Buraya kadar yazilan maillerde gectigi gibi zararliyi yayan mta ler icin spf, dkim ve ptr lari guzel bir sekilde yapilmis. Benim dikkatimi ceken unsur ise zararliyi yayanlarin ilgili domainlerin ns kayitlari icin free dns sunuculari secmis olmasi kullandiklari domainlerin cogu free dns server lar uzerinde bence bir onlem olarak da google da top 10 olan veya suana kadar bilinen ve zararlilar tarafindan kullanilan free dns servervlarin ip leri bloklanabilir. Ayrica gelen maillerin body sinde bulunan linkler bir sureligine gecersiz birakilabilinir. 11 Mar 2015 20:25 tarihinde "Selçuk IRMAK" <selcuk.ir...@irene.com.tr> yazdı:
> Mehmet hocaya katılıyorum çünkü aynı yönde bize gelen bilgiler mevcut. > > Bu arada şöyle bir yanılgı da oluyor bize geçmedi ama saldırı trafiğinin > olup olmadığı bilinmiyor. > > Mesela bize şuana kadar hiç gelmedi. Gelmedi derken gelen kutumuza > düşmemesi değil bize hiç gerçekleşmeyen bir trafikten bahsediyorum. > > Bize gelmesi için biraz uğraştık ama bir türlü başaramadık sanal sistemde > kendi adres defterimizi oluşturduk sisteme zararlıyı bulaştırdık ama > maalesef gelen olmadı. > > > > *From:* NetSec [mailto:netsec-boun...@netsectr.org] *On Behalf Of *Mehmet > YAYLA > *Sent:* Wednesday, March 11, 2015 4:19 PM > *To:* liste@netsectr.org > *Subject:* Re: [NetSec] CryptoLocker - Genel Değerlendirme > > > > Office 365 ürünün sildiğini söylemek abartılı bir söylem olur. destek > verdiğim bir kaç müşteride office 365 geçirmiş ve virüs sisteme enfekte > olmuştu. > ------------------------------ > > From: selcuk.ir...@irene.com.tr > To: liste@netsectr.org > Date: Wed, 11 Mar 2015 15:28:06 +0200 > Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme > > Arkadaşlar, > > > > MX, PTR ve SPF kayıtlarından bahsediyorsunuz fakat aşağıdaki ekran > görüntülerine bakarsanız saldırganlar zaten olması gerekeni zaten > yapmışlar. J > > > > > > > > > > > > > > -----Original Message----- > From: NetSec [mailto:netsec-boun...@netsectr.org > <netsec-boun...@netsectr.org>] On Behalf Of Muharrem Turan > Sent: Wednesday, March 11, 2015 2:23 PM > To: liste@netsectr.org > Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme > > > > Merhaba Mehmet Bey, > > > > Office 365'de standart olarak sunucu tarafında bahsettiğim SPF, PTR ön > kontrolleri yapılıyor. > > Ofice365 üzerinden aldığınız mail hizmetinizde, CryptoLocker'lar > engelleniyor, ve siliniyor. Kullanıcıya bu mailin risk taşıdığını ve > silindiğine dair bir bilgi mesajı da gönderiliyor. > > Tabi Office365 yüzde yüz güvenlidir diyemeyiz. > > Yalnız siz gönderen adresini bir şeklide güvenli gönderici olarak > işaretlerseniz, o maili içeri alınacaktır. > > > > Office 365 tarafını da aşıp gelen mailleri anti virüs yazılımı ile > bertaraf edebilirsiniz. > > CryptoLocker saldırı mailini açan kullanıcı, captcha kontrolünü geçip > dosyayı indirirken, Kaspersky'nin bunu tanıyıp sildiğini gözlemledik. > > Not: Mutlaka backup senaryonuzu oluşturun. > > > > İyi çalışmalar, > > > > Muharrem Turan > > Bilgi Teknolojileri Uzmanı > > IT Specialist > > > > > > > > > > -----Original Message----- > > From: NetSec [mailto:netsec-boun...@netsectr.org > <netsec-boun...@netsectr.org>] On Behalf Of Mehmet OZCAN > > Sent: Wednesday, March 11, 2015 10:58 AM > > To: liste@netsectr.org > > Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme > > > > Merhaba, > > > > Öncelikle paylaşımınızı çok faydalı buldum teşekkür ederim. Bir sorum > olacak, office365 ile bulutta yönetilen mail sunucusu bahsettiğiniz ön > kontrollere sahip midir ? > > Örneğin her nekadar bireysel kullanıcıya yönelik olsa da, hotmail > üzerinden bu şekilde dağıtımların engellenmediğini biliyoruz. Bu şekilde > bir önlemi Microsoft kurumsal office365 için almış mıdır ya da neden > almamaktadır ? > > > > > > Mehmet Özcan > > IT Expert > > > > -----Original Message----- > > From: NetSec [mailto:netsec-boun...@netsectr.org > <netsec-boun...