı yoktur çünkü FUD Crypter’i hazırladığı metot her an antivirüs veritabanları tarafından tanınabilir hale gelebilir.
FUD İçeren Dosyalardan Nasıl Korunulur ?
Kötü amaçlı yazılım geliştiriciler veya siyah şapkalı hacker olarak tabir ettiğimiz kişiler sürekli değişen metotlar ile FUD Crypter geliştirmektedirler ve bu FUD Crypter’lar aracılığıyla hazırladıkları kötü yazılımları kurbanlarının sistemlerine sokmaktadırlar.
Bunlardan korunmanın yolu öncelikle sisteminizde güncel ve bilindik antivirüs uygulamaları kullanmanızdır. Özellikle de Esed Nod32 antivirüsü bu konuda oldukça iyidir ve bekleneni karşılamaktadır.
Güncel bir Antivirüs programı indirdikten sonra yapmanız gereken şey ise, önünüze gelen her siteden crack, oyun hilesi, warez gibi paylaşımlarda bulunan dosyaları indirmemenizdir. Siz indirdiğiniz dosyayı açar açmaz karşınızdaki kişi bilgisayarınızda istediği gibi at koşturabilir ve sizin ruhunuz bile duymaz.
Zararlı yazılımın sizi ne kadar etkileyeceği konuya da değinecek olursak, bu tamamen zararlı yazılımı hazırlayan kişinin amacına ve profesyonelliğine bağlıdır. Genelde amatör kişiler zararlı yazılımları çok kolay tespit edilecek şekilde komutlandırırlar ve kullanıcılar tarafından fark edilebilirler. Fakat profesyonel olan kişiler bu zararlı yazılımları bir sistem uygulaması olarak gösterebilirler veya .dll olarak çalıştırabilirler. Burada da tek yapmanız gereken şey sisteme Hard Format atmanız olur. Unutmadan, hazırlanan bu kötü niyetli yazılımlar sizin tüm sisteminize ve sisteminizde bağlı olan aygıtlara (USB, Harici HDD gibi) bulaşabilir. Bunlardan kurtulmanın tek yolu da bu aygıtları biçimlendirmek olacaktır.
Eğer sisteminizde böyle kötü amaçlı bir yazılımın varlığından şüphelenirseniz, hiç vakit kaybetmeden aygıtlarınızı ve sisteminizi içerisinde hiç bir dosya kalmayacak şekilde sıfırlamanız gerekmektedir. Sisteminizin içinden de herhangi bir dosya almamanız veya yedeklememeniz güvenliğiniz açısından oldukça önemlidir. Sebebi ise saklamak veya yedeklemek istediğiniz dosyalara da virüsün bulaşmış olma ihtimalinin söz konusu olmasıdır.
FUD Yapımında Kullanılan Teknikler Nelerdir ?
Bu düşmanlar, kötü amaçlı programlarının FUD olmasını sağlamak için birkaç farklı teknik kullanır. İlk olarak, kötü amaçlı yazılımlarını şifrelemek için şifreleyiciler kullanırlar. Bu, bir antivirüsün dosyanın içini taramasını zorlaştırır. Ayrıca, dosyanın şifrelenmesi onu benzersiz kılar, böylece virüs veritabanında bulunmaz. Daha sonra kötü amaçlı yazılım yazarları, VirusTotal gibi çalışan gizli hizmetleri kullanarak kötü amaçlı yazılımlarını antivirüs programları ile tararlar . Yalnızca güvenlik ürünlerini atlayabilen kopyaları kaydederek zararlı yazılımlarının binlerce benzersiz kopyasını oluştururlar. Ve son olarak, başarılı bir saldırı şansını artırmak için dosyasız teknikler , sıfır gün açıkları ve diğer yöntemleri kullanırlar.
Çok sayıda virüs saldırısı bu sorunu daha da kötüleştirir. Bazı uzmanlar, her gün 1 milyondan fazla yeni benzersiz kötü amaçlı yazılım dosyası yayınlandığını ve bunların saniyede yaklaşık 12’ye düştüğünü tahmin ediyor. Kötü amaçlı yazılımlardaki artışla birlikte virüs tanımı boyutunda da bir artış geliyor. Birçok virüsten koruma yazılımı satıcısı, eski kötü amaçlı yazılım dosyalarının imzalarını uzun süredir kaldırmıştır. Bazı satıcılar, 6 aydan eski tüm etkin olmayan imzaları kaldıracak kadar ileri gitti. Kötü amaçlı yazılım yazarları, artık tespit edilemedikleri için eski virüsleri yeniden yayınlayarak buna tepki verdiler.
