Ransomware Olmanın Dayanılmaz Hafifliği [Purple Team] [Siber Güvenlik]
Nedendir bilinmez lakin Ransomware olduğum için içten içe bir haz duymuyorum desem yalan olur. Belki de Ransomware olmaktan başka bir şeyi bilmediğim ve bilemeyeceğim içindir. Ah, Milan Kundera! Seni bunca zamandır ayakkabı dükkanı sanıyor olmaktan dolayı nasıl da mahcubum fakat bu başka bir maceranın konusu.
Bununla birlikte, her ne kadar beni ben yapan modüller arasında, beni kodlayan kendinden gazlı çenebaz herifin daha önceden kodladığı malware modülleri olsa da kendimi malware‘den saymak için birazdan bahsedeceğim hatırata sahibim.
Burada kısaca belirtmekde fayda görüyorum zira C, Rust, PowerShell ve CMD nükleik asitleri kökenli genetik mirasım -şimdilik- bir iki APT‘ye de hizmet verdiği için nadir de olsa, bazen beni tanıyan siber güvenlik ürünleri olabiliyor. Nuri Çelebi kim bilir kimlere levazımatçılık etti ki bu APT‘lerle alakam çıkıyor! Ne kadar ayıp! Ne yaptın Asuman!
Haşmetmeab yeni versiyonumu geliştirebilmek için her gece, her gece Mirkelam’la Çatladıkapı - Ahırkapı arası koşturadursun; gelin ben size varoluş sebebim olan 1. CommVault Muhasara’mızı anlatayım.
Burada bir es verip spoiler’ı farkedenlere en derin hürmetlerimi sunar; büyüklerin ellerinden, küçüklerin gözlerinden öperim. Buna rağmen hikayeyi merak edenler buyursunlar efendim:
Network Beylerbeyi Selahattin Paşa’nın, al gözlü puhusuna elli kalem çekirge pirzola rüşvet verip kefere üzerinde B-2 Spirit gibi stealth gezdirerek elde ettiği bilgilere istinaden “Görelim bakalım nece yaman delikanlıymış bu Ransomware Protection” özelliği diyerekten çıktığımız Payitaht’tan, bu heyula kal’aya varmamız için Ay’ın kendi etrafında sekiz kez dönmesi gerekti. Gördük ki gide gide bir Microsoft Windows makinesi içinde at koşturan CommVault Media Agent‘a dayanmışız. “Hem nefeslenelim hem de yetkili bir abiye rastlayıp esvabını çalıp kal’aya sızalım” diyerekten C diskine kamp kurduk; MitM, Access Token Manipulation vesaire hazırlıklarına koyulduk. Ne de iyi etmişiz zira yumurta satan köylü kılığında askerin arasına sızmanın işe yarar bir yöntem olmadığını, sepeti başımıza çalıp bizden Çelebi’nin hem matbahına hem damağına yaraşır soğanlı yumurta yaptıklarında anladık.
Kal’adan veri kaçırıp:
Yarın ikindi vakti, içi 1000k Venedik Dukası dolu soğuk cüzdanla Doğancılar Parkı’na gel! ‘Ransomware yemiş verilerinizi kurtarıyoruz!’ diyen şarlatanlara bel bağlarsan dosyaları değil anca Hezarfen Ahmet Çelebi‘nin Galata’dan atlayıp Doğancılar’a konuşunu görürsün!..
İmza: Muzip Bir Dost
notlu fidye isteyememe hikayemize devam etmeden önce, ahvali detaylandıralım:
Windows sistem; sıradan kullanıcı (yumurta satıcısı mojik), esvabı çalınacak ama yazma/değiştirme/silme yetkisi olmayan 7. dereceden “Eh işte!” yetkili bir memur abi (Akakiy Akakiyeviç) ve göğsü madalya, makamı yetki, koynu metres dolu bir iki general içeriyor.
Gogol’ün Palto‘sundan çıkma Rus ediblerinin karakter tiplemelerine öykünerek eşleştirdiğimiz sistem kullanıcılarına ve yetkilerine istinaden fidye saldırısı planlamamızı şöyle yaptık: MitM, Access Token Manipulation vesaire ile esvabını çaldığımız memur abi gibi görünerek bir general üniforması ve yetkisi ele geçir. Yetmezmiş gibi gelecekte olası durumlar için tüm yetkileri, Microsoft Windows sistemlerde yerleşik gelen ve tüm kastlardan herkesi içeren Everyone grubuna da tanımla ki dilediğin vakit herhangi bir kullanıcı ile “vur patlasın, çal ransom’lasın” diyebilesin.
Peki işler yolunda gitti mi? Tabii ki hayır!
