Bilgiler için teşekkürler Vahit Bey. Biz de aynı şekilde legal göndericilerden gelmeyen ve anahtar kelimeleri içeren mailleri engelleyerek önlem almaya çalışıyoruz. Tabii ileride bunlar P.T.T yada Yurtiçi kargo olarak da gelecektir.
Group policy yada Cryptoprevent tarzı bir uygulama ile %appdata%, %programdata% yada %temp% gibi konumlardan çalıştırılabilir dosya açmayı engellemek de düşük bütçeli çözümler olarak kullanılabilir. Güncellenmiş crypto prevention kiti inceleyeceğim fakat henüz elime ulaşmadı. Eskisini buradaydı fakat link çalışmıyor şu an. http://www.thirdtier.net/downloads/CryptolockerPreventionKit.zip http://www.thirdtier.net/ransomware-prevention-kit/ 2016-04-27 16:48 GMT+03:00 Vahit GUMUS <[email protected]>: > Merhabalar, > > Bu tarz mailler sender kısmı değişerek geliyor. Bu problemi şu şekilde > çözdük(!)/ çözmeye çalıştık . > > > > KATI KURAL_LİSTESİ : kelimeler > içeriyor > > SPESİFİK_KELİME_LİSTESİ : kelimeler içeriyor. > > LEGAL_GONDERİCİ LİSTESİ : mail adresleri içeriyor > > Listeleri paylaşabilirim. > > > > > > İlk olarak içerisinde Türkcell , Avea, Türk Telekom , PTT vb kelimeler > geçen tüm mailleri bloklayan KATI KURAL oluşturduk ve bir kenara koyduk. > Nasıl kullanıldığını ileride anlatacağım. > > > > Daha sonra bu tarz fatura maili atan legal gönderim yapan adresleri > saptadık. Legal_gonderici listesi oluşturduk bu liste üzerinden söyle bir > kural yazdık. Gönderen kısmında bu legal_gonderici listesinde olmayıp > içerisinde yukarıdaki katı kural dan biraz daha akıllı > spesifik_kelimeler_listesindeki kelimeler geçiyorsa karantinaya alıyoruz. > Bunu yapmazsak legal fatura mailleri engelleniyor. > > > > ACİL durumlarda Kullanıcıya mailin ulaşmaması için KATI KURALI aktif > edip geçici süreyle katı politikalar uygulamak zorunda kalıyoruz. > > > > Diyelim maili kaçırdık , Risk almamak için örnek yakaladığımız mailin > linkine tıklayarak dosyayı indiriyor ve hash ini alıp Endpoint tarafında bu > hash e sahip bir dosyaya sahip bir exe nin çalıştırılmaması için hemen > politikamızı güncelliyoruz. > > > > Bu bizim kurum olarak genel yaklaşımımız , Bu yaklaşım son çözüm değil > gene farklı varyasyonlar için tetikte olmak gerekiyor. > > Bu probleme kesin çözüm bulduklarını anlatan birkaç ürünü dinledik. > Fireeye , McAfee , Forcepoint , Symantec herkes kendi çözümünü öneriyor. > > > > Sizlerin de bu 3 ürünü incelme imkanı olanlardan yorumlarını beklerim. > > > > Bu tarz saldırıların geliş noktalarına odaklanmak gerekirse ilk olarak > data şu noktalardan gelebiliyor. > > > > *E-mail -- Web, -- Endpoint (USB / cd / ( kapatıldıysa çok problem > olmuyor.) )* > > > > İlk bu tarz mailler ekli gelirdi. Amaç güvenlik ürününün teknolojisinin > zafiyetini kullanarak alt etmekti. Baktılar daha kolayı var insanların > zafiyetini alt etmek daha kolay mailin içerisine dikkatini çekecek ki > millet olarak fahiş faturalar gelince hemen aksiyon alma ihtiyacı > duyuyoruz. Bu gibi maillerin içerisine link koyuyorlar . İlgili sayfaya > gidiyorsunuz capthca kontrollü , tasarım açısından güzel bir sayfa direk > güvenlik kodunu girip dosyayı indirmeye çalışıyorsunuz dosya indi hemen > açılıyor çalıştırıldığı an geçmiş olsun. > > > > Kişinin yahoo , hotmail hesaplarina