Re: [NetSec] CryptoLocker - Genel Değerlendirme
Buraya kadar yazilan maillerde gectigi gibi zararliyi yayan mta ler icin spf, dkim ve ptr lari guzel bir sekilde yapilmis. Benim dikkatimi ceken unsur ise zararliyi yayanlarin ilgili domainlerin ns kayitlari icin free dns sunuculari secmis olmasi kullandiklari domainlerin cogu free dns server lar uzerinde bence bir onlem olarak da google da top 10 olan veya suana kadar bilinen ve zararlilar tarafindan kullanilan free dns servervlarin ip leri bloklanabilir. Ayrica gelen maillerin body sinde bulunan linkler bir sureligine gecersiz birakilabilinir. 11 Mar 2015 20:25 tarihinde Selçuk IRMAK selcuk.ir...@irene.com.tr yazdı: Mehmet hocaya katılıyorum çünkü aynı yönde bize gelen bilgiler mevcut. Bu arada şöyle bir yanılgı da oluyor bize geçmedi ama saldırı trafiğinin olup olmadığı bilinmiyor. Mesela bize şuana kadar hiç gelmedi. Gelmedi derken gelen kutumuza düşmemesi değil bize hiç gerçekleşmeyen bir trafikten bahsediyorum. Bize gelmesi için biraz uğraştık ama bir türlü başaramadık sanal sistemde kendi adres defterimizi oluşturduk sisteme zararlıyı bulaştırdık ama maalesef gelen olmadı. *From:* NetSec [mailto:netsec-boun...@netsectr.org] *On Behalf Of *Mehmet YAYLA *Sent:* Wednesday, March 11, 2015 4:19 PM *To:* liste@netsectr.org *Subject:* Re: [NetSec] CryptoLocker - Genel Değerlendirme Office 365 ürünün sildiğini söylemek abartılı bir söylem olur. destek verdiğim bir kaç müşteride office 365 geçirmiş ve virüs sisteme enfekte olmuştu. -- From: selcuk.ir...@irene.com.tr To: liste@netsectr.org Date: Wed, 11 Mar 2015 15:28:06 +0200 Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar, MX, PTR ve SPF kayıtlarından bahsediyorsunuz fakat aşağıdaki ekran görüntülerine bakarsanız saldırganlar zaten olması gerekeni zaten yapmışlar. J -Original Message- From: NetSec [mailto:netsec-boun...@netsectr.org netsec-boun...@netsectr.org] On Behalf Of Muharrem Turan Sent: Wednesday, March 11, 2015 2:23 PM To: liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Merhaba Mehmet Bey, Office 365'de standart olarak sunucu tarafında bahsettiğim SPF, PTR ön kontrolleri yapılıyor. Ofice365 üzerinden aldığınız mail hizmetinizde, CryptoLocker'lar engelleniyor, ve siliniyor. Kullanıcıya bu mailin risk taşıdığını ve silindiğine dair bir bilgi mesajı da gönderiliyor. Tabi Office365 yüzde yüz güvenlidir diyemeyiz. Yalnız siz gönderen adresini bir şeklide güvenli gönderici olarak işaretlerseniz, o maili içeri alınacaktır. Office 365 tarafını da aşıp gelen mailleri anti virüs yazılımı ile bertaraf edebilirsiniz. CryptoLocker saldırı mailini açan kullanıcı, captcha kontrolünü geçip dosyayı indirirken, Kaspersky'nin bunu tanıyıp sildiğini gözlemledik. Not: Mutlaka backup senaryonuzu oluşturun. İyi çalışmalar, Muharrem Turan Bilgi Teknolojileri Uzmanı IT Specialist -Original Message- From: NetSec [mailto:netsec-boun...@netsectr.org netsec-boun...@netsectr.org] On Behalf Of Mehmet OZCAN Sent: Wednesday, March 11, 2015 10:58 AM To: liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Merhaba, Öncelikle paylaşımınızı çok faydalı buldum teşekkür ederim. Bir sorum olacak, office365 ile bulutta yönetilen mail sunucusu bahsettiğiniz ön kontrollere sahip midir ? Örneğin her nekadar bireysel kullanıcıya yönelik olsa da, hotmail üzerinden bu şekilde dağıtımların engellenmediğini biliyoruz. Bu şekilde bir önlemi Microsoft kurumsal office365 için almış mıdır ya da neden almamaktadır ? Mehmet Özcan IT Expert -Original Message- From: NetSec [mailto:netsec-boun...@netsectr.org netsec-boun...