4 puan yazan GN⁺ 2025-06-30 | 1 yorum | WhatsApp'ta paylaş
  • Birçok fidye yazılımı türü, Windows'ta Rusça veya Ukraynaca klavye yüklüyse kurulumu durduran bir güvenlik önlemi içerir; bu, Doğu Avrupa kaynaklı kötü amaçlı yazılımlarda yaygın görülen bir kaçınma koşuludur
  • DarkSide gibi ransomware-as-a-service yapıları, Rusya, Ukrayna ve diğer Doğu Avrupa ülkelerinde mağdur oluşturmamak için bulaşma yasağı bölgeleri tanımlar ve yerel kolluk kuvvetlerinin dikkatinden kaçınmaya çalışır
  • Colonial Pipeline saldırısından sonra DarkSide "siyasi olmadığını" savunsa da, kötü amaçlı yazılımın bölgeye göre çalışma koşulları başlı başına jeopolitik kısıtları yansıtır
  • Rusça klavye ya da ilgili kayıt defteri değerlerini eklemek, bazı Rusya bağlantılı kötü amaçlı yazılımlara karşı ücretsiz bir önlem olabilir; ancak katmanlı savunmanın ve güvenli kullanım alışkanlıklarının yerini tutmaz
  • Saldırganlar dil kontrolünü kaldırabilir, ancak Unit221B'den Allison Nixon'a göre bu durumda Rus hacker'ların hukuki korumayı kaybetmek ile gelir kaybı arasında seçim yapması gerekir

Fidye yazılımının kaçındığı diller ve bölgeler

  • Birçok fidye yazılımı türü, Microsoft Windows sisteminde belirli bir sanal klavyenin yüklü olup olmadığını kontrol eder ve Rusça ya da Ukraynaca gibi diller algılanırsa kurulumu durdurur
  • Kötü amaçlı yazılım operatörleri, kendi bölgelerinde mağdur çıkmaması için bu tür failsafe mekanizmaları ekler
  • Bağımsız Devletler Topluluğu (CIS) bölgesi, Doğu Avrupa çıkışlı birçok kötü amaçlı yazılımın bulaşma hariç tutma listesiyle büyük ölçüde örtüşür
  • DarkSide'da da CIS'in başlıca üye ülkelerine karşılık gelen ülkeler için sabit kodlanmış bir kurulum yasağı listesi vardır ve Cybereason bu listeyi yayımlamıştır

Colonial Pipeline ve DarkSide örneği

  • Bu tartışma Colonial Pipeline fidye yazılımı saldırısıyla bağlantılıdır
    • Söz konusu saldırı bu ayın başında 5.500 millik bir yakıt boru hattını neredeyse 1 hafta boyunca durdurdu
    • ABD genelinde akaryakıt istasyonlarında tedarik sıkıntısına ve fiyat artışına yol açtı
    • FBI, saldırının arkasındaki aktörün DarkSide olduğunu açıkladı
  • DarkSide, yalnızca büyük şirketleri hedef aldığını söyleyen, nispeten yeni bir ransomware-as-a-service operasyonudur
  • DarkSide ve diğer Rusça konuşan bağlı gelir programları, uzun süredir Rusya ve Ukrayna dahil birçok Doğu Avrupa ülkesindeki bilgisayarlara kötü amaçlı yazılım kurulumunu engelliyor

Bölgesel kaçınma neden kullanılıyor

  • Rusya'da, yerel şirketler veya bireyler resmî bir mağduriyet bildirimi yapmadıkça yetkililerin vatandaşlarına yönelik siber suç soruşturması başlatmamasının yaygın olduğu biliniyor
  • Suçlular için kendi ülkelerinde mağdur oluşmamasını sağlamak, yerel kolluk kuvvetlerinin radarından çıkmanın en kolay yoludur
  • DarkSide, Biden yönetiminin siber güvenlik başkanlık kararnamesinde anıldıktan sonra Colonial Pipeline saldırısından uzak durmaya çalıştı
    • Mağdurları ifşa ettiği blogunda kendisini "siyasi olmayan" bir yapı olarak tanımladı
    • Amacının para kazanmak olduğunu ve topluma sorun çıkarmak olmadığını öne sürdü
    • Bundan sonra ortaklarının şifrelemek istediği şirketleri inceleyerek toplumsal sonuçlardan kaçınacağını söyledi
  • Ancak DarkSide gibi dijital şantaj örgütleri, kötü amaçlı yazılımı yalnızca belirli bölgelerde çalışacak şekilde tasarladığı için platformun kendisi bölgesel siyasi koşulları yansıtır

