Obfuscation / Karmaşıklaştırma, bir yazılımın kaynak kodunun veya verilerinin, işlevselliği değişmeden insan ve makineler tarafından analiz edilmesini zorlaştırmak amacıyla karmaşık hale getirilmesidir. Infostealer yazılımları, antivirüs ve EDR sistemlerinin "imza tabanlı" tespitlerinden kaçmak için bu yöntemi yoğun olarak kullanır.
Siber güvenlik savunması ile saldırı arasındaki kedi-fare oyununda en sık kullanılan yöntemlerden biri Obfuscation / Karmaşıklaştırmadır. Bir Infostealer yazarı, kodunu açık ve anlaşılır bırakırsa, güvenlik yazılımları bu kodu saniyeler içinde "zararlı" olarak işaretleyebilir. Karmaşıklaştırma, bu kodu bir "dijital bilmeceye" dönüştürerek analiz edilmesini engeller.
Saldırganlar, kodlarını gizlemek için şu tekniklere başvurur:
Değişken İsimlerini Değiştirme: Anlamlı fonksiyon isimlerini (örneğin GetBrowserPasswords) anlamsız karakter dizileriyle (örneğin a1_X9z) değiştirme.
Obfuscation / Karmaşıklaştırma, statik analiz araçlarını (dosyayı çalıştırmadan tarayan araçlar) etkisiz bırakır. Güvenlik yazılımı dosyaya baktığında, zararlı bir komut yerine "anlamsız veriler" görür. Dark Radar gibi gelişmiş platformlar, bu engeli aşmak için dosyanın neye benzediğine değil, çalışırken ne yaptığına (davranışsal analiz) odaklanır.
Bir zafiyet analizinde, sistemde bulunan ve yüksek oranda karmaşıklaştırılmış (high entropy) dosyalar potansiyel birer tehdit olarak işaretlenir. Çünkü yasal yazılımlar genellikle kodlarını bu kadar derinlemesine gizleme ihtiyacı duymazlar.
Özetle; Obfuscation, bir Infostealer'ın görünmezlik pelerinine bürünmesidir. Bu sinsi yöntemi alt etmek için statik taramaların ötesine geçen dinamik güvenlik çözümleri kullanılmalıdır.