@netsectr.org] On Behalf Of Muharrem Turan Sent: Wednesday, March 11, 2015 10:28 AM To: liste@netsectr.org Subject: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar merhaba, Mailler üzerinden yapılan CryptoLocker ataklarıyla ilgili olarak genel bir değerlendirme yapmak istiyorum; Bir network'ün dış dünyaya açık en savunmasız kapısı mail sistemidir. Öncelikle mail server ve dış dünya arasına, spam, virüs ve casus yazılım kontrolleri yapan donanımsal yada yazılımsan bir firewall konumlandırılmalıdır. konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. Firewall kontrollerinden geçen, mail server'a düşen maillerin gerçek kaynaktan gönderilip gönderilmediği kontrol edilmelidir. Özellikle SPF, PTR kayıtlarının kontrolleri, devamında global blacklist kontrolleri yapılmalıdır. Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini geçmişse ve global blacklistler'de yoksa mail içeriye alınır. Mail, sunucuya alındığında, virüs veri tabanını sürekli güncelleyen bir anti virüs yazılımı ile sunucu tarafında taranmalıdır. Bu kontrollerle gerçek
Re: [NetSec] CryptoLocker - Genel Değerlendirme
Alınacak her ekstra önlem önemlidir. Ama önlemler kombine şekilde uygulandığında çok etkili olur. Bahsettiğiniz sunucular ekstra bir önlem olarak tabiki kapatılabilinir fakat bunlardan çok var ve saldırganlar http sayfanın arkasındaki url çok kolay değiştirebilir. Şuanda https://www.copy.com kullanılıyor. Yanlış hatırlamıyorsam daha öncede bu kullanılmıştı. Eğer kurumsal bir ağ yönetiliyorsa kullanıcıların download izinleri zaten mime/types olarak engellenmelidir. Bu önlem sadece bu tarz saldırılar için değil daha farklı saldırlar içinde tercih edilmeli. Firewall, SMTP gateway veya mail sunucu üzerinde 178.208.0.0/16 bloğunu kapatmanız zaten alınabilecek ekstra önlemler arasındadır. Kullanıcıları bu tarz sahtekarlıklar konusunda görsel ağırlıklı bilgilendirmelere önem verilmelidir. Teknoloji ve işlemler varken buna ne gerek var denilmemeli. Bu tarz doğru bilgilendirmeler çok etkili bir önlemdir. Çünkü insan faktörünün güvenliğe tesiri halen çok yüksektir. Unutmalar olabilir dolasıyla onların anlayabileceği dilde görsel ve belirli dönemlerde tekrarlayacak şekilde bilgilendirmeler yapılmalıdır. Bu tarz bilgilendirmeler sadece kurumsal tarafta fayda sağlayabileceği gibi bireysel kullanımda da etkisini gösterir. From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of K.Gökhan COŞKUN Sent: Thursday, March 12, 2015 8:54 AM To: liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Buraya kadar yazilan maillerde gectigi gibi zararliyi yayan mta ler icin spf, dkim ve ptr lari guzel bir sekilde yapilmis. Benim dikkatimi ceken unsur ise zararliyi yayanlarin ilgili domainlerin ns kayitlari icin free dns sunuculari secmis olmasi kullandiklari domainlerin cogu free dns server lar uzerinde bence bir onlem olarak da google da top 10 olan veya suana kadar bilinen ve zararlilar tarafindan kullanilan free dns servervlarin ip leri bloklanabilir. Ayrica gelen maillerin body sinde bulunan linkler bir sureligine gecersiz birakilabilinir. 11 Mar 2015 20:25 tarihinde Selçuk IRMAK selcuk.ir...@irene.com.tr mailto:selcuk.ir...@irene.com.tr yazdı: Mehmet hocaya katılıyorum çünkü aynı yönde bize gelen bilgiler mevcut. Bu arada şöyle bir yanılgı da oluyor bize geçmedi ama saldırı trafiğinin olup olmadığı bilinmiyor. Mesela bize şuana kadar hiç gelmedi. Gelmedi derken gelen kutumuza düşmemesi değil bize hiç gerçekleşmeyen bir trafikten bahsediyorum. Bize gelmesi için biraz uğraştık ama bir türlü başaramadık sanal sistemde kendi adres defterimizi oluşturduk sisteme zararlıyı bulaştırdık ama maalesef gelen olmadı. From: NetSec [mailto:netsec-boun...@netsectr.org mailto:netsec-boun...