Malware Family (Zararlı Yazılım Ailesi) Nedir? Siber Tehditlerin Soyağacı

Siber saldırganlar her saldırı için sıfırdan bir yazılım yazmazlar; bunun yerine başarılı olduğu kanıtlanmış bir "çekirdek kod" üzerinden ilerlerler. Malware Family / Zararlı Yazılım Ailesi, bu ortak genetiği paylaşan yazılımları sınıflandırmak için kullanılır. Bir Infostealer'ın hangi aileye ait olduğunu bilmek, onun hangi verileri nasıl çalacağını önceden tahmin etmemizi sağlar.

Zararlı Yazılım Ailelerini Belirleyen Faktörler

Güvenlik analistleri bir yazılımı şu özelliklerine bakarak bir aileye dahil eder:

1. Kod Benzerliği: Yazılımın kaynak kodundaki özel fonksiyonlar ve algoritma yapıları (YARA kuralları ile tespit edilir).
2. C2 Altyapısı: Yazılımın veri sızdırmak için bağlandığı "Komuta Kontrol" panellerinin tasarımı ve iletişim protokolleri.
3. TTP (Taktik, Teknik ve Prosedürler): Yazılımın sisteme nasıl sızdığı ve kendini nasıl gizlediği (Örn: belirli bir ailenin her zaman sahte tarayıcı güncellemelerini kullanması).

Neden Önemlidir?

Bir kurumun ağına sızan yazılımın "ailesini" saptamak, savunma stratejisini belirler. Örneğin, "Lumma" ailesinden bir sızıntı tespit edildiğinde, bu ailenin özellikle kripto cüzdanlara ve MFA çerezlerine odaklandığı bilinir ve acil müdahale bu alanlara kaydırılır. Dark Radar sistemleri, dünya genelindeki zararlı yazılım ailelerini 7/24 takip ederek, yeni çıkan bir varyantın hangi köklü aileye dayandığını anında analiz eder.

Zafiyet Analizinde Aile Takibi

Zafiyet analizleri sırasında sadece "bir virüs bulundu" demek yeterli değildir. Bu virüsün ait olduğu ailenin tespiti, saldırganın motivasyonunu (mali kazanç, casusluk vb.) anlamamıza yardımcı olur.

Özetle; Malware Family, siber suç dünyasının kütüphanesidir. Tehditleri ailelerine göre sınıflandırmak, karmaşık saldırıları daha yönetilebilir ve tahmin edilebilir hale getirir.