Merhabalar Microsoftun da önerileri mevcut. Aşaüıda verilmiştir.
WannaCrypt Saldırıları Hakkında Bilgilendirme [image: Microsoft] Merhaba, Bu uyarı size WannaCrypt, WannaCry, WannaCryptor, veya Wcry gibi isimlerle ortaya çıkan zararlı yazılım saldırısıyla ilgili size bilgi vermeyi amaçlar. Lütfen saldırı hakkında bilgilenmelerini, hazırlıklı olmalarını ve kurumunuzu koruma altına almalarını sağlamak amacıyla BT ve Güvenlik ekiplerinizle paylaşın. 12 Mayıs 2017’de dünyanın her yerinden pek çok müşterimizin kullanmakta oldukları kritik sistemler “WannaCrypt” isimli zararlı yazılımdan etkilendi. Microsoft olarak hızla bu saldırıyı inceleyerek müşterilerimizi korumak için mümkün olan tüm önlemleri aldık. Aşağıda her son kullanıcı ve kurumun bu saldırıdan korunmak için yapması gerekenleri paylaşıyoruz. Ayrıca, tüm müşterilerimizi korumak için beklenenin ötesinde bir adım atarak, özel destek politikasına tabi olan Windows XP, Windows 8, and Windows Server 2003 <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5b578d510ada896222da115c91822343e46f4df169962769f975a9e7d6156a7d6566efef1750f9871a2e8c96b14eff208> platformları için de bir güvenlik güncellemesi yayınlıyoruz. Mart 2017’de, bu saldırıların faydalandığı zafiyeti adresleyen bir güvenlik güncellemesi yayınladık. Maalesef bu zararlı yazılımın, söz konusu güvenlik güncellemesini uygulamamış bilgisayarları etkilediği görülüyor. Bu nedenle tüm kullanıcılara, eğer daha önce yüklemedilerse, hemen MS17-010 <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5eab0aeb034841a72c81c7c04e01ebe428fe42f1eabfa7aa8c7654e23c4b5a3946e59b085aa609fdeeed58d38c06cac1c> güncellemesini yüklemelerini tavsiye ediyoruz. Korunmak ve saldırıyı engellemek için adımlar: 1. Windows 10 <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f511f825ef492fb26b45de86476171131bec7d8bf97a43a61e5790351a05893c907ce0b96a35c061f7aa4a8dd7b9d74283>’a geçin ve bilgisayarlarınızı güncel <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5daa95d597bc8a8fe551a053b8f1eb88f37d3c77eb6bc1ab13aacc6329ced6c9a8bc6ca194a3d6f11d68819b2955fe7e4> tutarak Windows 10’un en yeni güvenlik özelliklerinden ve proaktif koruma sistemlerinden faydalanın. 2. Henüz MS17-010 <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5eab0aeb034841a72c81c7c04e01ebe428fe42f1eabfa7aa8c7654e23c4b5a3946e59b085aa609fdeeed58d38c06cac1c> güvenlik güncellemesini yüklememiş olan bütün müşterilerimizin mümkün olan en kısa sürede güncellemeyi kurumlarında dağıtmalarını tavsiye ediyoruz. Güncellemeyi dağıtma sürecinde, saldırı alanını daraltmak için aşağıdaki iki geçici çözümü de kullanabilirsiniz: • SMBv1 protokolünü bu makalede anlatıldığı <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f569689c62911cef16257816a16886e147ee332b9b1eef7fc5c5278964ebbe0f5f94d44834058a2ec30fdfea6151027198>ve daha önce tavsiye edildiği <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5f4e1eebff9ac0d7e1456e0f6c6dacc56690a1b1b065be4d70630f1948318d558fb2a2523400b9610ff9b35fd9bf50ff2> şekilde devre dışı bırakın (yeniden başlatma gerektirir). • Yönlendirici veya Güvenlik Duvarı ayarlarınız için bir kural oluşturarak 445 çıkışına gelen SMB trafiğini engellemeyi değerlendirin. 3. Windows Defender <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5b4ef1dadff04e88c7babfe4ac5a8b30ec0e6136aba4fd22044b7c93655b801fe7144f6e1747e4de1e1d8434ed3fef2be> 1.243.297.0 güncellemesiyle bu saldırının kaynağı olan zararlı yazılımı Ransom:Win32/WannaCrypt <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f527ab64b16c5ee1878bf715ae6237377866a6ea860ab00f77decce00a47271450235d1ff175c88e44e9ffde66c85525a3> olarak tespit ediyor. Kurumunuzda Windows Defender’ı aktive ederek bu saldırıdan korunabilirsiniz. 