'Sorry' Ransomware Teknik Analizi: cPanel Zafiyeti ve Şifreleme Metodolojisi

Aşağı Git Tüm Forumlar Donanım / Hardware Network ve Güvenlik Sunucu Teknolojileri ve Donanımları 'Sorry' Ransomware Teknik Analizi: cPanel Zafiyeti ve Şifreleme Metodolojisi

Bu konudaki kullanıcılar: 1 misafir

0
Cevap 53
Tıklama 0
Öne Çıkarma

1. sayfa

'Sorry' Ransomware Teknik Analizi: cPanel Zafiyeti ve Şifreleme Metodolojisi

Cevap Yaz

habib_karatas

dün (2 mesaj)

Konu Sahibi

Selamlar DH Siber Güvenlik Sakinleri,

Bugün sizlerle, son dönemde özellikle cPanel yüklü Linux sunucuları (yaklaşık 44.000+ IP) kasıp kavuran "Sorry" Ransomware üzerine yaptığım derinlemesine teknik analizi paylaşmak istiyorum. Bu zararlı yazılım, sadece dosyaları şifrelemekle kalmıyor, kurumsal hosting altyapılarını hedef alarak büyük bir tehdit oluşturuyor.
< Resime gitmek için tıklayın >

1. Giriş ve Vektör Analizi: CVE-2026-41940
Saldırı, cPanel/WHM servislerindeki kritik bir Authentication Bypass (CVE-2026-41940) zafiyeti ile başlıyor 1.4.2.

Zafiyetin Özü: CRLF Injection kullanılarak server-side session dosyalarının manipüle edilmesi.
Sonuç: Saldırgan, hiçbir parola veya 2FA (İki Faktörlü Doğrulama) aşamasına takılmadan doğrudan root yetkileriyle session elde edebiliyor 1.4.4.

2. Zararlı Yazılımın Teknik Anatomisi (Go-Based)
Analiz ettiğim binary, Go diliyle derlenmiş ve statik olarak linklenmiş bir ELF dosyası. Yazılımın öne çıkan özellikleri:

Hız Odaklı Mimari: Go'nun <code>goroutines</code> yapısını kullanarak dosya sistemini asenkron bir şekilde tarıyor ve şifreleme işlemini çok hızlı gerçekleştiriyor.
Header Yapısı: Şifrelenen her dosyanın başına 2057 byte uzunluğunda sabit bir header ekliyor. Bu header, şifrelenmiş anahtar verilerini ve dosya imzasını içeriyor.
Kriptografik Seçimler:
Simetrik: Her dosya için benzersiz bir nonce ile ChaCha20 1.5.6.
Asimetrik (Key Wrapping): Üretilen simetrik anahtarlar, saldırganın gömülü RSA-2048 kamu anahtarı ile şifreleniyor 1.5.3.

3. Forensic ve Tespit (IOCs)
Analizim sırasında sistemde bıraktığı izleri (Artifacts) ve tespit yöntemlerini şu şekilde özetledim:

Gözlemlenen Uzantı: <code>.sorry</code>
Fidye Notu: <code>README_SORRY.txt</code>
Süreç (Process): <code>/tmp/</code> veya <code>/dev/shm/</code> gibi dizinler altında rastgele isimli (örn: <code>kworker_u</code>) executable dosyalar.
Network: C2 iletişimi yerine genellikle Tox protokolü üzerinden iletişim kuruluyor.

4. Savunma ve Kurtarma Stratejileri
Maalesef, RSA-2048'in matematiksel zorluğu ve implementasyonun (ChaCha20 nonce reuse hatası barındırmaması gibi) düzgünlüğü nedeniyle şu an için ücretsiz bir decryptor bulunmuyor.

Hemen Yama: cPanel sürümünüzü v11.136.0.7 veya üzerine yükseltin 1.4.6.
Session Temizliği: <code>/var/cpanel/sessions/</code> dizinindeki tüm aktif oturumları sonlandırın ve şüpheli injection izlerini kontrol edin.
Yedekleme: "Air-gapped" (internet bağlantısı olmayan) yedeklerin önemi burada bir kez daha ortaya çıkıyor.

GitHub Reposu ve Teknik Dokümantasyon
Hazırladığım repoda; analizde kullandığım Python tabanlı header ayrıştırıcı, YARA kuralları ve forensic scriptleri mevcut. İlgilenen arkadaşlar inceleyebilir:
sorry-ransomware-analysis
Sorularınızı ve eklemek istediklerinizi konu altında bekliyorum. Hepinize güvenli ve yamasız (ama güncel!) günler dilerim.

< Bu mesaj bu kişi tarafından değiştirildi habib_karatas -- 4 Mayıs 2026; 21:21:56 >

Cevap Yaz

1. sayfa

Tüm Forumlar Donanım / Hardware Network ve Güvenlik Sunucu Teknolojileri ve Donanımları 'Sorry' Ransomware Teknik Analizi: cPanel Zafiyeti ve Şifreleme Metodolojisi