Haklısınız, yorumlarınıza ek olarak biraz daha verimli olabileceğini düşündüğüm yöntem,
daha çok sayıda zararlıyı örnekleme yetkinliği yüksek ürünlerle çalışmak. Yani zararlı ilk kez görülmeye başladığı saatlerde bile bu sayede toplu çöüküşün önüne geçilebilir. Birbirini uyaran akıllı sistemler (zararlı_varyant_tespiti > analiz > zararlı_damgası > imza_yayginlasmasi) bu süreçte firewallunuzun client update sunucusunu uyarması yada ağınızın dışında ki global bir zararlı_kontrol_merkezinin tüm güvenlik ürünlerini zararlı_varyant için uyarması gibi. Şuanda bunu yapabilen bir kaç ürün var en azından böyle lanse ediliyor, ama ortak dili konuşabilen marka bağımsız interfacelere standardlara ihtiyaç olabileceği görünüyor büyüyen tehditlere göre. Sevgiler Ayhan -----Original Message----- From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Muharrem Turan Sent: Wednesday, March 11, 2015 10:28 AM To: liste@netsectr.org Subject: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar merhaba, Mailler üzerinden yapılan CryptoLocker ataklarıyla ilgili olarak genel bir değerlendirme yapmak istiyorum; Bir network'ün dış dünyaya açık en savunmasız kapısı mail sistemidir. Öncelikle mail server ve dış dünya arasına, spam, virüs ve casus yazılım kontrolleri yapan donanımsal yada yazılımsan bir firewall konumlandırılmalıdır. konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. Firewall kontrollerinden geçen, mail server'a düşen maillerin gerçek kaynaktan gönderilip gönderilmediği kontrol edilmelidir. Özellikle SPF, PTR kayıtlarının kontrolleri, devamında global blacklist kontrolleri yapılmalıdır. Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini geçmişse ve global blacklistler'de yoksa mail içeriye alınır. Mail, sunucuya alındığında, virüs veri tabanını sürekli güncelleyen bir anti virüs yazılımı ile sunucu tarafında taranmalıdır. Bu kontrollerle gerçek, güvenli, ekinde zararlı içeriğe sahip dosyalar olmayan mailin sunucuya ulaşmasını sağlar. Zafiyet tamda bu dokta da başlamaktadır. Mail gövdesinde gönderilen linklerin, zararlı yazılımların kullanıcı tarafından indirilmesi sonucu oluşmaktadır. Bu noktada kullanıcı tarafında kullanılan antivirüs yazılımı çok önemli bir görev üstlenmektedir. CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. CryptoLocker ataklarını mail server önüne ve iç network ile dış dünya arasına konulacak bir firewall ile önleyebilirsiniz. CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin bloklanması ne yazık ki geçici bir çözüm oluşturacaktır. Saygılarımla, Muharrem Turan