@netsectr.org ] On Behalf Of Mehmet YAYLA Sent: Wednesday, March 11, 2015 4:19 PM To: liste@netsectr.org mailto:liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Office 365 ürünün sildiğini söylemek abartılı bir söylem olur. destek verdiğim bir kaç müşteride office 365 geçirmiş ve virüs sisteme enfekte olmuştu. _ From: selcuk.ir...@irene.com.tr mailto:selcuk.ir...@irene.com.tr To: liste@netsectr.org mailto:liste@netsectr.org Date: Wed, 11 Mar 2015 15:28:06 +0200 Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar, MX, PTR ve SPF kayıtlarından bahsediyorsunuz fakat aşağıdaki ekran görüntülerine bakarsanız saldırganlar zaten olması gerekeni zaten yapmışlar. :) https://col128.afx.ms/att/GetInline.aspx?messageid=29569cee-c7f8-11e4-9f55-00237de4a318attindex=1cp=-1attdepth=1imgsrc=cid%3aimage001.png%4001D05C0F.451C1EC0cid=9357201d951b1a07hm__login=fosalogluhm__domain=hotmail.comip=10.48.40.8d=d3559mf=0hm__ts=Wed%2c%2011%20Mar%202015%2014%3a18%3a03%20GMTst=fosalogluhm__ha=01_3a78fe0e2705e715bd6cca2c3c0a4c907c07eb5a19670c0d91776b1243096d57oneredir=1 https://col128.afx.ms/att/GetInline.aspx?messageid=29569cee-c7f8-11e4-9f55-00237de4a318attindex=3cp=-1attdepth=3imgsrc=cid%3aimage002.png%4001D05C0F.451C1EC0cid=9357201d951b1a07hm__login=fosalogluhm__domain=hotmail.comip=10.48.40.8d=d3559mf=0hm__ts=Wed%2c%2011%20Mar%202015%2014%3a18%3a03%20GMTst=fosalogluhm__ha=01_61f7abe52ed0089a43932e477e5f088eef6c638df3dc68f4b04af47be48f94f4oneredir=1 https://col128.afx.ms/att/GetInline.aspx?messageid=29569cee-c7f8-11e4-9f55-00237de4a318attindex=5cp=-1attdepth=5imgsrc=cid%3aimage003.png%4001D05C0F.F83FA5D0cid=9357201d951b1a07hm__login=fosalogluhm__domain=hotmail.comip=10.48.40.8d=d3559mf=0hm__ts=Wed%2c%2011%20Mar%202015%2014%3a18%3a03%20GMTst=fosalogluhm__ha=01_5ce965c27a875b02f6c649fbade4b857bc3d76ba78ffb359342b2d789dc9cf32oneredir=1 https://col128.afx.ms/att/GetInline.aspx?messageid=29569cee-c7f8-11e4-9f55-00237de4a318attindex=7cp=-1attdepth=7imgsrc=cid%3aimage004.png%4001D05C0F.F83FA5D0cid=9357201d951b1a07hm__login=fosalogluhm__domain=hotmail.comip=10.48.40.8d=d3559mf=0hm__ts=Wed%2c%2011%20Mar%202015%2014%3a18%3a03%20GMTst=fosalogluhm__ha
Re: [NetSec] CryptoLocker - Genel Değerlendirme
Merhaba, Öncelikle paylaşımınızı çok faydalı buldum teşekkür ederim. Bir sorum olacak, office365 ile bulutta yönetilen mail sunucusu bahsettiğiniz ön kontrollere sahip midir ? Örneğin her nekadar bireysel kullanıcıya yönelik olsa da, hotmail üzerinden bu şekilde dağıtımların engellenmediğini biliyoruz. Bu şekilde bir önlemi Microsoft kurumsal office365 için almış mıdır ya da neden almamaktadır ? Mehmet Özcan IT Expert -Original Message- From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Muharrem Turan Sent: Wednesday, March 11, 2015 10:28 AM To: liste@netsectr.org Subject: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar merhaba, Mailler üzerinden yapılan CryptoLocker ataklarıyla ilgili olarak genel bir değerlendirme yapmak istiyorum; Bir network'ün dış dünyaya açık en savunmasız kapısı mail sistemidir. Öncelikle mail server ve dış dünya arasına, spam, virüs ve casus yazılım kontrolleri yapan donanımsal yada yazılımsan bir firewall konumlandırılmalıdır. konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. Firewall kontrollerinden geçen, mail server'a düşen maillerin gerçek kaynaktan gönderilip gönderilmediği kontrol edilmelidir. Özellikle SPF, PTR kayıtlarının kontrolleri, devamında global blacklist kontrolleri yapılmalıdır. Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini geçmişse ve global blacklistler'de yoksa mail içeriye alınır. Mail, sunucuya alındığında, virüs veri tabanını sürekli güncelleyen bir anti virüs yazılımı ile sunucu tarafında taranmalıdır. Bu kontrollerle gerçek, güvenli, ekinde zararlı içeriğe sahip dosyalar olmayan mailin sunucuya ulaşmasını sağlar. Zafiyet tamda bu dokta da başlamaktadır. Mail gövdesinde gönderilen linklerin, zararlı yazılımların kullanıcı tarafından indirilmesi sonucu oluşmaktadır. Bu noktada kullanıcı tarafında kullanılan antivirüs yazılımı çok önemli bir görev üstlenmektedir. CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. CryptoLocker ataklarını mail server önüne ve iç network ile dış dünya arasına konulacak bir firewall ile önleyebilirsiniz. CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin bloklanması ne yazık ki geçici bir çözüm oluşturacaktır. Saygılarımla, Muharrem Turan Bu ileti (elektronik posta ve ekleri), gönderici ve yetkili alıcıya özel ve gizlidir ve yürürlükteki kanunlara göre açıklanması yasaktır. Eğer iletinin yetkili alıcısı veya yetkili alıcısına iletmekten sorumlu kişi değilseniz, bu iletinin ve/veya içeriğinin tamamını ya da bir kısmını açıklamanız, saklamanız, kopyalamanız, kullanmanız veya iletmeniz kesinlikle yasaktır; lütfen bu iletiyi sisteminizden kalıcı olarak tamamen siliniz ve göndereni bilgilendiriniz. Bu iletinin içeriğininin açıklanması veya paylaşımı hukuki sorumluluk doğurabilir. Bu mesajın içeriğiyle ilgili sorumluluk yalnızca gönderen kişiye aittir ve Klimasan Klima San. ve Tic. A.Ş. / Metalfrio Solutions Soğutma San. ve Tic. A.Ş. bu iletinin doğruluğu, bütünlüğü, iletilmesi, virüs veya zararlı yazılım güvenliği ve benzeri hususlarda sorumlu tutulamaz. This e-mail (electronic mail and its attachments) is private and confidential to the sender and the authorized recipient, and have been exempted from disclosure under applicable law. If you are not the intended recipient of this e-mail or the person who is responsible for the transmission of it to the intended recipient, you are hereby notified that disclosing, storing, copying, using or forwarding of whole or any part of the e-mail and/or its content is strictly prohibited; please completely delete it from your system permanently and notify the sender. Any disclosure or sharing of this information may lead to legal responsibility. The opinions expressed in this message belong to sender alone and Klimasan Klima San. ve Tic. A.S. / Metalfrio Solutions Soğutma San. ve Tic. A.S. shall have no liability with regard to the accuracy, integrity, transmission, virus or harmful software security and similar subjects.
Re: [NetSec] CryptoLocker - Genel Değerlendirme
Haklısınız, yorumlarınıza ek olarak biraz daha verimli olabileceğini düşündüğüm yöntem, daha çok sayıda zararlıyı örnekleme yetkinliği yüksek ürünlerle çalışmak. Yani zararlı ilk kez görülmeye başladığı saatlerde bile bu sayede toplu çöüküşün önüne geçilebilir. Birbirini uyaran akıllı sistemler (zararlı_varyant_tespiti analiz zararlı_damgası imza_yayginlasmasi) bu süreçte firewallunuzun client update sunucusunu uyarması yada ağınızın dışında ki global bir zararlı_kontrol_merkezinin tüm güvenlik ürünlerini zararlı_varyant için uyarması gibi. Şuanda bunu yapabilen bir kaç ürün var en azından böyle lanse ediliyor, ama ortak dili konuşabilen marka bağımsız interfacelere standardlara ihtiyaç olabileceği görünüyor büyüyen tehditlere göre. Sevgiler Ayhan -Original Message- From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Muharrem Turan Sent: Wednesday, March 11, 2015 10:28 AM To: liste@netsectr.org Subject: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar merhaba, Mailler üzerinden yapılan CryptoLocker ataklarıyla ilgili olarak genel bir değerlendirme yapmak istiyorum; Bir network'ün dış dünyaya açık en savunmasız kapısı mail sistemidir. Öncelikle mail server ve dış dünya arasına, spam, virüs ve casus yazılım kontrolleri yapan donanımsal yada yazılımsan bir firewall konumlandırılmalıdır. konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. Firewall kontrollerinden geçen, mail server'a düşen maillerin gerçek kaynaktan gönderilip gönderilmediği kontrol edilmelidir. Özellikle SPF, PTR kayıtlarının kontrolleri, devamında global blacklist kontrolleri yapılmalıdır. Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini geçmişse ve global blacklistler'de yoksa mail içeriye alınır. Mail, sunucuya alındığında, virüs veri tabanını sürekli güncelleyen bir anti virüs yazılımı ile sunucu tarafında taranmalıdır. Bu kontrollerle gerçek, güvenli, ekinde zararlı içeriğe sahip dosyalar olmayan mailin sunucuya ulaşmasını sağlar. Zafiyet tamda bu dokta da başlamaktadır. Mail gövdesinde gönderilen linklerin, zararlı yazılımların kullanıcı tarafından indirilmesi sonucu oluşmaktadır. Bu noktada kullanıcı tarafında kullanılan antivirüs yazılımı çok önemli bir görev üstlenmektedir. CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. CryptoLocker ataklarını mail server önüne ve iç network ile dış dünya arasına konulacak bir firewall ile önleyebilirsiniz. CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin bloklanması ne yazık ki geçici bir çözüm oluşturacaktır. Saygılarımla, Muharrem Turan
Re: [NetSec] CryptoLocker - Genel Değerlendirme
Merhaba, Muharrem Bey güzel onerilerde bulunmus, eline saglik. Yalniz Cryptolocker ici ne yazik ki asagidaki onlemi almak mumkun degil, cunku mailin icerisindeki linklerden dosyayi cekebilmek icin CAPTCHA girmek gerekiyor. Örnek: crypto_0022.jpg http://staff.aljazeera.com.tr/sites/default/files/2015/02/01/crypto_0022.jpg CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. Selamlar, Suleyman. 2015-03-11 10:27 GMT+02:00 Muharrem Turan muharrem.tu...@infotron.com.tr: CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır.
Re: [NetSec] CryptoLocker - Genel Değerlendirme
Selamlar; Kullanıcılara konuyu hatırlatıcı ve uyarıcı mailleri de çok sıkmadan Arada bir tüm mail kullanıcılarımızı göndermek de listeye alınabilir. SPF check işlemi mail sunucusu üzerine aktif olması (olmazsa olmaz) gerekiyor diye düşünüyorum. Şu an aktif olarak yönettiğim mail sunucusunda SPF check aktif olarak kullanılıyor. Yaklaşık 2 yıldır bir fiil çalışıyor sunucumuz ve SPF check ten dolayı bir kaç mail dışında herhangi bir trafik aksaması da yaşamadık. Yaşadığımız sorunlar da da başka mail adreslerinden gönderim yapılmasını rica ettik. Ciddi bir sorun da olmadı SPF check yüzünden. Günümüzde bedava mail veren hotmail, gmail, yandex gibi anonim sunucuların bile SPF kayıtları mevcut. İyi Çalışmalar; Zekeriya Bozkurt From: omeraltun...@hotmail.com To: liste@netsectr.org Date: Wed, 11 Mar 2015 09:32:34 + Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Değerlendirmeleriniz çok kıymetli, yalnız birşeysöylemek istiyorum özellikle SPF konusunda. Eğer SPF kontrolü devreye alınırsa çoğu kurum mail almada sıkıntı yaşayacaktır. Çünkü çoğu kurum kendi domainleri için SPF kaydı girmiyor ve alıcı taraf eğer SPF kontrolü yaparsa ve bu olmazsa olmaz şart haline gelirse mail trafiği sekteye uğrar. Bu da, diğer dedikleriniz de keşke uygulansa diyeceğimiz güzel öneriler :) @omer_f_altundal From: muharrem.tu...