Otomatik Başlat Özelliği ve Malware İlişkisi

Bilindiği üzere zararlı yazılımlar çeşitli bulaşma araçlarıyla geniş ağlara yayılırlar. Bu yayılmanın ilk başladığı kaynak noktalardan birisi de USB Flash disklerdir. Windows’un bir hizmet olarak otomatik çalıştırma özelliği CD/DVD, USB Disk veya diğer depolanabilir medya araçlarının otomatik olarak başlatılmasını sağlamaktadır. Ancak zararlı yazılımlar bu hizmeti suiistimal ederek çeşitli scriptler vasıtasıyla kendilerini bilgisayar üzerinde çalıştırır ve ilgili sistemdeki dosyalara zarar verirler. Genellikle sık rastlananları bilgisayardaki dosyaları silme, işletim sistemi kayıt defterinde değişiklikler yapmak suretiyle dosyaları gizleme, çeşitli kısayollar oluşturmak suretiyle amacına yönelik faaliyetlerde bulunma, iç ağda yayılma gibi sisteme zarar verebilecek eylemler gerçekleştirirler.

            Daha ileri seviyede gerçekleşecek bir siber saldırı Stuxnet örneğinde olduğu gibi USB Flash diskler üzerinden gelecek ve sistemin içerisinde bulunan kritik konumdaki bilgilerin kötü niyetli kişi ya da kişilerin eline geçmesine sebebiyet verecektir.

Örnek olarak; USB Switchblade gibi tespit edilip görünebilen zararlı yazılımlar ya da BadUSB adı verilen tespit edilmesi zor USB disklerin üretici bölümünde yaptığı değişiklikler ile bulaşan zararlı yazılımlar; sistem bilgisi, tüm network servisleri, açık portlar, sistemde bulunan Microsoft ürünlerine ait lisanslar, lokal şifre veritabanı, sisteme login olmuş kullanıcı adları ve parolaları, Internet Explorer ve e-posta şifreleri, Local Security Authority adı verilen ve tüm servis hesap ve şifrelerinin bulunduğu bilgileri, tarayıcı geçmişleri gibi kritik öneme sahip bilgileri USB içerisinde 45 saniye gibi kısa bir süre içerisinde kopyalabilmektedir. Hacksaw adı verilen bir gelişmiş versiyonda ise tüm yukarıda yazılanlara ek olarak USB içerisinden sistem içerisine kopyalanan trojan vasıtasıyla bilgiler e-posta olarak alıcısına gönderilebilmektedir.

U3 özelliği bulunan Flash disklerde ise USB içerisindeki otomatik başlatma (launcher) programı vasıtasıyla çeşitli programlar başlatılabilmektedir. Kötü niyetli bir kişinin bu launcher içerisine yerleştireceği exploit vasıtasıyla tasarlandığı amaca göre hareket edebilmesi sağlanabilmektedir.

            Sistemdeki farkındalık bilinci oluşmayan kullanıcıların sıklıkla yaptığı hatalardan birisi de tek bir USB Flash diski birçok sistemde kullanmaktır. Internet’ten alınan birçok bilgi USB diskler vasıtasıyla kurum içi intranetlere aktarılmakta bu ise kurumlar için bir risk oluşturmaktadır.

            Yukarıda yazılan tüm tehditlere birden fazla güvenlik sekmesi uygulayarak riski minimize etmek önem arz etmektedir.

            Kişisel bilgisayar kullanıcıları basitçe Başlat-> Çalıştır-> regedit (Kayıt defteri) içerisinde bulunan HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer klasörü içerisine aşağıdaki DWORD değerlerini oluşturabilirler.

‘NoDriveAutoRun’ 0x3FFFFFF (67108863)

‘NoDriveTypeAutoRun’ 0xFF (255)

            Intranet sistemlerde ise Group Policy vasıtasıyla Otomatik Başlat politikasının Autorun komutlarının devre dışı bırakılması seçeneği ile ilgili sistem özelliği kapatılabilmektedir.

Bütün Microsoft işletim sistemlerinde otomatik çalıştır özelliğini devre dışı bırakmak için ilgili Microsoft makalesi (Türkçe) incelenebilir. https://support.microsoft.com/tr-tr/kb/967715

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s