@netsectr.org>] On Behalf Of Muharrem Turan > > Sent: Wednesday, March 11, 2015 10:28 AM > > To: liste@netsectr.org > > Subject: [NetSec] CryptoLocker - Genel Değerlendirme > > > > Arkadaşlar merhaba, > > > > Mailler üzerinden yapılan CryptoLocker ataklarıyla ilgili olarak genel bir > değerlendirme yapmak istiyorum; > > > > Bir network'ün dış dünyaya açık en savunmasız kapısı mail sistemidir. > > Öncelikle mail server ve dış dünya arasına, spam, virüs ve casus yazılım > kontrolleri yapan donanımsal yada yazılımsan bir firewall > konumlandırılmalıdır. > > konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan > linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili > server'a ulaştırmalıdır. > > > > Firewall kontrollerinden geçen, mail server'a düşen maillerin gerçek > kaynaktan gönderilip gönderilmediği kontrol edilmelidir. > > Özellikle SPF, PTR kayıtlarının kontrolleri, devamında global blacklist > kontrolleri yapılmalıdır. > > > > Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini > geçmişse ve global blacklistler'de yoksa mail içeriye alınır. > > Mail, sunucuya alındığında, virüs veri tabanını sürekli güncelleyen bir > anti virüs yazılımı ile sunucu tarafında taranmalıdır. > > Bu kontrollerle gerçek, güvenli, ekinde zararlı içeriğe sahip dosyalar > olmayan mailin sunucuya ulaşmasını sağlar. > > Zafiyet tamda bu dokta da başlamaktadır. Mail gövdesinde gönderilen > linklerin, zararlı yazılımların kullanıcı tarafından indirilmesi sonucu > oluşmaktadır. > > Bu noktada kullanıcı tarafında kullanılan antivirüs yazılımı çok önemli > bir görev üstlenmektedir. > > > > CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına > konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan > linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili > server'a ulaştırmalıdır. > > > > CryptoLocker ataklarını mail server önüne ve iç network ile dış dünya > arasına konulacak bir firewall ile önleyebilirsiniz. > > CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin > bloklanması ne yazık ki geçici bir çözüm oluşturacaktır. > > > > Saygılarımla, > > Muharrem Turan > > > > > > > > > > ____________________________________________________________ > > > > Bu ileti (elektronik posta ve ekleri), gönderici ve yetkili alıcıya özel > ve gizlidir ve yürürlükteki kanunlara göre açıklanması yasaktır. Eğer > iletinin yetkili alıcısı veya yetkili alıcısına iletmekten sorumlu kişi > değilseniz, bu iletinin ve/veya içeriğinin tamamını ya da bir kısmını > açıklamanız, saklamanız, kopyalamanız, kullanmanız veya iletmeniz > kesinlikle yasaktır; lütfen bu iletiyi sisteminizden kalıcı olarak tamamen > siliniz ve göndereni bilgilendiriniz. Bu iletinin içeriğininin açıklanması > veya paylaşımı hukuki sorumluluk doğurabilir. Bu mesajın içeriğiyle ilgili > sorumluluk yalnızca gönderen kişiye aittir ve Klimasan Klima San. ve Tic. > A.Ş. / Metalfrio Solutions Soğutma San. ve Tic. A.Ş. bu iletinin doğruluğu, > bütünlüğü, iletilmesi, virüs veya zararlı yazılım güvenliği ve benzeri > hususlarda sorumlu tutulamaz. > > > > This e-mail (electronic mail and its attachments) is private and > confidential to the sender and the authorized recipient, and have been > exempted from disclosure under applicable law. If you are not the intended > recipient of this e-mail or the person who is responsible for the > transmission of it to the intended recipient, you are hereby notified that > disclosing, storing, copying, using or forwarding of whole or any part of > the e-mail and/or its content is strictly prohibited; please completely > delete it from your system permanently and notify the sender. Any > disclosure or sharing of this information may lead to legal responsibility. > The opinions expressed in this message belong to sender alone and Klimasan > Klima San. ve Tic. A.S. / Metalfrio Solutions Soğutma San. ve Tic. A.S. > shall have no liability with regard to the accuracy, integrity, > transmission, virus or harmful software security and similar subjects. >
