Salam əziz dostlar,Ş bu gün sizə Kibertəhlükəsizlikdə fayl təhlükəsini yoxlamağın ən təsirli yollarından biri hash dəyərləri ilə analizdir. Hash, hər fayl üçün unikal olan rəqəm-hərf kombinasiyasıdır. Kiçik dəyişiklik olsa belə, hash tamamilə dəyişir. Bu, zərərli faylların tanınmasında kömək edir. Ən çox istifadə olunan hash növləri MD5, SHA1 və SHA256-dir. SHA256 daha güvənilirdir. Hash dəyərləri ilə əvvəlcədən tanınmış zərərli faylları tapmaq mümkündür.
Faylın hash dəyərini çıxarmaq çox asandır. Linux-da sha256sum fayl.zip, Windows-da Get-FileHash ilə bu mümkündür. CMD istifadəçiləri üçün certutil -hashfile fayl.zip SHA256 komandasından istifadə olunur. Hash çıxarıldıqdan sonra onu VirusTotal saytında yoxlamaq olar. VirusTotal bu hash-i analiz edir. Əgər fayl daha əvvəl zərərli kimi tanınıbsa, orada qeyd olunur. Bu üsul şübhəli faylların açılmadan təhlilini təmin edir.
ZIP və RAR fayllar tez-tez zərərli faylları gizlətmək üçün istifadə olunur. Faylın içində olan exe, js, vbs, bat, ps1 kimi uzantılar risklidir. Şübhəli fayl tapıldıqda, onu sandbox mühitində test etmək tövsiyə olunur. Sandbox sistemləri faylın nə etdiyini izləyir. Əgər fayl avtomatik olaraq PowerShell və ya internet bağlantısı qurursa, bu təhlükə əlamətidir.
Any.Run, Cuckoo Sandbox və Joe Sandbox kimi platformalarda fayllar təhlil edilə bilər. Bu sistemlər faylın davranışını analiz edir. Fayl hansı prosesi işə salır, hansı IP-yə bağlanır və ya nələri dəyişir – bunlar görünür. Davranış şübhəlidirsə, fayl zərərli sayılır. Bəzi fayllar parolla qorunmuş ZIP şəklində gəlir. Bu da təhlükədən yayınmaq üçündür. Bu fayllar da virtual maşında açılıb yoxlanmalıdır.
Sysmon və ya EDR kimi təhlükəsizlik sistemləri bu hərəkətləri qeydə alır. Misal üçün, Sysmon Event ID 1 – yeni prosesi, ID 11 – yeni faylın yaranmasını göstərir. Əgər ZIP açıldıqdan sonra cmd.exe və ya powershell.exe başlayırsa, bu SIEM sistemində xəbərdarlıq yaradır. SIEM-lərdə avtomatik qaydalar yazmaqla bu risklər aşkarlana bilər. Məsələn, Splunk və ya ELK sistemində belə bir qayda yazılır: “ZIP açıldı və arxasınca .exe fayl başladı”.
VirusTotal saytına təkcə fayl yükləmək yox, həm də hash daxil etməklə analiz mümkündür. Bu zaman faylı sistemə yükləmədən təhlükəsini yoxlamaq olur. Hash əsaslı yoxlama sürətlidir və sistemin yoluxmasının qarşısını alır. Fayl içində invoice.exe, payment.exe, urgent.docx.exe kimi adlar varsa, bu da risklidir. İkiqat uzantı çox vaxt gizlətmə üsuludur. Bunlara qarşı diqqətli olmaq lazımdır.
Hash dəyərləri SIEM sistemlərə inteqrasiya oluna bilər. Əvvəl aşkarlanmış zərərli fayl hash-ləri siyahıya salınır. Əgər həmin hash yenidən sistemə daxil olarsa, avtomatik blok edilir. Bu, hadisələrə cavab sürətini artırır. Yara qaydaları ilə də ZIP içindəki fayllar analiz oluna bilər. ZIP içində “MZ” imzası olan .exe fayl varsa, bu qayda onu şübhəli sayacaq. Bu analiz həm endpoint, həm də şəbəkə səviyyəsində aparıla bilər.
İstifadəçilərə tövsiyə olunur ki, tanımadıqları şəxsdən gələn ZIP və ya RAR faylları birbaşa açmasınlar. Əvvəlcə hash çıxarıb yoxlasınlar. Əgər VirusTotal nəticəsi təmiz olsa belə, davranışı şübhəli olan fayl sandbox-da test edilməlidir. Hash dəyəri təmiz olan faylın zərərsiz olması zəmanət vermir. Buna görə davranış analizləri də vacibdir. Kibertəhlükəsizlik sadəcə virus skan etməklə bitmir. Hash, sandbox, SIEM və istifadəçi diqqəti birlikdə işləməlidir.
Şirkətlərdə bu proseslər üçün siyasətlər hazırlanmalıdır. İT heyəti istifadəçilərə mütəmadi təlimlər keçməlidir. Sadə hash çıxarma və yoxlama bacarığı belə çox böyük fəlakətin qarşısını ala bilər. Şirkət daxilində fayl skan qaydaları müəyyən olunmalıdır. Parolla qorunan arxiv faylları üçün xüsusi tədbirlər görülməlidir. Antiviruslar bəzən bu faylları görə bilmir. SIEM sistemləri isə fayl davranışlarını daha yaxşı analiz edir. Hash dəyərləri ilə tanınmış zərərli faylların aşkarlanması mümkündür. Bunun üçün düzgün alət və prosedura ehtiyac var.
Endpoint mühafizə proqramları hash siyahılarına əsasən real vaxtda bloklama edə bilir. EDR sistemləri bu prosesləri avtomatik həyata keçirir. Həmçinin, SIEM-lər VirusTotal API ilə birləşdirilərək real vaxt analiz edə bilər. Beləliklə, təhlükəli fayllar sistemə çatmadan bloklana bilər. Bu, təşkilatın ümumi təhlükəsizlik vəziyyətini gücləndirir. Hash yoxlaması fərdi istifadəçilər üçün də əlverişlidir. Komanda sətirində bir neçə saniyəyə bu yoxlama aparıla bilər. Beləliklə, istifadəçi riskli bir faylı analiz edərək yoluxmadan qorunmuş olur.
Hər kəs bu vərdişi özündə formalaşdırmalıdır. Faylı yüklədikdən sonra ilk iş, onun hash dəyərini çıxarmaq və yoxlamaq olmalıdır. Bu asan, amma çox güclü müdafiə üsuludur. Sadə bir yoxlama ilə milyonlarla ziyana səbəb ola biləcək hücumun qarşısı alına bilər. Kibertəhlükəsizlik yalnız mütəxəssislərin işi deyil. Hər kəs öz məlumatının qorunmasına cavabdehdir. Hash yoxlaması bu prosesin vacib hissəsidir. Bu vərdişi gündəlik istifadə qaydasına çevirmək lazımdır