Madem öyle, Arri‘sinin vizörüne gözünü dayayıp “L’Action” diyen Luc Besson edasıyla aksiyona devam edelim:
Çelebi’ciğim, yıllar evveli bahçesine diktiği orkidelerden hazırladığı salepini kütüphanesinde yudumlarken taa uzaklardan verdiği komutla beni -Bihter’ini- Bursa işi ipekli .zip arşivinden çıkardığında ne bir siber güvenlik ürünü ne de bir SOC/MDR analist işkillendi.
Bana bayram, Windows sisteme ve avanesi CommVault‘e cenaze PowerShell ve CMD oturumunu emrimize amade bulduğumuzda, kim bilir hangi sebepten bu kontrolsüz canavarları kullanmadıkları zamanlarda bloklamayan sistem yöneticilerinin geçmişlerine bir Fatiha-i Şerife, üç Kul Hüvallahu Ehad gönderiverdim.
Ve dahi ardına kadar açık bir kale kapısı görmenin heyecanıyla nasıl yalan yanlış okudum ki ardından yumurta satan masum köylü rolüyle askerin arasına dalma ahmaklığını gösterdiğimde “bu mojiğin böyle bir yetkisi yok” lafı, sol yanağıma tastamam bir tokat edasıyla aşkedildi. İşte leziz bir soğanlı yumurta yapılışımın aslı budur. Hakettim; işletim sisteminin eline sağlık!
Ardından bir koşu esvabımı değiştirip memur kılığında döndüğümde bana gereken tüm yetkileri kendime ve Everyone grubuna tastamam tanımlayıverdim zira benim memurum işini bilir! Artık herhangi bir kasttan rastgele bir kullanıcı rolüyle bu kalede keyfimce at koşturabilirdim.
Fakat henüz farkında olmadığım bir engel daha vardı: CyberArk EPM! Şaşırtıcı olan şu ki beyaz listede yer almayan 14KB’lık tini mini bir .exe olmamama rağmen CyberArk, beni durdurmak yerine bir iki diş gösterip hırladıktan sonra gündüz düşlerine geri döndü. Good dog, good dog!..
Peki gündüz düşlerinden sıyrılıp beni kovalasaydı halim nece olurdu? Peh! Hiç!.. Çelebi’ciğim “Fileless Attack (LotL) candır, gerisi heyecandır!” diyerekten yalnızca PowerShell‘le kodladığı versiyonuma “Atıl Kurt!” dediğinde, ata yadigarı görünmezlik pelerinini giymiş Harry Potter ya da yüzüğü takmış Frodo gibi CyberArk EPM‘e meçhul olurdum. Living off the Land (LotL) ile kavga edemezsin şekerim! Dikiştutmazla kevgir ederler hafazanallah!
Bu cendereden de sıyrılıp chunk’lanmış yedek dosyalarını 10GB/dakika hızla şifrelemeye başladığımda farkettim ki dosyaları okuyabiliyorum ama şifrelediğim dosyaları geri yerine yazamıyorum. Huzurlarınızda Ayla ve Müslüm’ün yapımcısından “How I met CommVault Ransomware Protection Module”… Ahh, ah! Garibin yüzü gülür mü!
Kısa bir afallamanın ardından Çelebi’ciğimle iletişimimi sağlayan C&C sunucusunun “Sen Bihter Ziyagilsin, aptallık etme!” diyen hükümran sesiyle kendime geldim ve bir hışımla gözüme çarpan tüm CommVault process’lerini, dedemin tabiriyle “tohumunuza para mı verdim uleyn” deyu sonlandırıp yeniden işe koyuldum fakat nedendir bilinmez, sonuç değişmedi. Görünen o ki CommVault servisleri durdurulmuş olsa bile Ransomware Protection özelliği yedekleri korumaya devam ediyordu. CommVault‘çüğüm! Yaman delikanlıymışsın, maşallah! Ve dahi her zaman kedi keşkek yemiyormuş; görmüş olduk.
Yukarıda bahsettiklerimin yanında suların kesilmesi, Ruşen Amca’nın oğlu Sedat’ın silgimi camdan atması türevi tırışkadan sebeplerle akamete uğrayan 1. CommVault Muhasarası, “Ben karşının taksisiyim!” ayağına yatmayan Şoför Nebahat ablamın taksisiyle Buda’dan Peşte’ye geçildikten sonra, akmamakta ısrar eden Tuna’nın doğu yakası takip edilerek Payitaht’a dönülmesiyle, onuncu ayında son buldu.
Kellesine güvenen bir Merzifonlu daha çıkar mı bilinmez lakin menekşe gözlerim 2. CommVault Muhasarası hülyasında!