Selamlar DH Siber Güvenlik Sakinleri,

Bugün sizlerle, son dönemde özellikle cPanel yüklü Linux sunucuları (yaklaşık 44.000+ IP) kasıp kavuran "Sorry" Ransomware üzerine yaptığım derinlemesine teknik analizi paylaşmak istiyorum. Bu zararlı yazılım, sadece dosyaları şifrelemekle kalmıyor, kurumsal hosting altyapılarını hedef alarak büyük bir tehdit oluşturuyor.

1. Giriş ve Vektör Analizi: CVE-2026-41940

Saldırı, cPanel/WHM servislerindeki kritik bir Authentication Bypass (CVE-2026-41940) zafiyeti ile başlıyor 1.4.2.

• Zafiyetin Özü: CRLF Injection kullanılarak server-side session dosyalarının manipüle edilmesi.
• Sonuç: Saldırgan, hiçbir parola veya 2FA (İki Faktörlü Doğrulama) aşamasına takılmadan doğrudan root yetkileriyle session elde edebiliyor 1.4.4.

2. Zararlı Yazılımın Teknik Anatomisi (Go-Based)

Analiz ettiğim binary, Go diliyle derlenmiş ve statik olarak linklenmiş bir ELF dosyası. Yazılımın öne çıkan özellikleri:

• Hız Odaklı Mimari: Go'nun goroutines yapısını kullanarak dosya sistemini asenkron bir şekilde tarıyor ve şifreleme işlemini çok hızlı gerçekleştiriyor.
• Header Yapısı: Şifrelenen her dosyanın başına 2057 byte uzunluğunda sabit bir header ekliyor. Bu header, şifrelenmiş anahtar verilerini ve dosya imzasını içeriyor.
• Kriptografik Seçimler:
• Simetrik: Her dosya için benzersiz bir nonce ile ChaCha20 1.5.6.
• Asimetrik (Key Wrapping): Üretilen simetrik anahtarlar, saldırganın gömülü RSA-2048 kamu anahtarı ile şifreleniyor 1.5.3.

3. Forensic ve Tespit (IOCs)

Analizim sırasında sistemde bıraktığı izleri (Artifacts) ve tespit yöntemlerini şu şekilde özetledim:

• Gözlemlenen Uzantı: .sorry
• Fidye Notu: README_SORRY.txt
• Süreç (Process): /tmp/ veya /dev/shm/ gibi dizinler altında rastgele isimli (örn: kworker_u) executable dosyalar.
• Network: C2 iletişimi yerine genellikle Tox protokolü üzerinden iletişim kuruluyor.

4. Savunma ve Kurtarma Stratejileri

Maalesef, RSA-2048'in matematiksel zorluğu ve implementasyonun (ChaCha20 nonce reuse hatası barındırmaması gibi) düzgünlüğü nedeniyle şu an için ücretsiz bir decryptor bulunmuyor.

1. Hemen Yama: cPanel sürümünüzü v11.136.0.7 veya üzerine yükseltin 1.4.6.
2. Session Temizliği: /var/cpanel/sessions/ dizinindeki tüm aktif oturumları sonlandırın ve şüpheli injection izlerini kontrol edin.
3. Yedekleme: "Air-gapped" (internet bağlantısı olmayan) yedeklerin önemi burada bir kez daha ortaya çıkıyor.

GitHub Reposu ve Teknik Dokümantasyon

Hazırladığım repoda; analizde kullandığım Python tabanlı header ayrıştırıcı, YARA kuralları ve forensic scriptleri mevcut. İlgilenen arkadaşlar inceleyebilir:

sorry-ransomware-analysis

Sorularınızı ve eklemek istediklerinizi konu altında bekliyorum. Hepinize güvenli ve yamasız (ama güncel!) günler dilerim.