GigaWiper: Yıkıcı Bir Malware’nin Tehdidi
Microsoft, GigaWiper olarak adlandırdığı yıkıcı bir Windows arka kapısını inceleyerek, bu yazılımın nasıl oluşturulduğunu detaylandırdı. Bu yazılım, tek bir araç değil, bir araya getirilmiş üç eski yıkıcı programdan oluşmasıyla dikkat çekiyor.
Saldırı Nasıl Çalışıyor?
GigaWiper, talimatları sayılı komutlar olarak alan bir yazılımdır ve üç farklı şekilde bir makineyi yok eder:
- Raw disk wiper: Fiziksel diski siler ve yeniden başlatmadan önce bölüm tablosunu (diskin düzeninin haritası) siler. Dosya bazında bir silme işlemi yoktur; disk içeriği doğrudan yok edilir.
- Fake ransomware: Eski bir kod olan Crucio temel alınarak oluşturulmuş sahte bir fidye yazılımı. Dosyaları şifreleyip .candy uzantısı ekler ve masaüstü arka planını korkutucu bir uyarı resmiyle değiştirir. Fidye notu yoktur ve anahtar kaydedilmediği için ödenecek bir şey de bulunmaz.
- Windows diski hedef alan komut: Windows sürücüsünü farklı veri kalıplarıyla birkaç kez üzerini yazarak yok eder. Microsoft, bu işlemin FlockWiper olarak izlediği bir silici yazılımın Go ile yeniden yazımı olduğunu belirtmektedir.
Bu işlemler, geri dönüşü olmayacak şekilde tasarlanmıştır: Şifrelenmiş dosyalar geri açılamaz çünkü anahtar ortadan kalkmıştır ve silinmiş sürücüler yalnızca temiz yedeklerden yeniden inşa edilebilir. Hedef, ödenmesini istemek değil, makinenin tamamen yok edilmesidir.
Etkilenen Sistemler
GigaWiper, sadece yıkıcı işlemler yapmakla kalmaz, aynı zamanda enfekte olmuş bir PC’yi gözetler ve kontrol eder. Aşağıdaki yeteneklere sahiptir:
- Ekran görüntüleri alır ve kullanıcının çalışma anını kaydeder.
- Gizli bir VNC oturumu açarak saldırganın ekranı izlemesini ve fareyi hareket ettirmesini sağlar.
- Sistem detaylarını toplar, çalışan programları ve hizmetleri yönetir, kayıt defterini düzenler ve izini kaybettirmek için Windows olay günlüklerini siler.
GigaWiper, kimliğini gizlemek için OneDrive adını kullanır. Her dakika çalışan OneDrive Update adında bir zamanlanmış görev oluşturur ve çalıştığı yeri HKCUSOFTWAREOneDriveEnvironment altında izler.
Çözüm ve Korunma
Microsoft, kullanıcıların aşağıdaki önlemleri almasını öneriyor:
- Şifreleme ve kötü amaçlı yazılımlara karşı koruma sağlamak için tamir korumayı etkinleştirin.
- Bilinen komut sunucularını (185.182.193[.]21 ve 212.8.248[.]104) engelleyin.
- Son nokta tespitini bloklama modunda çalıştırın ve bulut tabanlı koruma ile otomatik iyileştirmeyi etkinleştirin.
- Ayrıca, OneDrive Update zamanlanmış görevini kontrol edin ve anormal RabbitMQ veya Redis trafiği olup olmadığını izleyin.
GigaWiper’nın potansiyel tehdidi, onu hızlı bir şekilde tespit etme becerisine dayanıyor. Dolayısıyla, kullanıcıların sistemlerini düzenli olarak kontrol etmeleri ve güvenlik önlemlerini sürekli güncel tutmaları kritik bir öneme sahiptir.
Sonuç olarak, güncellemelerinizi yapın, gereksiz bağlantıları kapatın ve güvenlik önlemlerinizi artırın. Unutmayın, saldırganlar içeri sızdıktan sonra hedeflerini belirleyebilir; bu nedenle, proaktif olmak her zaman en iyi savunmadır.


