Beyaz Şapka Ağustos 2017 - Page 6

Osman KARAN osman.karan@nebulabilisim.com.tr Dosyasız Fidye Zararlısı (Fileless Ransomware) Namı Diğer SOREBRECT M ayıs ve Haziran 2017 ayları dünya siber güvenlik gündemi öyle bir hal aldı ki WannaCry, WanaCry, WanaDecryptor, Petya/NonPetya, PetWrap, Adlykuzz, MS17-010 Windows SMB zafiyeti, NSA ‘den sızdırılan zero-day istismar kodları, ETERNALBLUE, ETERNALROCKS vs. herkesin konuştuğu tek şeydi. Tüm bunlar olup biterken bunların perde arkasına gizlenmiş çok ama çok tehlikeli, zor tespit edilebilen, komplike ustası, farklı yeteneklere sahip, bir fidye zararlısı, kendi kendini imha eden ve hatta dosyasız (fileless); AES-NI var- yantı namı diğer SOREBRECT. Bu yazımda size bu dosyasız fidye zararlısının anatomisinden ve imzasız önleme sistemlerinden bahsedeceğim. Geçmişten Günümüze Fidye Zararlılarına Kısa Bakış Bilgisayar korsanlarının günümüz motivasyonları artık çok farklı. Bundan çok önce zevk için bu işi yapan korsanlar, şimdi veri hırsızlığı, politik hack- tivizm, ülkeler arası siber savaşlar ve tabiki para için bulunuyorlar. Finansal kazanç olarak yapılan tüm bu aktiviteler burada dönen para birimi olan Bitcoin piyasasını da son zamanlarda olabildiğince yükseltti. Korsanların bir araç olarak kullandıkları fidye zararlıları, ilk 1989 yılında bir AIDS konferansında simetrik şifreleme yapan disketlerden yayılan bir trojan olarak hayatımıza gir- di. Ardından 2005 yılında asimetrik şifreleme kullanan Archievus derken 2011 yılında CryptoLocker zararlısının sistemlere bulaşması ile artık bundan sonra gelecek tüm tipleri ve varyantları gündem maddemiz haline getirecekti. Cryp- toWall, CTB-Locker, TeslaCrypt, Cerber, Locky derken WannaCry ve Petya.2017 (PetWrap) yıllarca birçok bilgisayar sistemini etkiledi. Fidye zararlılarının genel 6