@infotron.com.tr To: liste@netsectr.org Date: Wed, 11 Mar 2015 08:27:34 + Subject: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar merhaba, Mailler üzerinden yapılan CryptoLocker ataklarıyla ilgili olarak genel bir değerlendirme yapmak istiyorum; Bir network'ün dış dünyaya açık en savunmasız kapısı mail sistemidir. Öncelikle mail server ve dış dünya arasına, spam, virüs ve casus yazılım kontrolleri yapan donanımsal yada yazılımsan bir firewall konumlandırılmalıdır. konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. Firewall kontrollerinden geçen, mail server'a düşen maillerin gerçek kaynaktan gönderilip gönderilmediği kontrol edilmelidir. Özellikle SPF, PTR kayıtlarının kontrolleri, devamında global blacklist kontrolleri yapılmalıdır. Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini geçmişse ve global blacklistler'de yoksa mail içeriye alınır. Mail, sunucuya alındığında, virüs veri tabanını sürekli güncelleyen bir anti virüs yazılımı ile sunucu tarafında taranmalıdır. Bu kontrollerle gerçek, güvenli, ekinde zararlı içeriğe sahip dosyalar olmayan mailin sunucuya ulaşmasını sağlar. Zafiyet tamda bu dokta da başlamaktadır. Mail gövdesinde gönderilen linklerin, zararlı yazılımların kullanıcı tarafından indirilmesi sonucu oluşmaktadır. Bu noktada kullanıcı tarafında kullanılan antivirüs yazılımı çok önemli bir görev üstlenmektedir. CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. CryptoLocker ataklarını mail server önüne ve iç network ile dış dünya arasına konulacak bir firewall ile önleyebilirsiniz. CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin bloklanması ne yazık ki geçici bir çözüm oluşturacaktır. Saygılarımla, Muharrem Turan
Re: [NetSec] CryptoLocker - Genel Değerlendirme
Merhaba, Cryptolocker ataklarý için kullanýlan domain'ler için SPF kaydý da, IP adreslerinin reverse DNS kayýtlarý da bulunuyor. Bu kontroller Cryptolocker ataklarý için bir önlem olarak iþe yaramýyor. Karþýmýzda email sistemleri kurup üzerinden normal yollardan email'ler gönderen birileri var. Kendilerini ele vermeyecek noktaya kadar olan kontrol noktalarýný aþacak önlemler alabiliyorlar. Daha sýký kontroller yaptýðýnýzda ise Ömer Bey'in de belirttiði gibi, zorunlu olmayan SPF gibi kayýtlar genelde yapýlmadýðýndan iletiþim sekteye uðruyor. SPF kaydý yaný sýra reverse DNS kaydýnýn ilgili domain'i gösterecek þekilde yapýlmasý, mail server host name için A kaydý oluþturulmasý gibi tavsiye edilen iyi uygulamalar ise pek az dikkate alanýyor. Ataklarýn yoðun olduðu bir dönemde bir süre bu kontrolleri devreye almýþtýk. Ýrili ufaklý, yurt dýþý ve içi birçok firmanýn yaný sýra, aklýnýza getirmeyeceðiniz hosting firmalarý ve bankalarýn bir çoðu kontrolleri geçemez hale gelmiþti. Bir süre mücadele edip, sýk iletiþimde olunan yerler ile görüþerek özellikle DNS kayýtlarýnda düzeltmeler yaptýrdýk (bir banka da dahil). Ancak baktýk ki pek kimse bunlarý pek kâle almýyor ve dünyaya savaþ açmýþ gibi oluyoruz, baþa çýkamayýp eski tas eski hamam durumuna geri dönmek durumunda kaldýk. Bu tür durumlarý önleyici standartlar zorunlu hale gelmedikçe, zararlýlarý tespit etmeye çalýþan sistemlerin yetenekleri ölçüsünde korunabilir olacaðýz sanýrým. Yavuz Cengiz Bilgi Ýþlem Müdürü IT Manager PharmaVision San. ve Tic. A.S. Davutpasa Cad. No:145 TR-34010, Topkapi - Istanbul - Turkey Tel.: +90 (212) 482 00 00 / 1370 Fax : +90 (212) 482 00 93 e-mail : yavuz.cen...@pharmavision.com.tr Web : www.pharmavision.com.tr From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Ömer Altundal Sent: Wednesday, March 11, 2015 11:33 AM To: liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Deðerlendirme Deðerlendirmeleriniz çok kýymetli, yalnýz birþeysöylemek istiyorum özellikle SPF konusunda. Eðer SPF kontrolü devreye alýnýrsa çoðu kurum mail almada sýkýntý yaþayacaktýr. Çünkü çoðu kurum kendi domainleri için SPF kaydý girmiyor ve alýcý taraf eðer SPF kontrolü yaparsa ve bu olmazsa olmaz þart haline gelirse mail trafiði sekteye uðrar. Bu da, diðer dedikleriniz de keþke uygulansa diyeceðimiz güzel öneriler :) @omer_f_altundal From: muharrem.tu...