3. Ajanda
• Suç grupları ve Ransomware Tehditleri
• Bu işle neden mücadele edemiyoruz?
• Mücadele için nasıl bir öneride bulundum?
• Hidden Tear ve EDA2 deneyleri
• Deneyin sonuçları
5. Güncel Mücadele Yöntemleri
• Antivirus firmalarının imza tabanlı tespitleri (!)
• Deneysel heuristic tespit metotları
• Ransomware örneklerine tersine mühendislik
yapıp güvenlik açığı bulmak
6. Baş Etmek Neden Zor?
• Güçlü encryption algoritmalarının yan etkileri.
• Tersine mühendislik zaman almakta
• Suçluların bulunamaması
• İnsanların fidye ödemesinden kaynaklı
ekonominin hep ayakta kalması
11. Trend Saptırma Teorisi
• Eğer bir tehditle mücadele edemiyorsan onu
mücadele edilebilir bir hale dönüştür
12. Neler Yapılmalı?
• Dil trendini high level dillere kaydır.
• Kodların içine backdoor yerleştir
• Kodları yayınla, piyasaya kendi kodunu kullandır
13. Neler Elde Edebiliriz?
• Ransomware’lar daha kolay analiz edilebilir
• Backdoor’lar ile zarar geri döndürülebilir
• İnsanlar para ödeme alışkanlığını terk eder
• Kod satış/servis satış piyasası zarar görür
15. Hidden Tear
• Ağustos 2015’te yayınlandı
• C# ile yazıldı.
• Kısa sürede tüm güvenlik dünyasında
konuşulmaya başlandı.
• Encryption modülündeki güvenlik açıkları
backdoor olarak kullanıldı.
16. Hidden Tear
Temel İşleyiş
• İlk çalıştığında 15 karakterlik random bir string
üretir
• Bu string ile bütün dosyaları AES-256
algoritmasını kullanarak encrypt eder.
• Kullanılan stringi uzak bir sunucuya gönderir.
17. Hidden Tear
Güvenlik Açıkları
• Random string üretmek için .Net’in “Random
Class”ı kullanıldı
• “Random Class” seed olarak
“Environment.TickCount” değişkenini kullanıyordu
• “Environment.TickCount” = sistemin
başlangıcından itibaren geçen milisaniye (32bit)
• Seed’i tespit etmek = Oluşan stringi tespit etmek
18. Hidden Tear
Güvenlik Açıkları
• Encrypt edilen bir dosyanın son değiştirilme tarihini
milisaniye cinsinden al, bu değeri seed olarak kullanıp
stringi üret.
1 2 3 4
Random String
Üretimi
Dosyanın
Açılması
Dosyanın
Değiştirilmesi
Dosyanın
Kapatılması
21. EDA2
• Ekim 2015’te yayınlandı
• Ana kod C#’da Web Panel’i Php’de yazıldı.
• Hidden Tear’ın güvenlik açıklarının çözülmüş ve
daha gelişmiş hali olarak lanse edildi
• Ana koddaki problemler çözülse de Web
Panel’ine backdoor yerleştirildi
• Kısa sürede suçlular arasında yaygınlaştı
22. No Name Ransomware Olayı
• Polonyalı bir hacker EDA2 kodunu kullanarak 700’ün
üstünde bilgisayarı encrypt etti.
• Ransom notunda “parayı ödemeden asla
dosyalarınıza ulaşamazsınız, polis beni bulamaz” gibi
ibareler yer alıyordu.
23. No Name Ransomware Olayı
• Backdoor kullanılarak decryption key’leri ele
geçirildi, dosyalar kurtarıldı.
24. No Name Ransomware Olayı
• Pwnie Awards 2016, Best Backdoor
kategorisinde adaylık
• Aday gösterilen ilk Türk.
25. Magic Ransomware Olayı
• Rus bir grup EDA2 kodlarını kullanarak Magic
Ransomware’ı oluşturdu
• Dosyaların kurtarılması için backdoor’u
kullanmaya çalıştık
• C&C Server’ı suspend edilmişti.
26. Magic Ransomware Olayı
• Grup bunu kullanarak şantaj yapmaya başladı
• Hidden Tear ve EDA2 projelerinin silinmesini
talep ettiler.
• Hidden Tear ve EDA2 Github’dan kaldırıldı, grup
decryption keylerini yayınladı
28. Olumlu Sonuçlar
• Ransomware code satış piyasası bitme
noktasına geldi.
• Ransomware servis piyasası bitme noktasına
geldi. (2015-2016)
• Akademi, üzerinde çalışmak için açık kaynak
kodlara sahip oldu.