10 Soruda Wannacry Siber Saldırısı ve  Çözüm Önerileri!

10 Soruda Wannacry Siber Saldırısı ve Çözüm Önerileri!

Wannacry Siber Saldırısı, dünyayı tehdit ederek büyük zararlara yol açarken, BGA Security uzmanları bu tehdide karşı hazırladıkları çözüm önerilerini sizlerle paylaşıyor.

Son birkaç gündür tüm dünyayı tehdit eden ve büyük zararlara yol açan, Wannacry saldırısı için BGA Security uzmanları tarafından hazırlanan çözüm önerilerini ve Wannacry hakkındaki tespitlerini sizlerle paylaşıyoruz.

1. WannaCry (WCRY) Nedir? Sistemlere nasıl bir zarar verir?
“TheShadowBrokers” isimli hacker grubu, Nisan ayında National Security Agency’in (NSA) FUZZBUNCH isimli exploit kitini sızdırdı. Sızdırılan bu zafiyet kiti içerisinde bir çok exploit bulunmaktadır. İlgili exploitlerden EternalBlue exploiti yine exploit kiti içerisinde bulunan DOUBLEPULSAR payloadı ile birlikte kullanıldığında Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamaktadır.

MS17-010 (CVE-‎2017-0144) kodu ile isimlendirilen bu zafiyet WannaCry adlı bir fidye yazılımı tarafından kullanılmaya başlandı.

Aynı zamanda, fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmeksizin bulaştığı ağda MS17-010 zafiyetinin olduğu sistemleri tarayarak bulmakta ve zafiyet barındıran sistemleri de etkilemektedir.

2. Fidye Zararlı Yazılımı nasıl yayılmaktadır, neden kaynaklanmaktadır?
Wannacry wormu Windows SMB protokolünü kullanarak yayılmaktadır. NSA tarafından bu açıklığı barındıran sistemlere sızmak için kullanılan bir exploit, NSA’den bu bilgiler sızdırıldığında internet üzerinden yayınlanmaya başladı. Açıklanan belgeler ve bilgiler ışığında biri ya da birileri tarafından bu zafiyeti istismar eden fidye zararlı yazılımı geliştirilerek internete sunuldu.

3. Kendi sistemlerimize bulaşıp bulaşmadığını nasıl tespit edebiliriz?
Siber Tehdit İstihbaratı destekli bir SIEM çözümü kullanıyorsanız [1] nolu başlıktaki IoC (Indicator of Compromise) sisteminize ekleyerek geriye doğru ilgili domainlere veya ip adreslerine erişim denemelerinin olup olmadığının kontrol edebilirsiniz.

Henüz sistemlerinize Wannacry fidye yazılımı bulaşmadıysa internet üzerinden ip adreslerinizi taratarak açıklığın olup olmadığını tespit edebilirsiniz.

4. Bazı sistemlerimize bulaştığını tespit ettik ne yapmalıyız?
Bulaştığı tespit edilen sistemin ağ bağlantısı acilen devre dışı bırakılmalı ve network sisteminizden izole edilmelidir. Bu şeklide diğer sistemlere yayılması önlenebilir. Bulaşma yöntemi konusunda tersine mühendislik incelemeleri yaparak önleyici aksiyonlar konusunda geri bildirimler sağlanmalıdır.

5. Kurumsal bir şirket çalışanı ne yapmalıdır, nasıl önlem alabilir?
Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017 de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir.

Internete hizmet veren sistemlerden 445/TCP portu açık olan varsa bunları kapatılması.

Antispam servisinizi oltalama saldırılarına karşı güçlendirin, SPF, DMARC,DKIM kontrolleri mutlaka gerçekleştirin.

Kullanıcı yetkilerini gözden geçirip, en düşük yetki prensibi ile çalışmalarını sağlayın. Ortak hesap kullanımından kaçınıp her sisteme özgü hesap oluşturun.

Kurumsal ağlardaki dosya paylaşımı erişim ve düzenleme yetkilerini gözden geçirin, kullanıcıların okuma yetkisine ihtiyacı varsa dosyalara yazma yetkisi vermeyin.

Çalışanlarınızı siber saldırılara karşı bilinçlendirecek bir eğitim programı uygulayın.

Ağınızdaki güvenlik zafiyetlerini keşfedip erken önlem almak için sızma testi (penetrasyon) mutlaka yaptırın.

Düzenli olarak yedek almayı ihmal etmeyin.

6. Hangi İşletim Sistemleri Etkilenmektedir?
Aktif kullanılan tüm Microsoft Windows işletim sistemleri Wannacry zararlı fidye yazılımından etkilenmektedir.

