FUD (Fully Undetected) Nedir? Güvenlik Yazılımlarını Geçme

Siber güvenlik araçları ile saldırganlar arasında bitmek bilmeyen bir yarış vardır. Bu yarışın zirve noktası FUD (Fully Undetected) kavramıdır. Bir Infostealer'ın "FUD" olarak tanımlanması, o dosyanın tarandığında hiçbir uyarı (0/60 tespit oranı gibi) vermemesi demektir. Bu durum, saldırganın en sıkı korunan sistemlere bile sessizce sızabileceği anlamına gelir.

Bir Yazılım Nasıl FUD Olur?

Saldırganlar, Infostealer yazılımlarını FUD tutmak için şu teknikleri kullanır:

1. Gelişmiş Crypter Kullanımı: Yazılımın kodunu karmaşık şifreleme algoritmalarıyla sarmalayarak statik tarayıcılardan gizleme.
2. Polimorfik Yapı: Yazılımın her yeni kopyasında kod dizilimini değiştirerek imza tabanlı tespitleri imkansız hale getirme.
3. Bellek İçi Çalışma (Fileless): Diske dosya yazmadan doğrudan RAM üzerinde çalışarak geleneksel taramalardan kaçma.

FUD Süresi ve "Kirlenme" (Burning)

Hiçbir yazılım sonsuza kadar FUD kalamaz. Güvenlik firmaları yeni bir örnek (sample) elde ettiğinde, bunu analiz ederek veri tabanlarına eklerler. Buna siber suç dilinde yazılımın "kirlenmesi" (burning) denir. Bu nedenle Infostealersağlayıcıları, yazılımlarını FUD tutmak için haftalık veya günlük güncellemeler sunarlar.

Dark Radar ve FUD Tehditleri

Dark Radar gibi davranışsal analiz tabanlı sistemler, dosyanın imzasına bakmak yerine ne yaptığına odaklanır. Bir dosya FUD olsa bile, sistemdeki şifreleri okumaya çalıştığı anda "davranışsal anomali" sayesinde yakalanabilir. Zafiyet analizlerinde, sistemlerin sadece imzaya değil, davranışa duyarlı (EDR/XDR) olup olmadığı bu yüzden denetlenir.

Özetle; FUD, siber hırsızların görünmezlik pelerinine bürünmesidir. Bu tehdide karşı koymanın yolu, sadece dosya taramalarına güvenmek değil, sistemdeki her türlü şüpheli aktiviteyi canlı olarak izlemektir.