WannaCry kronolojisi

Güvenik devrimi: 2017’nin geniş ölçekli fakat kısa ömürlü fidye yazılımı salgını

WannaCry kripto solucan salgını 12 Mayıs 2017’de başladı. Kurbanlar birdenbire ekranlarında şu mesajla karşılaştı:

Virüslü bilgisayar ekranındaki Wannacry fidye mesajı. Kaynak.

 

Hemen ardından tüm dosyalarının şifrelendiğini ve .doc ya da .mp3 gibi tüm normal dosya uzantılarına .wnry uzantısının eklendiğini fark ettiler. Kötü amaçlı yazılım, kurbanların mesajı okumadan pencereyi kapatma ihtimaline karşı masaüstü duvar kağıdını da aşağıdaki mesajı içeren bir görselle değiştirmişti:

Duvar kağıdı uyarısı. Kaynak.

 

Program, dosyaların şifresini çözmek için saldırganların cüzdanına Bitcoin cinsinden 300 USD gönderilmesini istiyordu. Daha sonrasında bu miktar 600 USD’ye çıktı. Hızla yayılan internet solucanı bir gün içinde dünya çapında 200.000’den fazla sisteme bulaştı. Etkilenenler arasında hem ev bilgisayarları hem de hastaneler, ulaşım şirketleri, bankacılık hizmetleri ve cep telefonu operatörleri gibi kurumsal ağlar bulunuyordu. Tayvanlı çip üreticisi TSMC, kurumsal cihazlara kitlesel olarak virüs bulaşması nedeniyle üretimi askıya almak zorunda kaldı.

Nasıl oldu?

Wannacry’ın şimşek hızında yayılımı, Windows’un Sunucu İleti Bloğu (SMB) protokolündeki güvenlik açıkları sayesinde mümkün oldu. Bu protokol yerel bir ağ üzerinden dosya alışverişi yapmaya yarıyordu. Güvenlik açıkları, yama uygulanmamış bilgisayarlarda SMBv1 protokolü aracılığıyla bir istek kullanılarak rastgele kod yürütmeye olanak sağladı. SMBv1, SMB’nin 1990’ların başından beri kullanılan çok eski bir sürümüydü. 2006’dan itibaren Windows’ta varsayılan olarak kullanılan protokol sürümü SMBv2 ya da üzeriydi, fakat eski yazılım çalıştıran bilgisayarla uyumluluk adına eski protokol desteği de sürdürülmüştü.

Mart 2017’de (WannaCry salgınından neredeyse iki ay önce) bu sorun keşfedilip güncellemeler yayınlandığında SMBv1 güvenlik açıkları Vista’dan o sırada yeni olan Windows 10’a kadar tüm yama uygulanmamış işletim sistemi sürümlerini etkiliyordu. Eski Windows XP ve Windows 8 de risk altındaydı. Windows, 2014’de desteklemeyi bırakmış olmasına rağmen Windows XP için yama yayınladı. SMBv1’deki güvenlik açıklarını hedef alan kötüye kullanıma yaygın olarak EternalBlue kod adı verilmişti, bunun sebeplerinden ayrıca bahsederiz.

Ancak öncelikle bir başka kod adına değinmeliyiz: DoublePulsar. Bu, saldırılan sistemlerde arka kapı yaratmak için kullanılan kötü amaçlı kodun adıydı. Hem EternalBlue kötüye kullanımı hem de DoublePulsar arka kapısı, sırayla 2017’nin Mart ve Nisan aylarında anonim ShadowBrokers grubu tarafından halka duyuruldu. Bunların, başka kötü amaçlı araçlarla birlikte ABD Ulusal Güvenlik Teşkilatı’nın bir biriminden çalındığı iddia ediliyordu. WannaCry solucanı iki bileşeni de kullandı: Önce EternalBlue kötüye kullanımıyla kötü amaçlı kod yürütme becerisini sağlıyor, ardından yükü devreye sokmak için özelleştirilmiş bir DoublePulsar aracı kullanarak dosyaları şifreliyor ve fidye notunu görüntülüyordu.

