FP Personeli14 Aralık 2022 16:26:41 HEST
Geçen yıl boyunca, Rusya menşeli birkaç silici kötü amaçlı yazılım Avrupa’yı kasıp kavurdu. Ancak, en yeni silici kötü amaçlı yazılımı Azov, özellikle güvenlik uzmanları için endişe verici. Azov’u yaratan bilgisayar korsanları, dünyayı yakıp yıkma politikasına yaklaştı.
Diğer kötü amaçlı yazılımların aksine, Azov gibi temelde verilerinizi temizleyen ve hiçbir anlam ifade etmeyen bozuk verilerle değiştiren ve dolayısıyla dosyanızı bozan kötü amaçlı yazılımları silecek. Ayrıca, araştırmacıların bir sisteme virüs bulaşıp bulaşmadığını çok geç olana kadar tespit etmesi son derece zordur.
Bunun temel olarak anlamı, kötü amaçlı yazılımın bir kez bulaştıktan sonra tüm dosyalarınızı onarılamaz hale getirecek şekilde bozmasıdır. Temel olarak, bu silici kötü amaçlı yazılım sınıfı, maksimum hasar vermek üzere tasarlanmıştır.
Silici kötü amaçlı yazılım nedir ve Azov’un farkı nedir?
Silecekler, temel olarak verilerinizi temizleyen ve hiçbir anlam ifade etmeyen bozuk verilerle değiştiren bir kötü amaçlı yazılım sınıfıdır. Bu kötü amaçlı yazılım sınıfının üstesinden gelmenin zor olmasının nedeni, bir sisteme bulaştığında, temel olarak aynı boyutta bir blok bırakacak şekilde dosyaları silmesi ve üzerine yazmasıdır.
Ayrıca, silici kötü amaçlı yazılımlar genellikle en basit, 64 bitlik yürütülebilir dosyaları bile değiştirecek şekilde yazılır.
Özellikle Azov dili, kullanımı son derece zahmetli olan ancak aynı zamanda kötü amaçlı yazılımı arka kapı sürecinde daha etkili hale getiren düşük seviyeli bir dil olan Assembly’de yazılmıştır. Azov, polimorfik kodun yanı sıra araştırmacıların tespit ve analizini zorlaştırmak için başka teknikler de kullanıyor. Sonuç olarak, güvenlik araştırmacılarının ve uzmanlarının çok geç olduğunda Azov’u tespit etmesi neredeyse imkansızdır.
Azov’u farklı kılan nedir?
Azov çok daha hızlı hareket eder ve çalışır. Dosyalar 666 baytlık bloklar halinde üzerlerine rasgele veriler yazılarak silinir, aynı boyutta bir blok bozulmadan bırakılır ve bu böyle devam eder.
Gerçek verileri bozuk verilerle değiştirdikten sonra, Azov kötü amaçlı yazılımı fidye notu gibi görünen bir not görüntüler, ancak daha çok Kremlin’e Rusya’nın Ukrayna’ya karşı savaşı hakkında nükleer saldırı tehdidi de dahil olmak üzere konuşma noktalarını anlatan bir şiire benzer.
Azov ayrıca önceden belirlenmiş bir zamanda patlayan veya etkinleşen mantık bombası adı verilen bir bileşene sahiptir. Bir kez tetiklendiğinde, mantık bombası tüm dosya dizinlerini yineler ve belirli sabit kodlu sistem yolları ve dosya uzantıları dışında her birinde silme yordamını yürütür ve böylece onları bozar.
Azov örneği ilk karşılaşıldığında (muhtemelen garip bir şekilde oluşturulmuş fidye notu nedeniyle) küçük yazılım olarak kabul edilse de, daha fazla araştırıldığında çok gelişmiş teknikler bulunur; genellikle güvenlik ders kitapları veya yüksek profilli marka siber suç araçları için ayrılmıştır.