Windows fonksiyonları kullanılarak özgün bir casus yazılım tasarımı ve alınabilecek önlemler

Abstract

Siber Dünya'da bilgi güvenliğini tehdit eden önemli zararlı yazılım türlerinden birisi de casus yazılımlardır. Kullanıcıların bilgilerini toplayarak üçüncü taraflara ulaştıran casus yazılımlar siber suç, siber casusluk ve siber savaş gibi faaliyetlerde kullanılabilmektedirler. Koruyucu yazılımlar, casus yazılımlara karşı bir önlem olarak kullanılmaktadırlar. Ancak özgün olarak geliştirilmiş yani daha önce herhangi bir koruyucu yazılıma ait imza veritabanında imzası oluşturulamamış casus yazılımların, koruyucu yazılımlar tarafından zararlı olarak değerlendirilmeme riski bulunmaktadır. Bu problemi ortaya koymak ve çözüm sunmak için donanıma ve Windows işletim sistemi versiyonuna bağımlılığı en aza indiren, hedef kitlesi genişletilmiş, özgün yöntemlerle örnek bir casus yazılım geliştirilmiştir. Casus yazılım tasarımında, bilgilerin toplanabilmesi için üçüncü parti sınıf ve kütüphaneler yerine Windows işletim sistemlerinde yer alan fonksiyonları kullanan özgün sınıflar geliştirilmiştir. Özellikle tuş kaydedici özelliğinin (KEYLOGGER) kazandırılması için yaygın olarak kullanılan Hook yöntemi yerine GetAsyncKeyState fonksiyonunun kullanıldığı sınıf geliştirilmiştir. Geliştirilen casus yazılım aracılığıyla, basılan tuş bilgileri, IP bilgileri, açık port bilgileri, açık pencere bilgileri gibi bilgiler ile ekran görüntüleri ve ortam ses kayıtlarının kullanıcının bilgisi dışında üçüncü şahıslar tarafından nasıl edinildiği, bu yazılıma ait geliştirme süreci ve geliştirme motivasyonlarının neler olduğu ortaya konmuştur. Microsoft Visual Studio geliştirme ortamında C# dilinde geliştirilen casus yazılım, Windows tabanlı işletim sistemleri üzerinde yaygın olarak kullanılan 11 adet koruyucu yazılım (antivirüs, antispyware, firewall) ile test edilmiş olup sadece dört adet koruyucu yazılımın geliştirilen casus yazılımı tespit edebildiği, bir yazılımın ise sadece internet erişimini engellediği görülmüştür. Bu testlerin yanında casus yazılım, çevrimiçi virüs tarama sitesi üzerinde de taratılmış olup detaylı sonuçlar paylaşılmıştır. Casus yazılım geliştirme sürecinde edinilen tecrübeler ve gerçekleştirilen testler ile ulaşılan sonuçlar ışığında casus yazılımlardan korunmak için koruyucu yazılım geliştiricileri, kurumsal kullanıcılar ve son kullanıcılara yönelik öneriler sunulmuştur.

Spyware is one of the important dangerous malware type threats to Information Security in the cyber world. The spywares which are used to collect user data and send to third parties can be used in cyber spying, cyber war and cyber crime activities. Anti-malware (antispyware, antivirus, firewall) software are being used as a preventive measure to spyware. But, originally developed spyware which are not identified in the antivirus software signature database may not be detected by anti-malware software. To present that problem and solution, a spyware was developed using original methods. Having a large target audience, this spyware has minimum dependency on hardware and Windows operating system. Original classes using Windows operating system functions were developed instead of third party classes and libraries for collecting information. In particular, a class using GetAsyncKeyState function was developed to implement KEYLOGGER functionality, instead of using common Hook method. The methods for gathering keystrokes (KEYLOGGER) , IP address, open and established network port and open windows information, screenshots and environment voices without the knowledge of the user are presented and spyware development stage and the motivation factors are set forth. The spyware coded with Microsoft Visual Studio C# language is tested with 11 prevalent anti-malware software commonly used in Windows operating systems. It is seen that only four of these software products could detect this spyware and one can block Internet connection. Spyware is also scanned in online virus scanning website and detailed results have been presented. Some advices are presented for anti-malware developers, IT managers and end users by the view from spyware development experiences and test results.