WannaCry dosya şifrelemenin yanı sıra, anonim Tor ağı üzerinden saldırganların C2 sunucusuyla iletişim kuruyor ve rastgele IP adreslerine kötü amaçlı istekler göndererek kendi kendini yayıyordu. Solucanın inanılmaz yayılma hızına da bu yol açtı. Saatte on binlerce sistem enfekte oldu!

Acil durdurma anahtarı

Aynı gün, 12 Mayıs’ta, o sırada tanınmayan bir siber güvenlik blogger’ı olan MalwareTech, WannaCry kodunu derinlemesine inceledi. Kodun içerisinde <çok_uzun_ve_anlamsız_bir_karakter_dizisi>.com şeklinde bir adres keşfetti. Alan adı kayıtlı değildi. Bunun üzerine MalwareTech, virüslü bilgisayarların C2 sunucularıyla daha fazla iletişim kurmak için bu adresi kullanacağını düşünerek adresi kendine kaydetti. Ancak bunun yerine, bu hamleyle istemeden WannaCry salgınını durdurmuş oldu.

12 Mayıs akşamı itibarıyla, alan adı kaydedildikten sonra WannaCry’ın hala bilgisayarlara bulaşmayı sürdürdüğü ortaya çıksa da artık bu bilgisayarlardaki verileri şifrelemiyordu. Kötü amaçlı yazılım bu noktaya kadar esasında alan adına erişmeye çalışıyor, alan adı mevcut değilse dosyaları şifreliyordu. Artık alan adı mevcut olduğu için tüm kötü amaçlı yazılım kopyaları bir sebeple çalışmayı durdurmuştu. Peki yaratıcıları bu fidye yazılımını durdurmayı neden bu kadar kolay yapmışlardı? MalwareTech’e göre bu, başarısız bir otomatik korumalı alan analizi yanıltma girişimiydi.

Korumalı alanlar şu şekilde işler: Kötü amaçlı bir program, davranışının gerçek zamanlı olarak analiz edilebilmesi için izole edilmiş sanal bir ortamda yürütülür. Bu ya virüs analistleri tarafından manuel olarak ya da otomatik şekilde gerçekleştirilen yaygın bir prosedürdür. Sanal ortam, kötü amaçlı yazılımın eksiksiz şekilde yürütülmesi ve araştırmacılara tüm sırlarını göstermesi için tasarlanmıştır. Kötü amaçlı yazılım bir dosya isterse korumalı alan bu dosya varmış gibi davranır. Kötü amaçlı yazılım çevrimiçi olarak bir siteye erişirse sanal ortam bu siteden bir yanıt verilmiş gibi davranır. Belki de WannaCry’ın yazarları korumalı alan analizini kandırabileceklerini düşünmüştü: Solucan, varolmadığı bilinen bir alan adına erişmeye çalışır ve bir yanıt alırsa bu, kurbanın gerçek olmadığı ve kötü amaçlı aktivitenin gizlenmesi gerektiği anlamına gelecekti.

Büyük olasılıkla akıl edemedikleri şey ise solucanın yalnızca üç saat içerisinde parçalarına ayrılıp “gizli” alan adının bulunacağı ve kaydedileceğiydi.

MalwareTech: “İnterneti kurtaran hacker”

MalwareTech’in gerçek kimliğini gizlemek için geçerli nedenleri vardı. Gerçek adı Marcus Hutchins’ti. WannaCry salgını sırasında yalnızca 23 yaşındaydı. Henüz lisedeyken “kötü arkadaşlar edinmiş” ve adi siber suçlarla ilgili forumlarda takılmaya başlamıştı. Kabahatleri arasında tarayıcı parolalarını çalmaya yarayan bir program yazmak vardı. Torrent’ler üstünden kullanıcılara bulaşan bir program da yazmış ve bunu kullanarak 8000 tane güçlü botnet oluşturmuştu.

