SynAck fidye yazılımı: Doppelgängster

Haberler Kurumsal Tehditler

Kötü amaçlı yazılımlar, virüs korumaları tarafından fark edilmemek için yeni işlevler ve teknikler ekleyerek yaptıkları hilelerle evrim geçirir. Bazen bu evrim oldukça hızlı bir şekilde gerçekleşir. Örneğin; Eylül 2017’den beri (o zamanlar ortalama bir yazılımdı, bu kadar usta değildi) bilinen SynAck fidye yazılımı yakın zamanlarda yenilenerek tehdidin algılanmasına yönelik daha önce görülmemiş bir etki sunan gelişmiş bir tehlike haline gelmiştir ve Process Doppelgänging adında yeni bir teknik kullanmaktadır.

Sinsi saldırı

Kötü amaçlı yazılım oluşturucuları yaygın olarak kod karartma yönetimini kullanarak kodların okunmamasını, böylelikle virüs korumalarının kötü amaçlı yazılımı fark etmemelerini sağlıyor ve bu amaçla genellikle özel paket yazılımları kullanıyor. Fakat virüs koruması geliştiricileri bunu fark etti ve artık virüs koruması yazılımları bu tür paketleri hiçbir çaba göstermeden açabiliyor. SynAck’in arkasındaki geliştiriciler de iki taraftan da daha fazla çaba gerektiren farklı bir yol seçti: paket oluşturulmadan önce kodun tamamen karartılması, güvenlik çözümleri için tespit sürecinin önemli ölçüde zorlaştırılması.

SynAck’in yeni sürümünün kullandığı tek kaçaklık yolu bu değil. Process Doppelgänging adında daha karmaşık bir teknik de kullanıyor ve SynAck, bu tekniği kullanan ilk fidye yazılımı. Process Doppelgänging ilk olarak Black Hat 2017‘de güvenlik araştırmacıları tarafından ortaya koyuldu, bu etkinlikten sonra suçluların eline geçti ve çeşitli kötü amaçlı yazılım türlerinde kullanıldı.

NTFS (yeni nesil) dosya sistemine ve bütün Windows sürümlerinin Windows XP’den bu yana sahip olduğu bir Windows işlem yükleyicisi mirasına dayanan Process Doppelgänging, geliştiricilerin kötücül eylemleri zararsız ve yasalmış gibi gösteren ve dosya içermeyen kötü amaçlı yazılımlar geliştirmelerine müsaade ediyor. Teknik biraz karmaşık, bu konuda daha fazla bilgi almak için konu üzerinde Securelist’in yayınladığı daha detaylı bir gönderiyi inceleyebilirsiniz.

SynAck’in iki önemli özelliği daha var. Öncelikle, doğru adrese indirilip indirilmediğini kontrol ediyor. Doğru adrese indirilmemişse çalışmıyor, böylelikle çeşitli güvenlik çözümlerinin kullandığı otomatik korumalı alanların yazılımı tespit etmesini önlüyor. Buna ek olarak, belli bir betiğe ayarlanmış bir klavyesi (bu durumda, Kiril) olan bir bilgisayara indirildiğinde de hiçbir şekilde çalışmıyor. Bu, kötü amaçlı yazılımı belli bölgelerle sınırlamak için kullanılan yaygın bir yöntem.

Klasik suç

Kullanıcı açısından bakıldığında, $3.000 gibi fahiş fiyat talepleriyle bilinen SynAck daha çok bir fidye yazılımı. SynAck bir kullanıcının dosyalarını şifrelemeden önce, aksi takdirde dosyaların kullanımda ve yasak bölgede kalmasını sağlayacak bazı işlemleri yok ederek bütün önemli dosyalara erişim sağladığından emin olur.

Kurban, oturum açma sayfasında iletişim bilgilerini içeren bir fidye notu bulur. Ne yazık ki, SynAck oldukça güçlü bir şifreleme algoritması kullanır ve bu algoritmanın uygulanmasında bugüne kadar hiçbir hata bulunamamıştır, bu nedenle şifrelenmiş dosyaların şifresinin çözülmesinin bir yolu yoktur.

SynAck’in çoğunlukla Remote Desktop Protocol kaba kuvveti tarafından dağıtıldığını gördük. Bu da demektir ki, saldırılar genelde işletme kullanıcılarını hedef alıyor. Bugüne kadar hepsi ABD, Kuveyt ve İran’da meydana gelen sınırlı sayıdaki saldırılar, bu hipotezi doğruluyor.

Gelecek nesil fidye yazılımı için hazırlık yapma

SynAck sizi etkilemese de; bu yazılımın varlığı fidye yazılımının evrildiğine, sürekli geliştiğine ve bu yazılımlardan korunmanın zorlaştığına yönelik oldukça güçlü bir kanıt oluşturuyor. Saldırganlar yardımcı programların var olmasına neden olan hataları önlemeyi öğrendikçe, şifre çözme yardımcı programları gittikçe azalmaya başlayacak. Bayrağı (tahmin ettiğimiz gibi) gizli madencilere teslim etse de, fidye yazılımı hâlâ büyük bir küresel eğilim niteliği taşıyor ve her İnternet kullanıcısının bütün bu tehditlere karşı nasıl korunacağını bilmesi gerekiyor.

İşte, virüslerden korunmanız veya gerekli olduğunda sonuçları en aza indirmeniz için birkaç ipucu.

  • Verilerinizi düzenli olarak yedekleyin. Ağınıza veya İnternet’e bağlı olmadığınız bir zamanda yedeklemelerinizi depolayın.
  • İş süreçlerinizde Windows Uzak Masaüstü kullanmıyorsanız bu özelliği devre dışı bırakın.
  1. Küçük işletmeler için Kaspersky Small Office Security veya daha büyük şirketler için Kaspersky Endpoint Security gibi yapısal güvenlik duvarı bulunduran ve özel fidye yazılımı koruması sağlayan iyi bir güvenlik çözümü kullanın. Kaspersky Lab ürünleri bütün kaçma stratejilerine rağmen SynaAck’i tespit eder.

Daha önce indirdiğiniz bir güvenlik çözümü olsa bile tamamen ücretsiz olan ve diğer satıcıların güvenlik paketlerine uyum sağlayan Kaspersky Anti-Ransomware Tool‘u indirebilirsiniz.