Osman KARAN
[email protected]
Dosyasız Fidye Zararlısı
(Fileless Ransomware) Namı Diğer
SOREBRECT
M
ayıs ve Haziran 2017 ayları dünya siber güvenlik gündemi öyle bir hal
aldı ki WannaCry, WanaCry, WanaDecryptor, Petya/NonPetya, PetWrap,
Adlykuzz, MS17-010 Windows SMB zafiyeti, NSA ‘den sızdırılan zero-day
istismar kodları, ETERNALBLUE, ETERNALROCKS vs. herkesin konuştuğu tek
şeydi. Tüm bunlar olup biterken bunların perde arkasına gizlenmiş çok ama
çok tehlikeli, zor tespit edilebilen, komplike ustası, farklı yeteneklere sahip, bir
fidye zararlısı, kendi kendini imha eden ve hatta dosyasız (fileless); AES-NI var-
yantı namı diğer SOREBRECT. Bu yazımda size bu dosyasız fidye zararlısının
anatomisinden ve imzasız önleme sistemlerinden bahsedeceğim.
Geçmişten Günümüze Fidye Zararlılarına Kısa Bakış
Bilgisayar korsanlarının günümüz motivasyonları artık çok farklı. Bundan
çok önce zevk için bu işi yapan korsanlar, şimdi veri hırsızlığı, politik hack-
tivizm, ülkeler arası siber savaşlar ve tabiki para için bulunuyorlar. Finansal
kazanç olarak yapılan tüm bu aktiviteler burada dönen para birimi olan
Bitcoin piyasasını da son zamanlarda olabildiğince yükseltti. Korsanların bir
araç olarak kullandıkları fidye zararlıları, ilk 1989 yılında bir AIDS konferansında
simetrik şifreleme yapan disketlerden yayılan bir trojan olarak hayatımıza gir-
di. Ardından 2005 yılında asimetrik şifreleme kullanan Archievus derken 2011
yılında CryptoLocker zararlısının sistemlere bulaşması ile artık bundan sonra
gelecek tüm tipleri ve varyantları gündem maddemiz haline getirecekti. Cryp-
toWall, CTB-Locker, TeslaCrypt, Cerber, Locky derken WannaCry ve Petya.2017
(PetWrap) yıllarca birçok bilgisayar sistemini etkiledi. Fidye zararlılarının genel
6