Verileri yahut aygıtları şifreleyip ya da kilitleyip para talep etmekte kullanılan fidye yazılımları siber hatalılar tarafından kullanılmaya devam ediyor. Bu yazılımlar tüm dünyada kullanıcıları ve her ölçekten kurumları etkileyebiliyor. Birçok güvenlik tahlili artık bilindik sürümleri ve taarruz vektörlerini tespit edebiliyor. Lakin, Sodin üzere gelişmiş sürümlerin tespit edilmesi vakit alabiliyor. Yakın vakit evvel keşfedilen bir Windows sıfır gün açığından yararlanan (CVE-2018-8453) Sodin, bulaştığı sistemde üst seviye yetki ediniyor.
Zararlı yazılım Sodin, “hizmet olarak fidye yazılımı” formülünün bir modülü üzere görünüyor. Bu yolda siber hatalılar şifreleyicinin dağıtım formunu kendileri seçebiliyor. Bu ziyanlı yazılımın bir üye programıyla dağıtıldığına işaret eden ipuçları bulunuyor. Örneğin, ziyanlı yazılımı geliştirenler üyelerin haberi olmadan belgelerin şifresini kaldırmayı sağlayan bir “ana anahtar” hazırlıyor. Bu anahtar dağıtımcının anahtarına muhtaçlık olmadan belgeleri açabiliyor. Olağanda kurban parayı ödediğinde şifreleri kaldırmak için dağıtımcı anahtarları kullanılıyor. Geliştiriciler bu formda kurbanların datalarının nasıl şifrelendiğini yahut fidye yazılımın dağıtım halini denetim altına alıyor. Yazılımı kullanan kimi üyelerle alakalarını kesmek istediklerinde ana anahtarı kullanarak şifrelemeyi kaldırabiliyorlar.
Fidye yazılımları ekseriyetle kullanıcının, e-posta eki açmak yahut ziyanlı bir kontağa tıklamak üzere bir etkileşimiyle aktif hale geliyor. Lakin Sodin’i kullanan saldırganlar buna muhtaçlık duymuyor. Zayıf bir sunucu bulup “radm.exe” isimli ziyanlı belgeyi indirmek için bir komut göndermeleri kâfi oluyor. Böylelikle fidye yazılımını lokal olarak kaydedip çalıştırabiliyorlar.
Sodin fidye yazılımının amaçlarının birden fazla Asya bölgesinde yer alıyor: Atakların %17,6’sı Tayvan’da, %9,8’i Hong Kong’da ve %8,8’i ise Güney Kore’de tespit edildi. Fakat Avrupa, Kuzey Amerika ve Latin Amerika’da da ataklar gözlendi. Maksat alınan PC’lere bırakılan notta kurbanlardan 2500 ABD doları pahasında Bitcoin talep ediliyor.
Sodin’in tespit edilmesini zorlaştıran şey ise “Cennet Kapısı” tekniğini kullanması. Bu teknik sayesinde ziyanlı yazılım 32-bit çalışma sürecinden 64-bit kod çalıştırabiliyor. Çok sık rastlanmayan bu prosedür fidye yazılımlarda da pek görülmüyor.
Araştırmacılar Sodin’de Cennet Kapısı yolunun kullanılmasının gerisinde iki neden olduğunu düşünüyor:
Zararlı kodun tahlilini zorlaştırmak: Kod kontrolcülerinin tümü bu tekniği desteklemediği için ziyanlı yazılım tespit edilemiyor.
Kurulu güvenlik tahlilleri tarafından tespit edilmekten kaçınmak: Bu teknik benzetme tabanlı tespitten kaçınmakta kullanılıyor. Bu yolda gerçek bir bilgisayara benzeyen sanal bir ortamda kuşkulu davranan kodlar belirleniyor. Daha evvelce bilinmeyen tehditler bu kodları kullandığında tespit ediliyor.