REvil, GandCrab ve bulaşma hariç tutma listeleri

  • Güvenlik uzmanları uzun süredir DarkSide ile REvil, yani Sodinokibi, arasındaki bağlantılara dikkat çekiyor
  • REvil daha önce GandCrab adıyla biliniyordu ve hem GandCrab hem REvil, bağlı operatörlerin Suriyeli mağdurları enfekte etmesini yasaklamıştı
  • DarkSide'ın hariç tutma listesinde de Suriye yer alıyor
  • DarkSide daha sonra sunucularına ve Bitcoin fonlarına el konulduğunu söyleyerek faaliyetlerini durdurduğunu açıkladı; bu süreçte REvil ile bağlantısı da ortaya çıktı

Rusça klavye yüklemenin sınırları

  • Rusça gibi bir dili yüklemek, Windows bilgisayarınızı tüm kötü amaçlı yazılımlardan korumaz
  • Konum veya dili umursamayan çok sayıda kötü amaçlı yazılım vardır
  • Bu yöntem, katmanlı savunmanın ve internette riskli davranışlardan kaçınma alışkanlığının yerini tutmaz
  • Dezavantajı büyük değildir, ancak yanlışlıkla dil ayarını değiştirirseniz menüler Rusça görünebilir
    • Bu durumda Windows tuşu ile boşluk tuşuna aynı anda basarak yüklü diller arasında hızlıca geçiş yapabilirsiniz

Saldırganlar dil kontrolünü değiştirebilir mi?

  • Saldırganlar kârlılığı düşüren savunmalara karşı hassastır ve kötü amaçlı yazılımı dil kontrolünü görmezden gelecek şekilde değiştirebilir
  • Nitekim Mandiant'ın analiz ettiği yakın tarihli bir DarkSide sürümü sistem dili kontrolü yapmıyordu
  • Unit221B'den Allison Nixon, dil kontrolünün kaldırılmasının saldırganın kişisel güvenliği ve mal varlığı için göz ardı edilemeyecek riskleri artırdığını düşünüyor
  • Nixon'a göre Rus hacker'lar, Rusya'nın kendine özgü hukuk kültürü nedeniyle yalnızca ülke dışındaki mağdurlara saldırmak için bu kontrol mekanizmalarını kullanıyor
  • Yalnızca Kiril alfabesi kullanan bir klavye yüklemek ya da belirli kayıt defteri girdilerini RU olarak değiştirmek bile bazı kötü amaçlı yazılımların kullanıcıyı Rus kabul edip hedef dışı bırakmasına yol açabilir

Geniş ölçekli kullanımın yaratabileceği baskı

  • Nixon, çok sayıda insanın bu yöntemi kullanmasının kısa vadede bazı kullanıcıları koruyabileceğini düşünüyor
  • Uzun vadede ise Rus hacker'ların hukuki korumayı kaybetme riski ile gelir kaybı riski arasında birini göze alması gerekebilir
  • Rus hacker'lar da Batılı savunmacıların yaşadığına benzer şekilde, gerçek yerel bilgisayarlarla yerel bilgisayar gibi görünen yabancı bilgisayarları ayırt etmekte zorlanacaktır

VM tespiti atlatma ve kayıt defteri yöntemi

  • Bazı okurlar, Windows kayıt defterine sanal makine (VM) gibi görünen girdiler ekleme yöntemini de öneriyor
  • Unit221B'den Lance James, VM olup olmadığını anlamanın artık eskisi kadar kötü amaçlı yazılımı durdurmadığını düşünüyor
    • Çünkü birçok kuruluş günlük işlerinde sanal ortamları kullanıyor
    • Bugün gözlenen birçok fidye yazılımı VM içinde de çalışıyor
  • James, CIS ülkeleri listesine ait dilleri ekleme fikrini destekliyor ve Windows PC'nin Rusça klavye yüklüymüş gibi görünmesini sağlayan iki satırlık bir batch script hazırladı
  • Bu betik, Microsoft'tan ek betik kitaplıkları indirmeden, kötü amaçlı yazılımın kontrol ettiği belirli Windows kayıt defteri anahtarlarına Rusça referansı ekliyor

Windows 10'da dil nasıl eklenir

  • Windows 10'da doğrudan başka bir klavye dili yüklemek için Windows tuşu ile X'e basıp Settings'i seçin
  • Ardından "Time and Language" seçeneğini açın ve Language menüsünden başka bir karakter kümesi yükleme seçeneğini seçin
  • Dil bir sonraki yeniden başlatmada kurulacaktır
  • Dil değiştirmek gerektiğinde Windows+Spacebar kısayolunu kullanın

1 yorum

 
GN⁺ 2025-06-30
Hacker News yorumları
  • Makineyi kötü amaçlı yazılım çalıştırma sandbox’ı gibi gösterirseniz, birçok kötü amaçlı yazılım analizden kaçınmak için kapanır.
    Bu tür şeyler sonuçta kedi-fare oyununun bir parçası.