Virüs tanımı güncellemelerinin sıklığı da önemli ölçüde artmıştır. 80’lerde ayda bir güncelleme almak normaldi. 90’larda bunun haftada bire yükseldiğini gördük. Bugün çoğu satıcı, güncellemeleri günde birkaç kez yayınlamaktadır. Bazı ürünler her 5 dakikada bir güncelleme yayınlar.
Fidye yazılımı Saldırısında Ne yapılmalı ?
Bununla birlikte, güncellemeler daha hızlı gelse de, satıcıların yeni virüsleri hızlı bir şekilde bulup sınıflandırmaları ve virüs veritabanlarına güncel sürümleri eklemeleri konusunda hala bir gecikme yaşanmaktadır. Bu durum 4 ila 48 saat arasında bir gecikmeye neden olabilir ve kötü amaçlı yazılımların, herhangi bir antivirüs programı tarafından algılanamadan bir aygıta bulaşmasını mümkün kılar. Normal virüsler için bu gecikme kabul edilebilir ancak bu süre fidye yazılımı için ölümcül bir gecikmedir. Çünkü fidye yazılımı, yüklenir yüklenmez dosyaları şifrelemeye başlayacaktır. Antivirüs fidye yazılımını tespit edip kaldırabilse bile, çok geç olabilir çünkü sisteme verilmek istenen hasar çoktan verilmiş olabilir.
İnternet tehditleri nedeniyle bilgisayar kullanıcılarının artık büyük bir kısmı bilgisayarında aktif bir koruma kalkanı (Firewall) kullanmaktadır. Bu dosyayı henüz kullanıcılar bilgisayarına indirirken antivirüs yazılımları bu zararlı yazılımları algılamakta ve kullanıcının bu yazılımı açmasını engellemek amacıyla karantinaya taşıyarak veya disk üzerinden temizleyerek aktifleşmesini engellemektedir. Zararlı yazılımlar FUD edildiklerindeyse antivirüs yazılımları bu zararlı yazılımları tanıyamazlar. Kullanıcılar ise antivirüs programlarının uyarı vermiyor olması nedeniyle, güvensiz kaynaklardan indirilen bu dosyaları açarak, bilgisayarlarına zararlı yazılımların müdahale etmesine izin verirler.
FUD Crypter Nasıl Yapılır?
Elinizde bulunan bir dosyayı antivirüsler tarafından tanınamaz hale getirmek istiyorsanız, bu işlem için kullanabileceğiniz birçok FUD Crypter yazılım bulunuyor. Özellikle kişisel kullanıcıların kendini geliştirmek amacıyla kullanabileceği CypherX’i kullanabilirler.
Daha profesyonel amaçlı bir FUD Crypter istiyorsanız ya kendinizin FUD Crypter tasarlamayı öğrenmesi yada ücretli olarak geliştirilen FUD Crypter yazılımlarından/yazılım paketlerinden herhangi birini satın almalısınız.
FUD Crypter Nasıl Çalışır?
FUD Crypter, exe dosyasının orjinal binary dosyasını alır ve üzerine birçok şifreleme uygular. Böylece yeni bir şifrelenmiş yürütülebilir dosya oluşturulur. Yeni exe antivirüsler tarafından algılanamaz çünkü kodu FUD Crypter tarafından şifrelenmiştir.
FUD şifreleyici zamanla popüler hale geldikçe, bu durum Antivirüs şirketlerinin de dikkatini çekmiş, Antivirüs şirketleri yazılımlarını güncelleyerek, FUD Crypter tarafından şifrelenen dosyayı algılama mekanizması kullanmaya başlamışlardır. Bu nedenle, popüler olan FUD şifreleciyiclerinin çoğu antivirüsler tarafından kolayca tespit edilir haldedir.
“Crypter” yazılımları alanındaki bir diğer durum ise FUD Crypter olarak ünlenen bazı yazılımların, antivirüs firmalarının sürekli olarak veri tabanlarını güncellemesi sebebiyle önce Undetectable(tespit edilemez) bir süre sonra da Detectable(tespit edilebilir) duruma gelmesidir.
FUD, Tamamen Saptanamaz veya Antivirüs algılamasının olmadığı anlamına gelir. Fud şifreleyicileri, Virüsleri, Sıçanları, Tuş kaydedicileri(keylogger) ve bazı casus yazılım araçlarını şifrelemek için kullanılabilir.
Cypter, kaynak koddaki her bir koda gizli değerler atar. Böylece kaynak kodu gizlenir yani sistemine sızılacak kurban, virüsün aldatmaca olduğunu anlayamaz.
Antivirüs imza bazında çalışır. Antivirüs, veritabanında saklanan virüs tanımlarına ve imzalarına sahiptir. Bir dosyayı tararken, antivirüs bir dosyada bu virüs tanımlarını veya imzalarını arar ve bu imzaları dosyada bulursa, antivirüs uyarı dosyası oluşturur.
İlk yorum yapan olun