gelirse ne olacak e-mail gateway iniz > devre dışı kişi kurum içerisinden giriyor ve dosyayı indiriyor. Bu aşamada > web gateway tarafınızın kabiliyetine odaklanmanız gerekiyor. Bu sefer bu > taraftan gol yiyebiliyorsunuz. > > > > Hiçbiri olmadı dosyayı evde indirdi dropbox , Google drive a attı , > senkronize etti. Kurumda açık ise bu tarz paylaşımlar direk kurumdaki PC de > senkron oldu . Bakın e-mail ve web gateway den geçmeden kuruma girdi > aynısını USB için de düşüne bilirsiniz. > > Aklınıza farklı farklı senaryolar geliyordur. > > Bu gibi açık kapıları adım adım yönetiminde desteği ile kapatmakta fayda > var. > > > > > > Vahit GÜMÜŞ > > TÜRK Eximbank > > > > > > *From:* NetSec [mailto:[email protected]] *On Behalf Of *Mustafa > Sabri > *Sent:* Wednesday, April 27, 2016 10:37 AM > *To:* [email protected] > *Subject:* Re: [NetSec] yeni sahte mailler (PTT) > > > > Merhaba, 26 Nisan itibariyle tarafımıza ulaşan PTT Kargo maillerine dair > bilgiler aşağıdadır. > > İyi Çalışmalar. > > > > Sender > > URL > > [email protected] > > http://260000.ru > > [email protected] > > http://søgårdhus.dk <http://xn--sgrdhus-fxa3o.dk> > > [email protected] > > http://mufflesjuniorcollege.com > > [email protected] > > http://visawaves.com > > [email protected] > > http://schoolsite.org > > [email protected] > > http://bbparcodegliulivi.it > > [email protected] > > http://hotels4sale.org > > [email protected] > > http://kyovaevents.com > > [email protected] > > http://coslimburg.nl > > [email protected] > > http://coeen.it > > [email protected] > > http://verola.be > > [email protected] > > http://localuri-timisoara.com > > [email protected] > > http://formavih.org > > [email protected] > > http://ассамблеямоды.рф <http://xn--80aadme9afdsxa2kzb.xn--p1ai> > > [email protected] > > http://anchoragechamber.org > > [email protected] > > http://ladiessuperliga.com > > [email protected] > > http://sigirihelp.com > > [email protected] > > http://harwoodlandscaping.ca > > [email protected] > > http://gromoga.com > > [email protected] > > http://solid.at > > [email protected] > > http://djpbn-babel.net > > [email protected] > > http://juventudrevolucion.net > > [email protected] > > http://legendsdigitaltv.com > > [email protected] > > http://magnumasia-ipo.com > > [email protected] > > http://hfe-gmbh.de > > [email protected] > > http://poliklinika9omsk.ru > > [email protected] > > http://ny-realgirls.com > > [email protected] > > http://szepetnek.hu > > > > 2016-04-25 17:08 GMT+03:00 Yalcin BEKMEZCI < > [email protected]>: > > > > Merhabalar, > > > > Gönderen : [email protected] > > Link adres : http://forumscene.no > > > > Gönderen: [email protected] > > Link adres: http://pryceworld.com > > > > Mail konu: ZX1316644743TR barkod kargonuz alinacak bekliyor > > > > > > > > *Yalçın BEKMEZCI* > > > > Bilgi Teknolojileri Uzmanı > > (Sistem, Ağ ve Altyapı) > > > > *Information Technology Specialist* > > [image: http://www.abdiibrahim.com.tr/images/ai_logo.jpg] > > > > > > T. 0212 622 67 19 > > > > M. 0535 303 3322 > > > > F. 0212 623 1952 > > > > > > > > [image: http://www.abdiibrahim.com.tr/images/abdiibrahim.gif] > <http://www.abdiibrahim.com.tr/> [image: > http://www.abdiibrahim.com.tr/images/mail-fb.gif] > <https://www.facebook.com/abdiibrahimilac> [image: > http://www.abdiibrahim.com.tr/images/mail-t.gif] > <https://twitter.com/abdiibrahimilac> [image: > http://www.abdiibrahim.com.tr/images/mail-in.gif] > <http://www.linkedin.com/company/abdi-ibrahim-pharmaceuticals> [image: > http://www.abdiibrahim.com.tr/images/mail-y.gif] > <http://www.youtube.com/abdiibrahimilac> > > > > > > <http://www.facebook.com/abdiibrahimilac> > <http://www.twitter.com/abdiibrahimilac> > <http://www.linkedin.com/company/26693?trk=tyah> > > > > > > Bu e-posta mesaji ve ekleri sadece gonderildigi kisi veya kuruma ozeldir. > Dogru aliciya ulasmamis olmasi halinde, bu mesajin baska bir aliciya > yonlendirilmesi, kopyalanmasi veya kullanilmasi yasaktir. > ------------------------------ > > This e-mail and any attachments transmitted with it are confidential and > intended solely for the use of the individual or entity to whom they are > addressed. > If you are not the intended recipient you are hereby notified that any > forwarding, copying or use of the information is prohibited. > > > ------------------- > Uygulamalı Ağ Güvenliği Eğitimi > > 06-08 Mayıs 2016 - ISTANBUL > > ------------------- > > > > Bu elektronik posta ve onunla iletilen butun dosyalar sadece gondericisi > tarafindan almasi amaclanan yetkili gercek ya da tuzel kisinin kullanimi > icindir.Eger soz konusu yetkili alici degilseniz bu elektronik postanin > icerigini aciklamaniz, kopyalamaniz, yonlendirmeniz ve kullanmaniz > kesinlikle yasaktir ve bu elektronik postayi derhal silmeniz gerekmektedir. > Turk Eximbank bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu > konusunda herhangi bir garanti vermemektedir. Bu nedenle bu bilgilerin ne > sekilde olursa olsun iceriginden,iletilmesinden, alinmasindan ve > saklanmasindan sorumlu degildir. Bu mesajdaki gorusler yalnizca gonderen > kisiye aittir ve Turk Eximbank'in goruslerini yansitmayabilir. Bu e-posta > bilinen butun bilgisayar viruslerine karsi taranmistir. Ancak yollayici, bu > e-posta mesajinin - virus koruma sistemleri ile kontrol ediliyor olsa bile > - virus icermedigini garanti etmez ve meydana gelebilecek zararlardan > dogacak hicbir sorumlulugu kabul etmez. > > This e-mail and any files transmitted with it are confidential and > intended solely for the use of the individual or entity to whom they are > addressed. If you are not the intended recipient you are hereby notified > that any dissemination, forwarding, copying or use of any of the > information is strictly prohibited, and the e-mail should immediately be > deleted. Turk Eximbank makes no warranty as to the accuracy or completeness > of any information contained in this message and hereby excludes any > liability of any kind for the information contained therein or for the > information transmission, reception, storage or use of such in any way > whatsoever. The opinions expressed in this message belong to sender alone > and may not necessarily reflect the opinions. > > ------------------- > Uygulamalı Ağ Güvenliği Eğitimi > > 06-08 Mayıs 2016 - ISTANBUL > > ------------------- >
------------------- Uygulamalı Ağ Güvenliği Eğitimi 06-08 Mayıs 2016 - ISTANBUL -------------------
