Wannacry Siber Saldırısı ve Çözüm Önerileri

Wannacry Siber Saldırısı ve Çözüm Önerileri

WannaCry (WCRY) Nedir?

TheShadowBrokers* geçtiğimiz nisan ayında NSA tarafından geliştirilen FUZZBUNCH isimli exploiti sızdırdı. Sızdırılan kit içerisinde pek çok zararlı exploit bulunmakta, bunlardan ikisi olan EternalBlue exploiti ve DOUBLEPULSAR payloadı birlikte kullanıldığında Windows sistemlerdeki SMB servisinin açığını kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamakta.

MS17-010 (CVE-‎2017-0144) kodu ile isimlendirilen bu zafiyet WannaCry adı verilen bir fidye yazılımı tarafından kullanılmaya başlandı, yazılım bir sisteme bulaştığında ağda MS17-010 zafiyetinin olduğu sistemleri tarayarak zafiyet barındıran sistemleri de etkilemektedir.

Fidye yazılımı nasıl yayılmaktadır?

Windows sistemlerdeki SMB protokolünü kullanarak yayılmaktadır. NSA tarafından geliştirilen bir exploit kiti NSA’den sızdırıldıktan sonra fidye yazılımı geliştirilmesinde kullanıldı ve internet üzerinde yayılmaya başladı.

Hangi işletim sistemleri etkilenmektedir?

Aktif kullanılan tüm Windows sistemler Wannacry zararlı fidye yazılımından etkilenmektedir.

  • Windows XP
  • Microsoft Windows Vista SP2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2012 and R2
  • Windows Server 2016

Windows XP için de güncelleme var!

Microsoft, destek vermeyi kestiği Windows XP için oldukça sıra dışı bir karar aldı ve hali hazırda WannaCry saldırısı için yayınladığı güvenlik güncellemesini Windows XP için de hazırlayarak, güncelleme paketi yayınlandı.

WannaCry e-posta üzerinden yayılabilir mi?

E-posta ile yayılma yöntemi, gönderilen bir bağlantı ve bu bağlantı tıklandığında indirilen zararlı yazılım aracılığıyla gerçekleşmektedir. Yayınlanan raporlarda kurumsal ağlara yapılan oltalama saldırıları ile de WannaCry’in yayıldığı belirtilmektedir.

Bu konuda e-posta servislerinin bağlantıları ve dosyaları tarayacak şekilde ayarlanması ve güncellenmesi önerilmektedir.

E-posta üzerinden gelebilecek tehditlere karşı kullandığım sistemleri nasıl test edebilirim?

Sinara Labs tarafından sunulan ETS hizmetini kullanabilirsiniz. ETS, e-posta servisinizin siber saldırılar karşısındaki durumunu ve iyileştirmelerini rapor olarak sunan ücretsiz bir hizmettir. Sisteme buradan kayıt olabilirsiniz.

Sistemlerime bulaştı mı? Nasıl tespit edebiliriz?

Siber Tehdit İstihbaratı destekli bir çözüm kullanıyorsanız IoC sisteminize ekleyerek geriye doğru ilgili ip adreslerine veya domainlere erişim denemelerinin olup olmadığının kontrol edebilirsiniz.

Henüz fidye yazılımı bulaşmadıysa ip adreslerinizi taratarak açıklığın sistemlerinizde olup olmadığını tespit edebilirsiniz.

Bazı sistemlerimize bulaştığını tespit ettik ne yapmalıyız?

Fidye yazılımının bulaştığı tespit edilen sistemin ilk olarak ağ bağlantısı devre dışı bırakılmalı, bu şeklide diğer sistemlere yayılması önlenebilir. Nasıl bulaştığı konusunda tersine mühendislik incelemeleri yaparak diğer sistemlerinize bulaşmasını önleyici aksiyonlar alabilirsiniz.

Kurumsal bir şirket çalışanı ne yapmalıdır?

Kullanılan Windows işletim sistemlerinin güncellemelerini yaparak MS17-010 kodlu yamanın yüklendiğinden emin olmalısınız.

  • İnternet hizmeti veren sistemlerden 445/TCP portu açık olanlar kapatılmalı.,
  • SPF, DMARC, DKIM kontrolleri mutlaka gerçekleştirin.
  • Kullanıcı yetkilerini kontrol edip, gerekli en düşük yetki ile çalışmalarını sağlayın.
  • Ortak hesap kullanılmamalı, her sisteme özgü hesap oluşturulmalı.
  • Kullanıcıların okuma yetkisine ihtiyacı varsa yazma yetkisi vermeyin.
  • Çalışanları siber saldırılara karşı bilinçlendirecek bir eğitim programı uygulanmalı.
  • Ağınızdaki zafiyetleri keşfedip önlem almak için sızma testi yaptırılmalı.
  • Düzenli olarak yedek alınmalı

Benzer zararlı yazılımlardan erkenden haberdar olmak için neler yapmalıyım?

