Fileless Malware: PowerShell ve WMI Tabanlı Saldırılar

Fileless malware, disk üzerinde malicious file bırakmadan memory-based execution ile çalışan ve tespit edilmesi zor malware türüdür. PowerShell exploitation, PowerShell'in legitimate admin tool olmasını kullanarak malicious script execution sağlar; encoded command (-EncodedCommand), download cradle (IEX + WebClient) ve AMSI bypass teknikleri ile detection atlatılır. WMI (Windows Management Instrumentation) abuse, WMI event subscription ile persistent malware execution sağlar ve __EventFilter + __EventConsumer + __FilterToConsumerBinding chain ile registry run key alternatifi persistence oluşturur. Process Hollowing, legitimate process (svchost.exe, explorer.exe) oluşturulur, memory'si boşaltılır ve malicious code inject edilir; NtUnmapViewOfSection + NtWriteVirtualMemory + SetThreadContext API chain kullanılır ve parent PID spoofing ile detection atlatılır. Reflective DLL Injection, DLL'i disk'e yazmadan memory'de load eder ve GetProcAddress + DllEntryPoint çağırır; traditional AV scanning bypass edilir ve EDR behavior monitoring ile tespit edilebilir. LOLBins (Living Off The Binaries), certutil.exe, bitsadmin.exe, mshta.exe gibi signed Windows binary'leri malicious purpose için kullanılır ve application whitelisting bypass edilir; LOLBAS project LOLBin catalog sağlar.