Windows XP

Microsoft Windows Vista SP2

Windows 7

Windows 8.1

Windows RT 8.1

Windows 10

Windows Server 2008 SP2 and R2 SP1

Windows Server 2012 and R2

Windows Server 2016

Microsoft tarafından MS17-010 SMB zafiyetine yönelik yayınladığı dokümanda etkilenen tüm işletim sistemlerine bakabilirsiniz. [2]

7. Windows XP kullanıyorum ve Microsoft Windows XP için desteğini bir süre önce vermeyeceğini açıklamıştı, bu durumda ne yapmalıyım?
Microsoft, daha önce desteğini kestiği Windows XP işletim sistemi için oldukça sıra dışı bir karara imza attı. Hali hazırda WannaCry saldırısına yönelik yayınladığı güvenlik güncellemesine Windows XP işletim sistemi de dahil edilerek güncelleme paketi yayınlandı.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

8. Bazı haber sitelerinde wormun E-posta kullanarak da yayıldığı haberleri dolaşmakta, bu doğru mudur? WannaCry e-posta üzerinden yayılım sağlayabilir mi?
Wannacry aktif olarak Windows SMB protokolünü kullanarak yayılmakta fakat Fireeye gibi firmaların yayınladığı raporlarda kurumsal ağlara yönelik oltalama saldırıları ile de WannaCry’in yayıldığı belirtilmektedir. E-posta ile yayılma yöntemi, gönderilen bir link ve bu link tıklandığında bilgisayara indirilen zararlı yazılım (Wannacry) aracılığıyla gerçekleşmektedir.

Bu konuda E-posta servislerinin zararlı linkleri ve dosyaları geçirmeyecek şekilde kontrol edilmesi ve güncellenmesi önerilmektedir.

9. E-posta üzerinden gelebilecek tehditlere karşı sistemlerini nasıl test edebilirim?
E-posta üzerinden gelen siber saldırılar E-posta sunucunun eksik/hatalı yapılandırılması ve e-postayı kullanan kişilerin bilgi güvenliği farkındalık eksikliğini istismar eder.

E-posta sunucunuzun zararlı yazılım veya link barındıran postaları geçirip geçirmediğini test etmek ve hatalı yapılandırmaları düzeltmek içcin Sinara Labs tarafından ücretsiz sunulan ETS hizmetini kullanabilirsiniz. ETS hizmeti e-posta servisinizin güncel siber saldırılar karşısındaki durumunu ve iyileştirmelerini rapor olarak sunan etkili bir hizmettir.

ETS hizmetini ücretsiz kullanmak için [3]: https://ets.sinaralabs.com/User/PRegister adresinden kayıt olabilirsiniz.

10. Wannacry ve benzeri zararlı yazılımlardan erkenden haberdar olmak uzun vadeli korunmak için neler yapmalıyım?
Açık kaynak ya da kurumsal siber tehdit istihbaratı sağlayan yazılımlar kullanarak kurumunuzu hedef alabilecek siber tehditlere karşı önceden haberdar olabilirsiniz.

Kullanıcılarınıza düzenli olarak sosyal mühendislik denemeleri yaparak farkındalıklarını arttırın.

NormShield Threat Intel ücretsiz hizmetini [4] kullanarak sistemlerinize yönelik oluşabilecek Wannacry veya benzeri siber tehditlerden saat farkıyla haberdar olup engelleyebilirsiniz.

Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği A.Ş., stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir.

Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara, İstanbul, Azerbaycan ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Bilgi Güvenliği Eğitimleri, Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Daha fazla bilgi ve destek için some@bga.com.tr [5] adresimiz ile iletişime geçebilirsiniz.

Kaynaklar:
[1] https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A[2] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx[3] https://www.sinaralabs.com[4] https://reputation.normshield.com[5] https://www.bgasecurity.com

BGA Bilgi Güvenliği A.Ş. Hakkında 
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir.

Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara, İstanbul, Azerbaycan ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır.

Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000’den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.

BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi gibi sosyal sorumluluk projeleri ile birçok konuda gönüllü faaliyetlerde bulunmuştur.

Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.

Daha fazla bilgi için: Hamza Şamlıoğlu – İletişim Direktörü 0555 290 0787 – hamza.samlioglu@bga.com.tr  www.bgasecurity.com

Görüntülenme : 102 Güncelleme Tarihi: 15/05/2017 22:08:49
Yayınlanma Tarihi: 15/05/2017 21:59:13

Haber Yorumları (0)

500

    Acunn.com'u Facebook'ta takip et.

    Acunn.com'un eğlenceli dünyasını yakından takip etmek için Facebook sayfamızı beğenin