Dünya çapında etkili olan ransomware saldırısı kazara engellendi

İhtiyatlı ransomware

İki gün önce gerçekleşen WanaCrypt 2.0 ransomware saldırısı birkaç sebepten ötürü korkutucu özellik taşıyordu. Fakat MalwareTech’te çalışan bir güvenlik araştırmacısının ivedi tavrı, yazılımın yayılmasına geçici olarak engel oldu (her ne kadar araştırmacı o an bunun farkına varmamış olmasa da).

İşin özü şu: Sizin de duymuş olabileceğiniz gibi söz konusu fidye yazılımı, Shadow Brokers adlı hacker grubunun geçtiğimiz ay yayınladığı ‘NSA Amerikan ulusal güvenlik teşkilatının kayıtları’ndan edindiği bir saldırı aracının kullanılması yoluyla yayılıyordu. Hızlıca ve geniş alanda yayılabilme potansiyeline sahip olan bu yazılım, yazılımı incelemek ve edinmek isteyen bilişime meraklıların dikkatini çekmişti.

Yazılımın yayılma potansiyeline bir güvenlik anahtarı oluşturmak isteyen program yapımcıları, kayıt edilmemiş bir alan adıa sorguda bulunan bir kodu yazılıma dahil etmişlerdi. Çünkü bazı ağ çevreleri (örneğin zararlı kodları çalışmak için oluşturulan Virtual Machine (sanal makine) gibi ortamlar), dışarı giden tüm verileri (örneğin bir web alanına bağlanma girişimini) kayıt altına alarak, kendine ait trafiği geri çevirirler.

Dolayısı ile bu fidye yazılımı da bu tip çevrelerde faal duruma geçmemek için daha önceden belirlenmiş, fakat kayıt olunmamış bir alan adına ping çekmek üzere tasarlanmış (örneğin; afn38sj729.com gibi) . Eğer DNS hatası haricinde herhangi bir yanıt alamazsa, bu durumda yazılımın etkinlik trafiği manipüle ediliyor olabileceği için kendini kapatarak daha fazla analiz yapılmasına engel olur.

OKU ►  BitCoin Nedir? CryptoCurrency Kripto Para Nedir?

Fidye yazılımının bu tip bir kaydedilmemiş alan adına çağrı gönderdiğini gören güvenlik araştırmacısı, hemen ilgili alan adını kaydetti ve böylece yazılımın etkinlik trafiğini takip altına alabildi (yazılımın etkinlik trafiği yukarıdaki haritada görüldüğü gibiydi). İlk aşamada sadece yazılımın yayılmasını takip etmelerine yarayacak bir yöntem olduğunu düşünen ekip, aslında bu alan adını kaydederek dünya çapında gerçekleşen bu saldırıyı etkin bir şekilde öldürmüş oluyordu. Çünkü şimdi yazılım kodu bu alan adına ping çektiğinde alan adının kayıtlı olduğunu gördüğü için ransomware bir daha asla kendini aktive etmeyecek!

Araştırmacılar fişi prizden çektiler ama bunun farkında bile değillerdi (Araştırmacı ancak bu tip davranış şekillerini farklı vesilelerle test ederken bunun farkına vardı).

Kazara gerçekleşmiş olabilir fakat alan adını kaydetmek, yapılması gereken doğru şeydi. Maalesef halihazırda makinelerine ransomware bulaşmış olan insanlar için yardımcı olmasa da, en azından daha fazla yayılmasına engel olundu.

İhtiyatlı ransomware

İki gün önce gerçekleşen WanaCrypt 2.0 ransomware saldırısı birkaç sebepten ötürü korkutucu özellik taşıyordu. Fakat MalwareTech’te çalışan bir güvenlik araştırmacısının ivedi tavrı, yazılımın yayılmasına geçici olarak engel oldu (her ne kadar araştırmacı o an bunun farkına varmamış olmasa da).