    • Gelişmiş kötü amaçlı yazılımlar PC’nin CPU çekirdek sayısını, sabit disk kapasitesini kontrol eder; bazıları donanım sıcaklığına veya debugger varlığına kadar bakar.
      Windows kötü amaçlı yazılımları son 30 yılda epey gelişmiş hale geldi.
    • Günümüzde Windows sunucuların çoğu sanallaştırılmış olduğundan, bu yöntemin hâlâ işe yarayıp yaramayacağından pek emin değilim.
      Ancak başka göstergelere bakılabilir.
    • Firmware’e VirtualBox dizgeleri koymak yeterli :)
    • Bu konu başka bir ön sayfa yazısında da geçmişti; muhtemelen bu gönderi de buradan çıktı: https://news.ycombinator.com/item?id=44413185
  • Bunun Petya gibi fidye yazılımlarında ya da Fancy Bear, Cozy Bear, Conti gibi gruplarda işe yaradığına dair dayanaklar var.
    Bunun genel nedeni, Rus hükümetinin hedef Rusya değilse gayriresmî olarak dokunulmazlık sağlaması.
    Ayrıca kendinizi Rus olarak tanıtırsanız ya da sohbetlerde/e-postalarda Rusça yazarsanız, sisteminizin şifresini ücretsiz çözebiliyorlar.

    • Yapay zeka çevirisi çağında bunun nasıl işleyeceğini merak ediyorum.
      Tam olarak aynı şey değil ama Ruslara ücretsiz lisans veren bir Rus shareware geliştiricisini hatırlıyorum.
    • Bence o kadar basit değil.
      Ruslar her yerde çok ve mağdur şirkette de çalışıyor olabilirler; fidye milyonlarca dolarsa sadece Rus olmak yetmez.
      Şirketin Ruslara ait olduğu ya da babanızın FSB’de çalıştığı gibi bir şekilde ikna etmek gerekebilir.
    • Burada kilit noktaya değinilmiş.
      Çadırın içine işeme politikası neredeyse tüm Rus gruplarının iyi anladığı bir şey.
    • Ruslara saldırmak istememelerinin nedeni, mağdur polise şikâyet ederse polisin soruşturma başlatmak zorunda kalması bence.
      Yabancılar bu açıdan sorun çıkarmaz.
      Özel bir dokunulmazlık olduğunu düşünmüyorum.
      Yine de yabancılar da bazen sorun çıkarabilir.
      Yakın zamanda Joe Biden’ın ihbarıyla başlayan bir soruşturmanın ardından birkaç siber uzman mahkûm edildi.
  • 2000’lerin sonlarında teknolojiye pek hâkim olmayan okul arkadaşlarımın bilgisayarlarından çok sayıda winlocker temizlemiş bir Rus olarak buna katılmak zor :D
    Yine de bunlar muhtemelen daha az gelişmişti.
    Dosyaları şifrelemiyorlardı; kapatılamayan bir pencere açıp ödeme istiyorlardı.
    Bazen “Yetişkin sitelerine hızlı erişim widget’ını yüklediğiniz için teşekkürler” gibi komik ifadeler de oluyordu.

  • Kiril klavye açık olan sistemleri hedefleyen kötü amaçlı yazılımlar yoksa asıl buna şaşarım.

    • Kiril klavyelerin birçok türü var.
      Lütfen Bulgarlara saldırmayın :)
    • Elbette CIA gibi kurumların kendi hedeflerini ayırt etmesi gerekir.
  • Herhangi bir Windows sürümünde en iyi kötü amaçlı yazılım savunması, günlük kullandığınız varsayılan hesabı yönetici hesabı olmayan bir hesap yapmak olmuştu.
    Ayrı bir tam yönetici hesabı da oluşturmalısınız; yerel hesap da olabilir.
    Parola mutlaka farklı olmalı.
    Bir şey yüklemeniz ya da PowerShell/CMD’yi yönetici yetkisiyle çalıştırmanız gerektiğinde, yönetici hesabıyla ayrı oturum açmanızı isteyen bir açılır pencere gelir.
    Bu temelde Linux’taki sudo yaklaşımıyla aynıdır ve düzgün bir profesyonel BT departmanının Windows’u çalıştırma biçimi de budur.
    Sizin tetiklemediğiniz bir yönetici yetkisi yükseltme penceresi çıkarsa bir şeylerin ters gittiğini anlarsınız ve çoğu kötü amaçlı yazılım yüklenemez.
    Ayrıca normal hesapta nispeten sıradan ama çok kısa olmayan bir parola, yönetici oturumunda ise çok daha karmaşık bir parola kullanabilirsiniz.
    Özellikle “büyükanne PC’si” gibi yanlış tıklama riski yüksek kişiler için iyidir.

