İhtiyatlı ransomware
İki gün önce gerçekleşen WanaCrypt 2.0 ransomware saldırısı birkaç sebepten ötürü korkutucu özellik taşıyordu. Fakat MalwareTech’te çalışan bir güvenlik araştırmacısının ivedi tavrı, yazılımın yayılmasına geçici olarak engel oldu (her ne kadar araştırmacı o an bunun farkına varmamış olmasa da).
İşin özü şu: Sizin de duymuş olabileceğiniz gibi söz konusu fidye yazılımı, Shadow Brokers adlı hacker grubunun geçtiğimiz ay yayınladığı ‘NSA Amerikan ulusal güvenlik teşkilatının kayıtları’ndan edindiği bir saldırı aracının kullanılması yoluyla yayılıyordu. Hızlıca ve geniş alanda yayılabilme potansiyeline sahip olan bu yazılım, yazılımı incelemek ve edinmek isteyen bilişime meraklıların dikkatini çekmişti.
Yazılımın yayılma potansiyeline bir güvenlik anahtarı oluşturmak isteyen program yapımcıları, kayıt edilmemiş bir alan adıa sorguda bulunan bir kodu yazılıma dahil etmişlerdi. Çünkü bazı ağ çevreleri (örneğin zararlı kodları çalışmak için oluşturulan Virtual Machine (sanal makine) gibi ortamlar), dışarı giden tüm verileri (örneğin bir web alanına bağlanma girişimini) kayıt altına alarak, kendine ait trafiği geri çevirirler.
Dolayısı ile bu fidye yazılımı da bu tip çevrelerde faal duruma geçmemek için daha önceden belirlenmiş, fakat kayıt olunmamış bir alan adına ping çekmek üzere tasarlanmış (örneğin; afn38sj729.com gibi) . Eğer DNS hatası haricinde herhangi bir yanıt alamazsa, bu durumda yazılımın etkinlik trafiği manipüle ediliyor olabileceği için kendini kapatarak daha fazla analiz yapılmasına engel olur.
Fidye yazılımının bu tip bir kaydedilmemiş alan adına çağrı gönderdiğini gören güvenlik araştırmacısı, hemen ilgili alan adını kaydetti ve böylece yazılımın etkinlik trafiğini takip altına alabildi (yazılımın etkinlik trafiği yukarıdaki haritada görüldüğü gibiydi). İlk aşamada sadece yazılımın yayılmasını takip etmelerine yarayacak bir yöntem olduğunu düşünen ekip, aslında bu alan adını kaydederek dünya çapında gerçekleşen bu saldırıyı etkin bir şekilde öldürmüş oluyordu. Çünkü şimdi yazılım kodu bu alan adına ping çektiğinde alan adının kayıtlı olduğunu gördüğü için ransomware bir daha asla kendini aktive etmeyecek!
Araştırmacılar fişi prizden çektiler ama bunun farkında bile değillerdi (Araştırmacı ancak bu tip davranış şekillerini farklı vesilelerle test ederken bunun farkına vardı).
Kazara gerçekleşmiş olabilir fakat alan adını kaydetmek, yapılması gereken doğru şeydi. Maalesef halihazırda makinelerine ransomware bulaşmış olan insanlar için yardımcı olmasa da, en azından daha fazla yayılmasına engel olundu.