2000’lerin başında daha büyük bir hacker tarafından fark edilerek Kronos kötü amaçlı yazılımının bir parçasını yazmaya davet edilmişti. Marcus yaptığı iş karşılığında gri borsadaki her satış üstünden komisyon almaya başladı. Başka siber suçlular kötü amaçlı yazılımı satın alarak kendi saldırılarını gerçekleştiriyorlardı. Hutchins en az iki defa suç ortaklarına gerçek adını ve İngiltere’deki ev adresini verdiğini söyledi. Bu bilgi daha sonra ABD kolluk kuvvetlerinin eline geçti.

“İnterneti kurtaran adam” artık anonim değildi. İki gün sonra gazeteciler kapısına dayanmaya başladı. Gazetecilerden birinin kızı Marcus’la aynı okula gidiyordu ve Marcus’un MalwareTech takma adını kullandığını biliyordu. İlk başta basınla konuşmaktan kaçınsa da sonunda Associated Press’e bir röportaj verdi. Ağustos 2017’de Las Vegas’taki meşhur DEF CON hacker konferansına onur konuğu olarak davet edildi.

Burada tutuklandı. Birkaç aylık ev hapsinden ve Kronos’la ilgili suçlamaları kısmen kabul ettikten sonra cezası ertelenerek ucuz atlattı. Wired dergisine verdiği büyük bir röportajda suç geçmişinden pişman olduğu bir hata olarak bahsetti. Söylediğine göre tüm bunları paradan çok becerileriyle gösteriş yapmak ve yeraltı dünyasında tanınmak için yapmıştı. WannaCry sırasında iki yıldır siber suçlularla hiçbir teması olmamıştı, MalwareTech blogu uzmanlar tarafından okunuyor ve beğeniliyordu.

Bu son salgın mıydı?

Kısa süre önce 2000’lerin başında büyük bir salgına yol açan ILOVEYOU solucanı hakkında yazmıştık. ILOVEYOU’nın WannaCry ile çok fazla ortak yönü vardı. Her iki solucan da Windows’ta halihazırda yaması bulunan bir güvenlik açığı ile yayılmıştı. Ancak salgınlar ortaya çıktığında tüm bilgisayarlar henüz güncellenmemişti. Sonuçları, dünya çapında yüz binlerce kurban, şirketlerin milyonlarca dolar zarar etmesi ve kullanıcı verilerinin kaybolması oldu.

Aralarında farklılıklar da vardı. WannaCry’ın yaratıcıları (Kuzey Koreli olduğu tahmin edilen bir grup) herkese açık hazır hackleme araçlarını kullanmıştı. ILOVEYOU yalnızca birkaç dosya silmişken WannaCry tüm belgelerini kaybeden kullanıcılardan fidye talep etmişti. Neyse ki WannaCry’ın yazarları kodun içine kendilerine karşı işleyecek bir acil durdurma anahtarı ekleyecek kadar nazikti. Bu salgının hikayesi aynı zamanda bir başkasının işini çok kısa sürede analiz ederek bir savunma mekanizması geliştirebilen kötü amaçlı yazılım avcılarının dehasıyla da ilgili bir hikaye.

WannaCry salgını onlarca şirket tarafından incelendi ve medyanın odağında yer aldı, bu açıdan bir istisna sayılır. Günümüzde belirli bir işletmeye yönelik fidye yazılımı saldırısının ön sayfalarda kendine yer bulması pek olası değil. Gerçeği konuşmak gerekirse böyle bir durumda saldırganla yalnız başına mücadele etmeniz gerekecek. Bu yüzden şantaja boyun eğmeyip hasar kontrolü sırasında en iyi uzmanlarla çalışmak çok önemli. WannaCry örneğinin de gösterdiği gibi, son derece karmaşık ve etkili saldırıların bile zayıf bir noktası vardır.

İpuçları