@infotron.com.tr To: liste@netsectr.org Date: Wed, 11 Mar 2015 08:27:34 + Subject: [NetSec] CryptoLocker - Genel Deðerlendirme Arkadaþlar merhaba, Mailler üzerinden yapýlan CryptoLocker ataklarýyla ilgili olarak genel bir deðerlendirme yapmak istiyorum; Bir network'ün dýþ dünyaya açýk en savunmasýz kapýsý mail sistemidir. Öncelikle mail server ve dýþ dünya arasýna, spam, virüs ve casus yazýlým kontrolleri yapan donanýmsal yada yazýlýmsan bir firewall konumlandýrýlmalýdýr. konumlandýrýlan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyalarý çekip Ýçeriðini inceleyip, çýkan sonuca göre bu maili server'a ulaþtýrmalýdýr. Firewall kontrollerinden geçen, mail server'a düþen maillerin gerçek kaynaktan gönderilip gönderilmediði kontrol edilmelidir. Özellikle SPF, PTR kayýtlarýnýn kontrolleri, devamýnda global blacklist kontrolleri yapýlmalýdýr. Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini geçmiþse ve global blacklistler'de yoksa mail içeriye alýnýr. Mail, sunucuya alýndýðýnda, virüs veri tabanýný sürekli güncelleyen bir anti virüs yazýlýmý ile sunucu tarafýnda taranmalýdýr. Bu kontrollerle gerçek, güvenli, ekinde zararlý içeriðe sahip dosyalar olmayan mailin sunucuya ulaþmasýný saðlar. Zafiyet tamda bu dokta da baþlamaktadýr. Mail gövdesinde gönderilen linklerin, zararlý yazýlýmlarýn kullanýcý tarafýndan indirilmesi sonucu oluþmaktadýr. Bu noktada kullanýcý tarafýnda kullanýlan antivirüs yazýlýmý çok önemli bir görev üstlenmektedir. CryptoLocker tarzý yazýlýmlarýn önlenmesi mail server ve dýþ dünya arasýna konumlandýrýlan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyalarý çekip Ýçeriðini inceleyip, çýkan sonuca göre bu maili server'a ulaþtýrmalýdýr. CryptoLocker ataklarýný mail server önüne ve iç network ile dýþ dünya arasýna konulacak bir firewall ile önleyebilirsiniz. CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin bloklanmasý ne yazýk ki geçici bir çözüm oluþturacaktýr. Saygýlarýmla, Muharrem Turan Yazici çiktisi almadan önce ÇEVREMIZI düsünün Before printing, think about the ENVIRONMENT Bu elektronik posta; sirketimize özel, gizli ya da yalnizca özel izin üzerine açiklanabilecek bilgiler içerebilir. Bu elektronik postayi yanlislikla aldiysaniz, lütfen buradaki bilgilerin yayilmasinin, dagitilmasinin, kullanilmasinin ya da kopyalanmasinin kesinlikle yasak oldugunu unutmayiniz. Bu elektronik postayi yanlislikla aldiysaniz lütfen
Re: [NetSec] CryptoLocker - Genel Değerlendirme
Arkadaşlar, MX, PTR ve SPF kayıtlarından bahsediyorsunuz fakat aşağıdaki ekran görüntülerine bakarsanız saldırganlar zaten olması gerekeni zaten yapmışlar. :) -Original Message- From: NetSec [mailto:netsec-boun...@netsectr.org] On Behalf Of Muharrem Turan Sent: Wednesday, March 11, 2015 2:23 PM To: liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Merhaba Mehmet Bey, Office 365'de standart olarak sunucu tarafında bahsettiğim SPF, PTR ön kontrolleri yapılıyor. Ofice365 üzerinden aldığınız mail hizmetinizde, CryptoLocker'lar engelleniyor, ve siliniyor. Kullanıcıya bu mailin risk taşıdığını ve silindiğine dair bir bilgi mesajı da gönderiliyor. Tabi Office365 yüzde yüz güvenlidir diyemeyiz. Yalnız siz gönderen adresini bir şeklide güvenli gönderici olarak işaretlerseniz, o maili içeri alınacaktır. Office 365 tarafını da aşıp gelen mailleri anti virüs yazılımı ile bertaraf edebilirsiniz. CryptoLocker saldırı mailini açan kullanıcı, captcha kontrolünü geçip dosyayı indirirken, Kaspersky'nin bunu tanıyıp sildiğini gözlemledik. Not: Mutlaka backup senaryonuzu oluşturun. İyi çalışmalar, Muharrem Turan Bilgi Teknolojileri Uzmanı IT Specialist -Original Message- From: NetSec [ mailto:netsec-boun...