    • Kötü amaçlı yazılımlar “yükleme” olmadan da birçok şey yapabilir.
      Yetkisiz bir kullanıcı olarak çalışsa bile, o kullanıcının erişebildiği dosya sistemi üzerinde her şeyi yapabilir ve çoğu sıradan yapılandırmada dış internete bağlantı da sınırsızca mümkündür.
      Yani bu tür yetki ayrımı veri sızıntısını, kullanıcının önemli dosyalarını hedefleyen fidye yazılımlarını veya basit tahribatı engellemez.
    • 2000’lerin başından yaklaşık 2012’ye kadar buna katılırdım.
      Vista’dan sonra kötü amaçlı yazılımlar UAC’ye uyum sağladı ve artık tüm kötü amaçlı yazılımlar normal kullanıcı yetkileriyle de gayet iyi çalışıyor.
      Normal kullanıcının erişebildiği veriler, yerel olsun uzak bir CIFS sunucusunda olsun, fidye yazılımının hedefi olur.
      Yönetici yetkilerini kısıtlamak, kötü amaçlı yazılımın verilere erişmesini engellemez.
      Kalıcılık sağlama da kullanıcı başına, yönetici gerektirmeyen yöntemlere kaydı.
      Kullanıcının BT departmanını aşmak için yazılım ararken yüklediği her tür yarı kötü amaçlı özelleştirilmiş Chromium da aynı şekilde çalışır.
      Yine de günlük Windows kullanıcılarına yönetici yetkisi verilmemesi gerektiğini düşünüyorum.
      Ancak kötü amaçlı yazılıma karşı pek faydası yok.
      En hassas faaliyetler, özellikle bankacılık için fiziksel olarak ayrı bir cihaz kullanıyorum; ama ayrı bir yönetici olmayan Windows oturumu açıp fidye yazılımına kaptırılmaması gereken verilere erişimi bölümlere ayırmak da neredeyse aynı etkiyi sağlayabilir.
      Windows’ta farklı kullanıcı hesapları arasındaki izolasyon aslında oldukça iyi; hesapların ortak erişebildiği verileri sınırlamak yeterli.
      Kişisel olarak Qubes kullanıp fiziksel olarak ayrı makine kullanmayı bırakmak istedim, ancak onun kendine özgü düzenini öğrenmeye zaman ayıramadım.
      Düzeltme: Chrome değil, “yarı kötü amaçlı özelleştirilmiş Chromium” demeliydim.
    • Az önce anlattığınız şey, Windows Vista’dan, yani 2006’dan beri Kullanıcı Hesabı Denetimi’nin (UAC) yaptığı işe benziyor.
    • Genelde bireyler organize suç fidye yazılımı saldırılarının hedefi değildir.
      Şirketler verilerini geri almak için çoğu zaman çok daha fazla para öder ve Petya fidye yazılımı buna iyi bir örnektir.
      Yine de saldırgan bir makinede normal kullanıcı yetkilerine sahipse, o makinede ve ağda yönetici hesaplarını aktif olarak arayıp oturumları çalabilir.
      Nihai hedef Domain Admin yetkisi elde etmektir.
      Bunun dışında verileri silmek/şifrelemek ya da yazılım çalıştırıp gizlemek için yönetici yetkisi şart değildir.
      Oturum çalma dışında, yamalanmamış yazılımlar, uygunsuz kullanıcı yetkileri, sıfır gün açıkları, sosyal mühendislik gibi yönetici yetkisi elde etmenin birçok yolu vardır.
      Kullanıcının yüklemek istediği faydalı yazılımlara kötü amaçlı yazılım veya fidye yazılımı paketlemek de yaygın bir yöntemdir.
    • Herhangi bir Windows sürümünde en iyi kötü amaçlı yazılım savunması Windows kullanmamaktır.
  • “Bu basit ve ücretsiz önleyici tedbiri almanın bir dezavantajı var mı? Bana göre yok” ifadesine karşılık, akla hemen gelen dezavantaj, kullanıcıların yanlışlıkla klavyeyi değiştirmesiyle destek maliyetinin artması
    Klavye değiştirme kısayollarına yanlışlıkla basmak genelde zor değildir; özellikle de ABD’deki çoğu kullanıcı ne yaptığını ya da nasıl geri alacağını pek bilmeyecektir

