Teknoloji Haberleri
H
Gönderiler
Hakkında
DH Mobil uygulaması ile devam edin.
Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin.
Gizle ve güncelleme çıkana kadar tekrar gösterme.
DonanımHaber Forum - Mini Sürüm
Hakkımızda | Yukarı
Tam sürüm için tıklayınız
Version: 1.2.896
Donanım Sponsoru:
Hakkımızda | Yukarı
Tam sürüm için tıklayınız
Version: 1.2.896
Donanım Sponsoru:
Bugün sizlerle, son dönemde özellikle cPanel yüklü Linux sunucuları (yaklaşık 44.000+ IP) kasıp kavuran "Sorry" Ransomware üzerine yaptığım derinlemesine teknik analizi paylaşmak istiyorum. Bu zararlı yazılım, sadece dosyaları şifrelemekle kalmıyor, kurumsal hosting altyapılarını hedef alarak büyük bir tehdit oluşturuyor.
< Resime gitmek için tıklayın >
1. Giriş ve Vektör Analizi: CVE-2026-41940
Saldırı, cPanel/WHM servislerindeki kritik bir Authentication Bypass (CVE-2026-41940) zafiyeti ile başlıyor 1.4.2.
- Zafiyetin Özü: CRLF Injection kullanılarak server-side session dosyalarının manipüle edilmesi.
- Sonuç: Saldırgan, hiçbir parola veya 2FA (İki Faktörlü Doğrulama) aşamasına takılmadan doğrudan root yetkileriyle session elde edebiliyor 1.4.4.
2. Zararlı Yazılımın Teknik Anatomisi (Go-Based)Analiz ettiğim binary, Go diliyle derlenmiş ve statik olarak linklenmiş bir ELF dosyası. Yazılımın öne çıkan özellikleri:
- Hız Odaklı Mimari: Go'nun <code>goroutines</code> yapısını kullanarak dosya sistemini asenkron bir şekilde tarıyor ve şifreleme işlemini çok hızlı gerçekleştiriyor.
- Header Yapısı: Şifrelenen her dosyanın başına 2057 byte uzunluğunda sabit bir header ekliyor. Bu header, şifrelenmiş anahtar verilerini ve dosya imzasını içeriyor.
- Kriptografik Seçimler:
- Simetrik: Her dosya için benzersiz bir nonce ile ChaCha20 1.5.6.
- Asimetrik (Key Wrapping): Üretilen simetrik anahtarlar, saldırganın gömülü RSA-2048 kamu anahtarı ile şifreleniyor 1.5.3.
3. Forensic ve Tespit (IOCs)Analizim sırasında sistemde bıraktığı izleri (Artifacts) ve tespit yöntemlerini şu şekilde özetledim:
- Gözlemlenen Uzantı: <code>.sorry</code>
- Fidye Notu: <code>README_SORRY.txt</code>
- Süreç (Process): <code>/tmp/</code> veya <code>/dev/shm/</code> gibi dizinler altında rastgele isimli (örn: <code>kworker_u</code>) executable dosyalar.
- Network: C2 iletişimi yerine genellikle Tox protokolü üzerinden iletişim kuruluyor.
4. Savunma ve Kurtarma StratejileriMaalesef, RSA-2048'in matematiksel zorluğu ve implementasyonun (ChaCha20 nonce reuse hatası barındırmaması gibi) düzgünlüğü nedeniyle şu an için ücretsiz bir decryptor bulunmuyor.
- Hemen Yama: cPanel sürümünüzü v11.136.0.7 veya üzerine yükseltin 1.4.6.
- Session Temizliği: <code>/var/cpanel/sessions/</code> dizinindeki tüm aktif oturumları sonlandırın ve şüpheli injection izlerini kontrol edin.
- Yedekleme: "Air-gapped" (internet bağlantısı olmayan) yedeklerin önemi burada bir kez daha ortaya çıkıyor.
GitHub Reposu ve Teknik DokümantasyonHazırladığım repoda; analizde kullandığım Python tabanlı header ayrıştırıcı, YARA kuralları ve forensic scriptleri mevcut. İlgilenen arkadaşlar inceleyebilir:
sorry-ransomware-analysis
Sorularınızı ve eklemek istediklerinizi konu altında bekliyorum. Hepinize güvenli ve yamasız (ama güncel!) günler dilerim.