Sayı: 35 [ Ağustos 2017 ]
3. Flash, Poweshell ‘i çağırır. Powershell üzerinde koşan her bir komut me-
mory üzerinde çalışır.
4. Powershell kullanan saldırgan C2 aktivitesi ile arka kapıyı kurmuştur. Artık
zararlı kodlarını kendi sisteminden gönderebilir.
5. Saldırgan herhangi bir zararlı yazılım (malware) kullanmadan sistemi ele
geçirmiştir.
Dosyasız ataklara gelecek sayılarda daha detaylı yer vereceğim. Birçok gü-
venlik araştırmacısı 2017 ve 2018 yıllarında dosyasız atakların yüzdesinin %70
seviyelerine geleceğine öngörmektedir.
Gelelim konumuza, SOREBRECT. Saldırgan bir dosya kullanmadan nasıl bir
fidye aktivitesi gerçekleştirmiş hep b eraber bakalım.
Bir Bakışta SOREBRECT Anatomisi
Şekilde de göreceğimiz üzere sırayla SOREBRECT şu aktiviteleri gerçekleştir-
miştir.
1. PSEXEC; uzaktan komut çalıştırabilen bir meşru Windows komut-satırı uy-
gulaması kullanılmıştır. Amaç zararlı kodları diske yazmadan çalıştırmaktır.
2. Brute-force veya önceden açığa çıkan admin hesabı PSEXEC ‘in manipüle
edilmesine başlangıçtır. Keza PSEXEC ‘in manipülasyonu Petya, SAMSAM gibi
zararlı örneklerinde daha öncesinde kullanılmıştır.
3. SOREBRECT kodları PSEXEC üzerinden svchost.exe Windows prosesine
kod enjeksiyonu yapılır. Hatta bununla kalmaz main binary kendini imha eder.
4. Şifreleme payloadu yüklenen svchost.exe çalışmaya devam ettikçe hedef
dosya uzantıları şifrelemeye başlar.
5. TOR ağı üzerinden anonim olarak komut kontrol aktivitesi gerçekleştiren
9