@netsectr.org mailto:netsec-boun...@netsectr.org] On Behalf Of Mehmet OZCAN Sent: Wednesday, March 11, 2015 10:58 AM To: mailto:liste@netsectr.org liste@netsectr.org Subject: Re: [NetSec] CryptoLocker - Genel Değerlendirme Merhaba, Öncelikle paylaşımınızı çok faydalı buldum teşekkür ederim. Bir sorum olacak, office365 ile bulutta yönetilen mail sunucusu bahsettiğiniz ön kontrollere sahip midir ? Örneğin her nekadar bireysel kullanıcıya yönelik olsa da, hotmail üzerinden bu şekilde dağıtımların engellenmediğini biliyoruz. Bu şekilde bir önlemi Microsoft kurumsal office365 için almış mıdır ya da neden almamaktadır ? Mehmet Özcan IT Expert -Original Message- From: NetSec [ mailto:netsec-boun...@netsectr.org mailto:netsec-boun...@netsectr.org] On Behalf Of Muharrem Turan Sent: Wednesday, March 11, 2015 10:28 AM To: mailto:liste@netsectr.org liste@netsectr.org Subject: [NetSec] CryptoLocker - Genel Değerlendirme Arkadaşlar merhaba, Mailler üzerinden yapılan CryptoLocker ataklarıyla ilgili olarak genel bir değerlendirme yapmak istiyorum; Bir network'ün dış dünyaya açık en savunmasız kapısı mail sistemidir. Öncelikle mail server ve dış dünya arasına, spam, virüs ve casus yazılım kontrolleri yapan donanımsal yada yazılımsan bir firewall konumlandırılmalıdır. konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. Firewall kontrollerinden geçen, mail server'a düşen maillerin gerçek kaynaktan gönderilip gönderilmediği kontrol edilmelidir. Özellikle SPF, PTR kayıtlarının kontrolleri, devamında global blacklist kontrolleri yapılmalıdır. Gönderilen mail, gerçek bir mail sunucuya aitse SPF, PTR kontrollerini geçmişse ve global blacklistler'de yoksa mail içeriye alınır. Mail, sunucuya alındığında, virüs veri tabanını sürekli güncelleyen bir anti virüs yazılımı ile sunucu tarafında taranmalıdır. Bu kontrollerle gerçek, güvenli, ekinde zararlı içeriğe sahip dosyalar olmayan mailin sunucuya ulaşmasını sağlar. Zafiyet tamda bu dokta da başlamaktadır. Mail gövdesinde gönderilen linklerin, zararlı yazılımların kullanıcı tarafından indirilmesi sonucu oluşmaktadır. Bu noktada kullanıcı tarafında kullanılan antivirüs yazılımı çok önemli bir görev üstlenmektedir. CryptoLocker tarzı yazılımların önlenmesi mail server ve dış dünya arasına konumlandırılan firewall'un mail eklerini ve mail gövdesinde yer alan linklerdeki dosyaları çekip İçeriğini inceleyip, çıkan sonuca göre bu maili server'a ulaştırmalıdır. CryptoLocker ataklarını mail server önüne ve iç network ile dış dünya arasına konulacak bir firewall ile önleyebilirsiniz. CryptoLocker içerikli mailler gönderen IP adreslerinin ve domainlerin bloklanması ne yazık ki geçici bir çözüm oluşturacaktır. Saygılarımla, Muharrem Turan Bu ileti (elektronik posta ve ekleri), gönderici ve yetkili alıcıya özel ve gizlidir ve yürürlükteki kanunlara göre açıklanması yasaktır. Eğer iletinin yetkili alıcısı veya yetkili alıcısına iletmekten sorumlu kişi değilseniz, bu iletinin ve/veya içeriğinin tamamını ya da bir kısmını açıklamanız, saklamanız, kopyalamanız, kullanmanız veya iletmeniz kesinlikle yasaktır; lütfen bu iletiyi sisteminizden kalıcı olarak tamamen siliniz ve göndereni bilgilendiriniz. Bu iletinin içeriğininin açıklanması veya paylaşımı hukuki sorumluluk doğurabilir. Bu mesajın içeriğiyle ilgili sorumluluk yalnızca gönderen kişiye aittir ve Klimasan Klima San. ve Tic. A.Ş