4. Yapay zeka tabanlı yetenekleriyle fidye yazılımları taşıyan tehlikeli epostaları engelleyen Office 365 Advanced Threat Protection <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5586eb47b7991587a0ecc89e27732c932d5da1e4310ab0d6b79ddec528d14fe787802e8d2ec3db1dd8b08ff07566f4cae> servisimizi kullanın. 5. Ağınızdaki şüpheli aktiviteleri tespit etmenize olanak sağlayan Windows Defender Advanced Threat Protection <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f57eb14bb033f110747697db3ca87f5a35e4de3264b0b642e2160069a432401b5f533c0fe691f33248cf98df2ec3a546be> servisimizi kullanın. Windows Defender Advanced Threat Protection – Fidye Yazılımlara Yanıt Verme Kılavuzu’nu <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5149d9c9683ee2389db1ede147760c5af95df55e8b0f6d2ee0a5525ba4b1c87c4f10e87ef1ee28dbf0f6f6d4bddbcb7c1> indirin ve Windows Defender ATP kullanarak fidye yazılımları nasıl tespit edip, inceleyerek durdurabileceğinizi öğrenin. 6. Cihazları zararlı yazılımlara karşı kitlemek için Kernel seviyesinde sanallaştırma tabanlı güvenlik katmanı sağlayan Device Guard <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5d399bf5c2545bae1e2f9e8161606392ca7747e81376600819fb5eb9c60ad0c9ca0915d38e2283d19a2c90b91b6a16e76>’ı kullanın ve bilgisayarlarınızda sadece güvenilen uygulamaların çalışmasına izin verin. 7. Destek seçenekleriyle ilgili daha detaylı bilgi almak için Kurumlar için Destek <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f500d88a3ded6b2ddba24c6e8bf4d564df8f7e5851c31fd30f2ea36d12084e690d68d7e281b0401e0c1def84149969536e> sayfamızı ziyaret edin. Konuyla ilgili güncellemeler için Microsoft Türkiye Blog <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f583a0624e13bf8766fb3494721f9319978cfd7482d277453a9b2378a1d12ac2c4088d9800513004b853b79ed7a0184413> sayfamızı takip edin. Saygılarımızla, Microsoft gizliliğinize saygı duyar. Çevrimiçi Gizlilik Bildirimizi <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5d31adc518b2800445de9910668e090713f6d162f129a15e5550d58c064528f4afab5729604fcc0f9b2f2b9c5ac02bb6b> inceleyin. Eğer Microsoft Corporation'dan gönderilen promosyon içerikli epostaları almak istemiyorsanız, lütfen burayı <https://click.email.microsoftemail.com/?qs=a9a2631479ff32f5456e46c2b260fd82b5a8f8eddffef472e86b8f750778adc9276633eb201211ff10d67ae35f71fdd44b78b7e2b6224dae> tıklayın. Bu ayarlar talep etmiş olduğunuz herhangi bir bülteni almanızı ya da bazı Microsoft hizmetlerinin bir parçası olarak kabul edilen zorunlu hizmet iletişimini etkilemeyecektir. Diğer Microsoft iletişimleri için iletişim tercihlerinizi ayarlamak üzere burayı <https://click.email.microsoftemail.com/m_hcp.aspx?qs=6b950704731227359cbd01963ee1b390f09cffd09d9af97f8c3e298072fc2d6de13e434541d9284a61675b52624c3c534334daed7297fe4cb61a9e442c411e754c508f9ce120791c598a1c5b9b085be0ecdf919c6c51d79149fa1d8594461672> tıklayın. Microsoft Aydın Sokak No-7 Levent, Istanbul 34340 Türkiye ©2017 Microsoft Corporation. Tüm hakları saklıdır. İbrahim AKŞİT Best Regards and Wishes Yours Sincerely. 