İşin özü şu: Sizin de duymuş olabileceğiniz gibi söz konusu fidye yazılımı, Shadow Brokers adlı hacker grubunun geçtiğimiz ay yayınladığı ‘NSA Amerikan ulusal güvenlik teşkilatının kayıtları’ndan edindiği bir saldırı aracının kullanılması yoluyla yayılıyordu. Hızlıca ve geniş alanda yayılabilme potansiyeline sahip olan bu yazılım, yazılımı incelemek ve edinmek isteyen bilişime meraklıların dikkatini çekmişti.

Yazılımın yayılma potansiyeline bir güvenlik anahtarı oluşturmak isteyen program yapımcıları, kayıt edilmemiş bir alan adıa sorguda bulunan bir kodu yazılıma dahil etmişlerdi. Çünkü bazı ağ çevreleri (örneğin zararlı kodları çalışmak için oluşturulan Virtual Machine (sanal makine) gibi ortamlar), dışarı giden tüm verileri (örneğin bir web alanına bağlanma girişimini) kayıt altına alarak, kendine ait trafiği geri çevirirler.

Dolayısı ile bu fidye yazılımı da bu tip çevrelerde faal duruma geçmemek için daha önceden belirlenmiş, fakat kayıt olunmamış bir alan adına ping çekmek üzere tasarlanmış (örneğin; afn38sj729.com gibi) . Eğer DNS hatası haricinde herhangi bir yanıt alamazsa, bu durumda yazılımın etkinlik trafiği manipüle ediliyor olabileceği için kendini kapatarak daha fazla analiz yapılmasına engel olur.

OKU ►  Sony’nin yarı-akıllı saatleri, deri kayış seçeneği ile duyuruldu

Fidye yazılımının bu tip bir kaydedilmemiş alan adına çağrı gönderdiğini gören güvenlik araştırmacısı, hemen ilgili alan adını kaydetti ve böylece yazılımın etkinlik trafiğini takip altına alabildi (yazılımın etkinlik trafiği yukarıdaki haritada görüldüğü gibiydi). İlk aşamada sadece yazılımın yayılmasını takip etmelerine yarayacak bir yöntem olduğunu düşünen ekip, aslında bu alan adını kaydederek dünya çapında gerçekleşen bu saldırıyı etkin bir şekilde öldürmüş oluyordu. Çünkü şimdi yazılım kodu bu alan adına ping çektiğinde alan adının kayıtlı olduğunu gördüğü için ransomware bir daha asla kendini aktive etmeyecek!

Araştırmacılar fişi prizden çektiler ama bunun farkında bile değillerdi (Araştırmacı ancak bu tip davranış şekillerini farklı vesilelerle test ederken bunun farkına vardı).

Kazara gerçekleşmiş olabilir fakat alan adını kaydetmek, yapılması gereken doğru şeydi. Maalesef halihazırda makinelerine ransomware bulaşmış olan insanlar için yardımcı olmasa da, en azından daha fazla yayılmasına engel olundu.

More from author

Leave A Reply

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

Related posts

Advertismentspot_img

Latest posts

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım

Permolit Boya’dan Uzun Ömürlü Sağlam Yalıtım Akçalı Boya ve Kimya San. Tic. A.Ş.'nin en önemli markalarından biri olan Permolit Boya, tüketicilerin ihtiyaçlarına uygun geliştirdiği elyaflı...

YouTube reklamlarında CoinHive JavaScript kripto madencilik kodu tespit edildi

YouTube reklamlarında CoinHive JavaScript kripto madencilik kodu tespit edildi Yeni bir rapora göre, bazı ülkelerde yayınlanan bazı YouTube reklamları, hackerlar tarafından, video izleyicilerinin bilgisayarlarının işlem...

Kara Cuma (Black Friday) çılgınlığı nedir?

Kara Cuma (Black Friday) Şükran Günü’nün (Thanksgiving Day) ertesi sabahında gerçekleşen bir alışveriş çılgınlığıdır. Kara Cuma bu yıl 25 Kasım tarihine denk gelmektedir. Ünlü markalar Kara Cuma’da %80’e varan indirimler...

Want to stay up to date with the latest news?

We would love to hear from you! Please fill in your details and we will stay in touch. It's that simple!