Wannacry Siber Saldırısı ve Çözüm Önerileri

Wannacry Siber Saldırısı ve Çözüm Önerileri

WannaCry (WCRY) Nedir?

TheShadowBrokers* geçtiğimiz nisan ayında NSA tarafından geliştirilen FUZZBUNCH isimli exploiti sızdırdı. Sızdırılan kit içerisinde pek çok zararlı exploit bulunmakta, bunlardan ikisi olan EternalBlue exploiti ve DOUBLEPULSAR payloadı birlikte kullanıldığında Windows sistemlerdeki SMB servisinin açığını kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamakta.

MS17-010 (CVE-‎2017-0144) kodu ile isimlendirilen bu zafiyet WannaCry adı verilen bir fidye yazılımı tarafından kullanılmaya başlandı, yazılım bir sisteme bulaştığında ağda MS17-010 zafiyetinin olduğu sistemleri tarayarak zafiyet barındıran sistemleri de etkilemektedir.

Fidye yazılımı nasıl yayılmaktadır?

Windows sistemlerdeki SMB protokolünü kullanarak yayılmaktadır. NSA tarafından geliştirilen bir exploit kiti NSA’den sızdırıldıktan sonra fidye yazılımı geliştirilmesinde kullanıldı ve internet üzerinde yayılmaya başladı.

Hangi işletim sistemleri etkilenmektedir?

Aktif kullanılan tüm Windows sistemler Wannacry zararlı fidye yazılımından etkilenmektedir.

  • Windows XP
  • Microsoft Windows Vista SP2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2012 and R2
  • Windows Server 2016

Windows XP için de güncelleme var!

Microsoft, destek vermeyi kestiği Windows XP için oldukça sıra dışı bir karar aldı ve hali hazırda WannaCry saldırısı için yayınladığı güvenlik güncellemesini Windows XP için de hazırlayarak, güncelleme paketi yayınlandı.

WannaCry e-posta üzerinden yayılabilir mi?

E-posta ile yayılma yöntemi, gönderilen bir bağlantı ve bu bağlantı tıklandığında indirilen zararlı yazılım aracılığıyla gerçekleşmektedir. Yayınlanan raporlarda kurumsal ağlara yapılan oltalama saldırıları ile de WannaCry’in yayıldığı belirtilmektedir.

Bu konuda e-posta servislerinin bağlantıları ve dosyaları tarayacak şekilde ayarlanması ve güncellenmesi önerilmektedir.

E-posta üzerinden gelebilecek tehditlere karşı kullandığım sistemleri nasıl test edebilirim?

Sinara Labs tarafından sunulan ETS hizmetini kullanabilirsiniz. ETS, e-posta servisinizin siber saldırılar karşısındaki durumunu ve iyileştirmelerini rapor olarak sunan ücretsiz bir hizmettir. Sisteme buradan kayıt olabilirsiniz.

Sistemlerime bulaştı mı? Nasıl tespit edebiliriz?

Siber Tehdit İstihbaratı destekli bir çözüm kullanıyorsanız IoC sisteminize ekleyerek geriye doğru ilgili ip adreslerine veya domainlere erişim denemelerinin olup olmadığının kontrol edebilirsiniz.

Henüz fidye yazılımı bulaşmadıysa ip adreslerinizi taratarak açıklığın sistemlerinizde olup olmadığını tespit edebilirsiniz.

Bazı sistemlerimize bulaştığını tespit ettik ne yapmalıyız?

Fidye yazılımının bulaştığı tespit edilen sistemin ilk olarak ağ bağlantısı devre dışı bırakılmalı, bu şeklide diğer sistemlere yayılması önlenebilir. Nasıl bulaştığı konusunda tersine mühendislik incelemeleri yaparak diğer sistemlerinize bulaşmasını önleyici aksiyonlar alabilirsiniz.

Kurumsal bir şirket çalışanı ne yapmalıdır?

Kullanılan Windows işletim sistemlerinin güncellemelerini yaparak MS17-010 kodlu yamanın yüklendiğinden emin olmalısınız.

  • İnternet hizmeti veren sistemlerden 445/TCP portu açık olanlar kapatılmalı.,
  • SPF, DMARC, DKIM kontrolleri mutlaka gerçekleştirin.
  • Kullanıcı yetkilerini kontrol edip, gerekli en düşük yetki ile çalışmalarını sağlayın.
  • Ortak hesap kullanılmamalı, her sisteme özgü hesap oluşturulmalı.
  • Kullanıcıların okuma yetkisine ihtiyacı varsa yazma yetkisi vermeyin.
  • Çalışanları siber saldırılara karşı bilinçlendirecek bir eğitim programı uygulanmalı.
  • Ağınızdaki zafiyetleri keşfedip önlem almak için sızma testi yaptırılmalı.
  • Düzenli olarak yedek alınmalı

Benzer zararlı yazılımlardan erkenden haberdar olmak için neler yapmalıyım?

Çalışanlara sosyal mühendislik denemeleri yaparak zararlı yazılımlar konusunda farkındalıkları arttırılabilir ve NormShield Threat Intel ücretsiz hizmetini kullanarak Wannacry veya benzeri siber tehditlerde önceden haberdar olup bulaşmasını engelleyebilirsiniz.

Her zaman olduğu gibi yedekli çalışmanız ve özellikle Windows sunucularınızda gerekli güvenlik önlemlerini ve güncelleştirmeleri sağlamanız önermekteyiz.

TheShadowBrokers: Hacker Grubu.
Ransomware: Bulaştığı sistemdeki verileri şifreleyip, çözmek için para talep eden worm türevi yazılımlara verilen genel isim.
Exploit: Bir bilgisayar programı veya işletim sistemindeki hataları kötüye kullanmak için hazırlanmış küçük yazılımlar.

Leave a Reply