Çalışanlara sosyal mühendislik denemeleri yaparak zararlı yazılımlar konusunda farkındalıkları arttırılabilir ve NormShield Threat Intel ücretsiz hizmetini kullanarak Wannacry veya benzeri siber tehditlerde önceden haberdar olup bulaşmasını engelleyebilirsiniz.

Her zaman olduğu gibi yedekli çalışmanız ve özellikle Windows sunucularınızda gerekli güvenlik önlemlerini ve güncelleştirmeleri sağlamanız önermekteyiz.

TheShadowBrokers: Hacker Grubu.
Ransomware: Bulaştığı sistemdeki verileri şifreleyip, çözmek için para talep eden worm türevi yazılımlara verilen genel isim.
Exploit: Bir bilgisayar programı veya işletim sistemindeki hataları kötüye kullanmak için hazırlanmış küçük yazılımlar.

Ransomware Etkisi Tüm Dünyaya Yayılıyor

Ransomware Etkisi Tüm Dünyaya Yayılıyor

Dünya çapında etkiye sahip olan ve 100’den fazla ülkeye yayıldığı bilinen Ransomware zararlı yazılım saldırısının, Türkiye’yi de etkisi altına aldığı BTK tarafından doğrulandı, Avast’tan verilen bilgilere göre 12.05.2017 tarihinde Türkiye saatiyle 9’da başlayan saldırı ile saatler içerisinde 200 bin’e bilgisayar etkilendi.

Aralarında Türkiye’nin de bulunduğu 100’den fazla ülkeye yayıldığı bilinen zararlı yazılım, WanaCrypt0r 2.0 adını taşıyor.

Ağırlıklı olarak kurumların hedef alındığı siber saldırıda en ağır hasarı, İçişleri Bakanlığı‘ndaki bine yakın bilgisayarı etkilenen Rusya almış görünüyor. Saldırı sayısı açısından Rusya’yı, Tayvan ve Ukrayna izledi. Sayısal olarak daha az saldırıya maruz kalmasına karşın İngiltere, saldırılardan daha ağır etkilendi ve sağlık sistemi çöktü. Türkiye ise 150 ülke arasında en yoğun saldırıya maruz kalan 14’üncü ülke oldu.

BTK Başkanı Ömer Fatih Sayan kişisel twitter hesabından Türkiye dahil 74 ülkeye siber saldırısı yapıldığını ve Wcry zararlısından korunmak için Windows sistemleri ve antivirüsleri güncelleyin! Sisteminizi taratmayı ihmal etmeyin” paylaşımını yaptı.

New York Times’ta konu hakkındaki bir yazıda, zararlı yazılımın ABD Ulusal Güvenlik Ajansı (NSA) tarafından bulunan ve geliştirilen bir sistem açığını kullandığını iddia ediliyor.

Bu yazılımlar, sisteme sessizce sızdıktan sonra tüm verileri şifreliyor ve şifre anahtarını başka bir sunucuya kayıt ettikten sonra uyarı veriyor. Belirli bir miktar Bitcoin, istenen hesaba gönderilmezse, şifreli verilerin anahtarının sunucudan da silineceği söylenerek, kullanıcıya süre veriliyor.

Sunucunuzu ve Bilgisayarlarınızı Güncelleyin ve Koruyun

Güvenlik uzmanı Ryan Naraine’in bir tweet’i saldırının güncel olmayan sistemlerde etkili olduğunu ortaya çıkardı. Microsoft’un 14 Mart’ta yayımladığı MS17-010 yaması, saldırının olmasını önlerken, Kaspersky’nin SystemWatcher bileşeninin de saldırıları gerçek zamanlı olarak önlediğini ortaya çıkardı.

İngiltere’de bir bölgede sağlık IT sisteminin siber saldırı sonucu çökmesinin ardından tüm ülkede olası bir saldırıya karşı alarm durumuna geçildi. NHS’in bilgi işlem uzmanlarının sorunun çözülmesi için hali hazırda çalışmalarını yoğun bir şekilde sürdürüldüğü bildirildi.

İspanya’da hükumet yetkililerinin ve Ulusal İstihbarat Merkezinin doğruladığı siber saldırılarda, başta Telefonica olmak üzere elektrik şirketi Ibedrola, enerji şirketi Gas Natural, bankacılık grubu BBVA’nın da aralarında bulunduğu ülkenin en önemli şirketlerinden bazılarının hedef alındığı bildirildi.

Siber saldırının Çin merkezli olduğu ve WannaCry adlı kötü amaçlı yazılım aracılığıyla yapılan saldırının 74 ülkede daha görüldüğü kaydedildi.

Bu nedenle her zaman olduğu gibi yedekli çalışmanız ve özellikle Windows sunucularınızda gerekli güvenlik önlemlerini ve güncelleştirmeleri sağlamanız önerilmektedir.