    • Windows kullanıcısı değilim ama bir sistem yöneticisi bu klavyeyi açık tutup geçiş kısayolunu kapatamıyor mu?
  • Brian Krebs bunu 2021’de tüm dünyaya açıkladıktan sonra bile hâlâ gerçekten işe yarayıp yaramadığını merak ediyorum

    • Zaten başından beri böyleydi ve bundan sonra da böyle olmaya devam edecek
      Rusya ve Kuzey Kore fidye yazılımlarını meşru bir ekonomik faaliyet olarak görüyor
      Hibrit savaş stratejisinin bir parçası
    • Evet, kesinlikle öyle
      Bu daha çok hukuki ve yaptırıma ilişkin bir değerlendirme
      Rus makamlarından uzak durursanız onlar da sizden uzak durur
      Ayrıca Rusya, ABD kadar verimli bir hedef alanı değil
      ABD’de iş e-postası ihlali (BEC) tuzağına düşüp AP ödeme bilgilerini gönüllü olarak güncelleyecek çok sayıda düşük ücretli, giriş seviyesi ofis çalışanı var
      2024’te BEC kayıpları 2,77 milyar dolarla en kârlı kategori oldu; ABD’nin toplam kaybı ise 859.532 bildirimde 16 milyar dolardı
      Dahil olduğum bir soruşturmada, Çinli bir tehdit aktörü sosyal mühendislikle bir ABD şirketinde çalışan hesabı açtırmıştı
      O kadar ikna edicilerdi ki, belirli bir şubede yeni çalışan hesabı oluşturulurken kullanılan kimlik iş akışı onay sürecine kendi hesaplarını yönetici gibi dahil etmeyi bile başardılar
      Amaçları yalnızca çalışanlara sunulan indirim avantajlarını saptırmaktı; bunları yeniden satarak birkaç yıl içinde yaklaşık 1 milyon dolarlık zarara yol açtılar
      https://www.fbi.gov/contact-us/field-offices/elpaso/news/fbi...
  • Siber saldırıların kaynağının makul bir güven düzeyiyle nasıl tahmin edilebildiğini merak ediyorum
    Bazen “kullanılan teknikler Rus grupların bilinen teknikleri olduğu için Rus olduklarını biliyoruz” deniyor; ama bu teknikler belirli bir gruba ya da ülkeye bu kadar net işaret ediyorsa, tam tersine onları taklit edip saldırıyı onların yapmış gibi göstermek kolay olmaz mı?
    Rus bayrağı taşıyan bir savaş gemisi bir ABD gemisine ateş edip kaçsa ve yakalanmasa, sadece bayrağa bakıp “%100 Rusya yaptı” demek aptalca görünür
    Kelimenin tam anlamıyla bir sahte bayrak operasyonu olabilir; üstelik günümüzde böyle bir şey yapmak için siyasi motivasyon da çok büyük

  • Rusça klavyeniz varsa NSA kötü amaçlı yazılımları için cazip bir hedef olursunuz

    • Rusya, Çin vb. ülkeler ordu ya da hassas devlet personelinin cihazlarında Windows kullanımını yasaklıyor
      Kendi Linux dağıtımlarını kullanıyorlar
  • Rusça klavye kullanan biri olarak, siber güvenliğin temellerini öğrenmeden önce ben de epey virüs kapmıştım
    Genel olarak bu yöntemin pratikte ne kadar yaygın işe yaradığını, yoksa yazıda abartılıp abartılmadığını merak ediyorum

    • Bunun hedefli/kampanya saldırılarıyla ilgili bir konu olduğunu düşünüyorum
      rar dosyalarına karışarak yayılan sıradan virüs dağıtımı yeterince geneldir
      Buna karşılık CIS ülkelerinde faaliyet gösteren bir örgütseniz, yerel güvenlik kurumlarının hedefi olmamak için bunu doğal olarak dikkatle kontrol etmeniz mantıklıdır
      Örneğin bir botnet oluşturup kiraya verirseniz başka gruplar onunla ciddi zararlar verebilir; bu yüzden onu yurtdışında barındırmak daha güvenlidir