2017 Yılının yaz aylarına damgasını vuran WannaCry ve NotPetya fidye yazılım saldırılarıyla ilgili öne çıkan noktaları özetledik.

1. WannaCry –
Petya/NotPetya
“İşin Özeti Nedir?
Mert Can Coşkuner
mertcan@garnizon.com.tr
www.garnizon.com.tr

2. WannaCry
www.garnizon.com.tr

3. WannaCry Kurbanları
Kaynak: MalwareTech

4. WannaCry Nedir?
• WannaCry ilk defa 12 Mayıs 2017 Cuma görülen ve Mart ayında
yayımlanan MS17-010 güncellemesi yapılmamış Windows
bilgisayarlara, Shadow Brokers grubu tarafından sızdırılan NSA
dosyaları içerisinde bulunan EternalBlue istismarını kullanarak
bulaşan fidye yazılımıdır.
• Windows bilgisayarlar üzerindeki kritik açıkları kullanması ve bu
şekilde yayılmasıyla diğer fidye yazılımlardan farklılık göstermektedir.
• MS17-010 güncellemesi yapılmamış her Windows bilgisayar tehlike
altındadır.
www.garnizon.com.tr

5. WannaCry Nasıl Çalışır?
• Kendisini sisteme bulaştırmak ve yayılmak için EternalBlue
istismarını kullanan WannaCry, bulaştığı bilgisayar içerisindeki 176
farklı dosya tipini şifreleyerek sonlarına “.WCRY” uzantısı ekler.
• Şifreleme işleminden sonra istenen fidyenin 7 gün içerisinde
ödenmezse dosyaların silineceğini söyleyen bir fidye talep sayfasını
kullanıcıya gösterir. Fakat yapılan incelemelerde 7 gün içerisinde
ödeme yapılmadığında dosyaları silecek bir kod bulunamamıştır.
www.garnizon.com.tr

6. WannaCry Neleri Etkiler?
• Bilgisayar içerisindeki Masaüstü, dokümanlarım ve çıkarılabilir
diskler dizinleri üzerinde şifrelenen dosyaların orijinalleri yok
edilmektedir ve geri dönüştürülmesi mümkün olmamaktadır.
• Fakat bilgisayarın diğer kısımlarında bulunan dosyalar şifrelendikten
sonra sadece silinmektedir ve bu dosyaları çeşitli tekniklerle geri
getirmek mümkündür.
• Şifrelenen dosyaları çözmek için gereken anahtar, yapılan
araştırmalar sonucunda bulunamamıştır.
www.garnizon.com.tr

7. WannaCry Nasıl Durdu?
• Bir siber güvenlik araştırmacısı WannaCry’ın şifreleme işlemine
başlamadan önce bir alanadına istek gönderdiğini ve cevap
gelmezse şifreleme işlemini yaptığını farketti.
• Alanadı kayıt olmadığı için kendi adına kaydettirdi ve WannaCry
şifreleme işlemini yapamaz oldu.
• 1 hafta içerisinde 100’den fazla WannaCry türevi tespit edildi ancak
ilk dalganın hızı bu şekilde kesilmiş oldu.
www.garnizon.com.tr

8. Petya/NotPetya

9. Petya/NotPetya Kurbanları
Kaynak: Microsoft

10. NotPetya Nedir?
• Petya ilk defa 2016 yılında ortaya çıkmıştır. Normal fidye yazılımlarından
farklı olarak sadece dosyaları şifrelemekle kalmaz, ana ön yükleme kaydını
(Master Boot Record, MBR) da modifiye eder.
• Son saldırının “NotPetya” olarak adlandırılmasının nedeni başta Petya gibi
görünen bu zararlının aslında farklı özelliklere sahip olduğunun görülmesidir.
• NotPetya Ukrayna’da ortaya çıkmıştır ve kısa sürede Danimarka ve
Polonya’ya da yayılmaya başlamıştır .
• Bulaştığı bilgisayardan kullanıcı bilgilerini çalan NotPetya bunları kullanarak
başka bilgisayarlara bulaşmaktadır. Böylece MS17-010 güncellemesi
yapılmış sistemleri de etkileyebilmektedir.
www.garnizon.com.tr