2017-05-15 15:38 GMT+03:00 Hamza Şamlıoğlu <[email protected]>: > Son birkaç gündür tüm dünyayı tehdit eden ve büyük zararlara yol açan, > Wannacry saldırısı için aşağıdaki gibi çözüm önerilerimizi ve Wannacry > hakkındaki tespitlerimizi sizlerle paylaşıyoruz. Konu hakkında daha fazla > bilgi ve destek için *[email protected] <[email protected]>* adresimiz ile > iletişime geçebilirsiniz. > > https://www.bgasecurity.com/2017/05/10-soruda-wannacry-siber-saldirisi/ > > 1. WannaCry (WCRY) Nedir? Sistemlere nasıl bir zarar verir? > > “TheShadowBrokers” isimli hacker grubu, Nisan ayında National Security > Agency’in (NSA) FUZZBUNCH isimli exploit kitini sızdırdı. Sızdırılan bu > zafiyet kiti içerisinde bir çok exploit bulunmaktadır. İlgili exploitlerden > EternalBlue exploiti yine exploit kiti içerisinde bulunan DOUBLEPULSAR > payloadı ile birlikte kullanıldığında Windows işletim sistemlerindeki SMB > servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına > olanak sağlamaktadır. > > MS17-010 (CVE-2017-0144) kodu ile isimlendirilen bu zafiyet WannaCry adlı > bir fidye yazılımı tarafından kullanılmaya başlandı. > > Aynı zamanda, fidye yazılımı herhangi bir kullanıcı etkileşimi > gerektirmeksizin bulaştığı ağda MS17-010 zafiyetinin olduğu sistemleri > tarayarak bulmakta ve zafiyet barındıran sistemleri de etkilemektedir. > 2. Fidye Zararlı Yazılımı nasıl yayılmaktadır, neden kaynaklanmaktadır? > > Wannacry wormu Windows SMB protokolünü kullanarak yayılmaktadır. NSA > tarafından bu açıklığı barındıran sistemlere sızmak için kullanılan bir > exploit, NSA’den bu bilgiler sızdırıldığında internet üzerinden > yayınlanmaya başladı. Açıklanan belgeler ve bilgiler ışığında biri ya da > birileri tarafından bu zafiyeti istismar eden fidye zararlı yazılımı > geliştirilerek internete sunuldu. > 3. Kendi sistemlerimize bulaşıp bulaşmadığını nasıl tespit edebiliriz? > > Siber Tehdit İstihbaratı destekli bir SIEM çözümü kullanıyorsanız [1] nolu > başlıktaki IoC (Indicator of Compromise) sisteminize ekleyerek geriye doğru > ilgili domainlere veya ip adreslerine erişim denemelerinin olup olmadığının > kontrol edebilirsiniz. > > Henüz sistemlerinize Wannacry fidye yazılımı bulaşmadıysa internet > üzerinden ip adreslerinizi taratarak açıklığın olup olmadığını tespit > edebilirsiniz. > 4. Bazı sistemlerimize bulaştığını tespit ettik ne yapmalıyız? > > Bulaştığı tespit edilen sistemin ağ bağlantısı acilen devre dışı > bırakılmalı ve network sisteminizden izole edilmelidir. Bu şeklide diğer > sistemlere yayılması önlenebilir. Bulaşma yöntemi konusunda tersine > mühendislik incelemeleri yaparak önleyici aksiyonlar konusunda geri > bildirimler sağlanmalıdır. > 5. Kurumsal bir şirket çalışanı ne yapmalıdır, nasıl önlem alabilir? > > Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini > kontrol edip 14 Mart 2017 de yayınlanan MS17-010 kodlu yamanın > yüklendiğinden emin olunması gereklidir. > > - Internete hizmet veren sistemlerden 445/TCP portu açık olan varsa > bunları kapatılması. > - Antispam servisinizi oltalama saldırılarına karşı güçlendirin, SPF, > DMARC,DKIM kontrolleri mutlaka gerçekleştirin. > - Kullanıcı yetkilerini gözden geçirip, en düşük yetki prensibi ile > çalışmalarını sağlayın. Ortak hesap kullanımından kaçınıp her sisteme özgü > hesap oluşturun. > - Kurumsal ağlardaki dosya paylaşımı erişim ve düzenleme yetkilerini > gözden geçirin, kullanıcıların okuma yetkisine ihtiyacı varsa dosyalara > yazma yetkisi vermeyin. > - Çalışanlarınızı siber saldırılara karşı bilinçlendirecek bir eğitim > programı uygulayın. > - Ağınızdaki güvenlik zafiyetlerini keşfedip erken önlem almak için > sızma testi (penetrasyon) mutlaka yaptırın. > - Düzenli olarak yedek almayı ihmal etmeyin. > > 6. Hangi İşletim Sistemleri Etkilenmektedir? > > Aktif kullanılan tüm Microsoft Windows işletim sistemleri Wannacry zararlı > fidye yazılımından etkilenmektedir. > > - Windows XP > - Microsoft Windows Vista SP2 > - Windows 7 > - Windows 8.1 > - Windows RT 8.1 > - Windows 10 > - Windows Server 2008 SP2 and R2 SP1 > - Windows Server 2012 and R2 > - Windows Server 2016 > > Microsoft tarafından MS17-010 SMB zafiyetine yönelik yayınladığı dokümanda > etkilenen tüm işletim sistemlerine bakabilirsiniz. [2] > 7. Windows XP kullanıyorum ve Microsoft Windows XP için desteğini bir süre > önce vermeyeceğini açıklamıştı, bu durumda ne yapmalıyım? > > Microsoft, daha önce desteğini kestiği Windows XP işletim sistemi için > oldukça sıra dışı bir karara imza attı. Hali hazırda WannaCry saldırısına > yönelik yayınladığı güvenlik güncellemesine Windows XP işletim sistemi de > dahil edilerek güncelleme paketi yayınlandı. > > http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 > 8. Bazı haber sitelerinde wormun E-posta kullanarak da yayıldığı haberleri > dolaşmakta, bu doğru mudur? WannaCry e-posta üzerinden yayılım sağlayabilir > mi? > > Wannacry aktif olarak Windows SMB protokolünü kullanarak yayılmakta fakat > Fireeye gibi firmaların yayınladığı raporlarda kurumsal ağlara yönelik > oltalama saldırıları ile de WannaCry’in yayıldığı belirtilmektedir. E-posta > ile yayılma yöntemi, gönderilen bir link ve bu link tıklandığında > bilgisayara indirilen zararlı yazılım (Wannacry) aracılığıyla > gerçekleşmektedir. > > Bu konuda E-posta servislerinin zararlı linkleri ve dosyaları geçirmeyecek > şekilde kontrol edilmesi ve güncellenmesi önerilmektedir. > 9. E-posta üzerinden gelebilecek tehditlere karşı sistemlerini nasıl test > edebilirim? > > E-posta üzerinden gelen siber saldırılar E-posta sunucunun eksik/hatalı > yapılandırılması ve e-postayı kullanan kişilerin bilgi güvenliği > farkındalık eksikliğini istismar eder. > > E-posta sunucunuzun zararlı yazılım veya link barındıran postaları geçirip > geçirmediğini test etmek ve hatalı yapılandırmaları düzeltmek içcin Sinara > Labs tarafından ücretsiz sunulan ETS hizmetini kullanabilirsiniz. ETS > hizmeti e-posta servisinizin güncel siber saldırılar karşısındaki durumunu > ve iyileştirmelerini rapor olarak sunan etkili bir hizmettir. > > ETS hizmetini ücretsiz kullanmak [3] için: https://ets.sinaralabs.c > om/User/PRegister adresinden kayıt olabilirsiniz. > 10. Wannacry ve benzeri zararlı yazılımlardan erkenden haberdar olmak uzun > vadeli korunmak için neler yapmalıyım? > > Açık kaynak ya da kurumsal siber tehdit istihbaratı sağlayan yazılımlar > kullanarak kurumunuzu hedef alabilecek siber tehditlere karşı önceden > haberdar olabilirsiniz. > > - Kullanıcılarınıza düzenli olarak sosyal mühendislik denemeleri > yaparak farkındalıklarını arttırın. > - NormShield ThreatIntel ücretsiz hizmetini [4] kullanarak > sistemlerinize yönelik oluşabilecek Wannacry veya benzeri siber > tehditlerden saat farkıyla haberdar olup engelleyebilirsiniz. > > Kaynaklar: > > [1] https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A > [2] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx > [3] https://www.sinaralabs.com > [4] https://reputation.normshield.com > Konu hakkında daha fazla bilgi ve destek için *[email protected] > <[email protected]>* adresimiz ile iletişime geçebilirsiniz. > > > > > *Hamza Şamlıoğlu* > *http://teakolik.blog <http://teakolik.blog>* > > PGP/GPG > > ------------------------------------------------- > BGA Wiki - Penetration Test Wiki > > http://wiki.bgasecurity.com/Kategori:Pentest > > ------------------------------------------------- >
------------------------------------------------- BGA Wiki - Penetration Test Wiki http://wiki.bgasecurity.com/Kategori:Pentest -------------------------------------------------