11. NotPetya Nasıl Çalışır?
• NotPetya’nın Ukrayna da dahil olmak üzere eski
Doğu Bloğu ülkelerinde yaygın olarak kullanılan bir
muhasebe yazılımı olan MeDoc’ta bulunan bir
açıktan faydalanarak yayıldığı görülmüştür.
• MeDoc’un güncellemelerinin yayınlandığı sunucuya
sızılarak yazılımın güncellemesinin NotPetya zararlı
yazılımını içeren bir sürümle değiştirildiği
görülmüştür. Bu sayede MeDoc yazılımının
güncellenmesi yerine NotPetya zararlısı indirilip
yüklenmiştir.
• NotPetya’nın MeDoc sunucularından gelen
güncellemelerle yayıldığının tespiti sonrasında
Ukrayna polisi MeDoc sunucularının bulunduğu
lokasyona baskın yapmıştır. Polis, Petya’nın daha
fazla yayılmasını önlemek için sunucuların
faaliyetlerini durdurmuştur.
Yukarıda: Ukrayna’da siber suçlarla ilgili
polis biriminin MeDoc’la ilgili attığı uyarı
Tweeti
www.garnizon.com.tr

12. NotPetya Nasıl Çalışır?
Bulaştığı bilgisayarlar üzerinden 445/139 portu açık bilgisayarların IP
adreslerini listeleyen ve bilgisayar üzerindeki kimlik bilgilerini “Windows
Credential Manager” kullanarak çıkaran NotPetya, bu bilgileri
kullanarak ağ içindeki diğer bilgisayarlara iki farklı yöntem kullanarak
yayılmaya çalışır:
1. Bulduğu kimlik bilgileri ile [Bilgisayar Adı]admin$ paylaşımına
kendisini kopyalamaya ve başarılı olursa PsExec ya da WMIC ile
kendisini çalıştırmaya çalışır.
2. EternalBlue ve EternalRomance istismarlarını kullanarak SMB
üzerinden yayılmaya çalışır.
www.garnizon.com.tr

13. NotPetya Nasıl Çalışır?
• NotPetya, bulaştığı bilgisayar üzerinde antivirüs yazılımlarının
varlığını tespit etmeye çalışır. Eğer antivirüs yazılımı tespit ederse
EternalBlue ya da EternalRomance istismarlarını kullanmadan
yayılmaya çalışır.
• NotPetya tarafından kullanılan PsExec ve WMIC araçları, yönetici
araçları olduğundan ve ağ yöneticileri tarafından kullanıldığından
güvenlik araçları tarafından zararlı olarak görülmez.
www.garnizon.com.tr

14. NotPetya Nasıl Çalışır?
• Sisteme bulaştıktan sonra kendisini rundll32.exe perfc.dat, #1
komutuyla çalıştırır. Yüklendikten sonra kendisini bilgisayardan
kaldırır. Kaldırma işleminden önce kendi dosyasının üzerine 0’lar
yazar. Böylece adli bilişim teknikleriyle inceleme yapılmasını
engeller.
• Daha sonra, Windows klasörü altına “perfc” adında bir dosya
oluşturur. Bu dosyanın varlığı NotPetya’nın bir sisteme kendini kurup
kurmadığını tespit etmesine yarar.
www.garnizon.com.tr

15. NotPetya Neleri Etkiler?
• Sisteme kendini kurduktan sonra NotPetya MBR kayıtlarını modifiye eder.
Bu modifikasyon sayesinde bilgisayarın başlama sürecine müdahale eder ve
bilgisayar yeniden başlatıldığında disk kurtarma adı altında diski şifrelemeye
başlar. Bilgisayar’ı yeniden başlatmak için bir zamanlayıcı kuran Petya, bu
süre içerisinde diğer sistemlere bulaşmaya çalışır.
• Eğer NotPetya bulaştığı sistemde kullanıcı yetkileriyle çalışıyorsa MBR
modifikasyonu başarılı olmamaktadır.
• Petya şifrelemeyi iki yönlü yapar:
1. Sabit diskler üzerindeki dosyaları 60’dan fazla uzantıya göre listeler ve
şifreler.
2. MBR modifikasyonu ile şifreleme işlemini disk kurtarma gibi göstererek
bütün diski şifreler.
www.garnizon.com.tr

16. NotPetya Neleri Etkiler?
• Önce spesifik dosyaların şifrelenmesi, daha sonra da bütün diskin
şifrelenmesi sonucunda NotPetya tarafından üretilen şifreleme
anahtarlarının birbirleriyle alakasız olması şifrelenen dosyaların
çözülemeyeceğini göstermektedir.
• Fidye talebi için kullanılan e-posta adresi saldırının başlamasının
ardından kısa süre içerisinde devre dışı kaldığı için
• Bu özelliği NotPetya’nın bir fidye yazılımından çok “wiper” (silici)
olduğunu göstermektedir.
www.garnizon.com.tr

17. Teşekkür ederim
Mert Can Coşkuner
mertcan@garnizon.com.tr
www.garnizon.com.tr