25 Kasım 2017 Cumartesi

21.06.2017 TR-17-069 (Vault 7)

81 defa okundu

TR-17-069 (Vault 7)

 

Genel Bilgi

Ağustos 2016’dan itibaren, “Shadow Brokers” adlı bir hacker grubu tarafından, “Equation Group” adlı siber casusluk birimine ait bilgiler, sömürü kodlar ve zararlı yazılımlar yayınlanmaya başlamıştır. Yayınlanan verilerin Ocak 2009 tarihine kadar geri gitmesinin yanında günümüze kadar yayınlanan farklı işletim sistemleri ve yazılımlara yönelik siber güvenlik açıklıkları hakkında detaylı bilgiler içermektedir.

Yayınlanan sömürü kodları, kurumlarda kullanılan ağ cihazlarını da hedef almaktadır. Buna ek olarak son kullanıcı bilgisayarlarını hedef alan zararlı yazılımların yayınlanan bilgiler arasında yer aldığı görülmüştür. Yakın zamanda dünya çapında kurumsal veya bireysel sistemleri etkileyen ‘Wannacry’ zararlı yazılımı, yayınlanmış olan söz konusu zafiyet ve sömürü kodlarını kullanmaktadır. Hacker grubu ele geçirdikleri benzeri sömürü kodları ve zararlı yazılımları aylık olarak yayınlayacağını duyurmuştur.

Ayrıca Mart 2017 itibariyle yabancı istihbarat kurumlarına ait olduğu öne sürülen ve ‘Vault 7’ adı ile duyurulan veriler internete sızdırılmıştır. Bu veriler içerisinde son kullanıcı sistemleri başta olmak üzere,  bilişim sistemi varlıklarına arka kapı bırakmak için kullanılan yazılımlar bulunmaktadır. Aynı zamanda dosya sunucularını kullanarak kurumsal ağlarda yayılma eğiliminde olan zararlı yazılımlar da ‘Vault 7’ içerisinde yer almaktadır. Benzer verilerin 2-3 haftalık zaman dilimlerinde yayınlanmaya devam etmesi muhtemeldir.

Bu sızdırılmış verilerin, kurumsal bilgi güvenliğini etkilememesi için kurum bünyesinde bilgi sistemleri envanterinin çıkarılması ve bu envanter üzerinde zafiyet tespit ve etki analizinin yapılması gerekmektedir. 

Bu sızdırılmış verilerin, kurumsal bilgi güvenliğini etkilememesi için kurum bünyesinde bilgi sistemleri envanterinin çıkartılması ve bu envanter üzerinde zafiyet tespit ve etki analizinin yapılması gerekmektedir. 

Etki

Aşağıda tür/marka/modeline göre belirtilen ürünleri etkileyecek sömürü kodu, zararlı yazılımlar geliştirilmiş olup, internette yayılmıştır. Bu nedenle kurum ve kuruluşların kendi bilgi sistemleri envanterlerinde (tüm iç ve dış ağlarında) bu cihazları tespit ederek sonraki sayfada bulunan gerekli aksiyonları alması önem arz etmektedir.

1. Ağ cihazı

  • Juniper Netscreen (NS5XT, NS50, NS200, NS500, ISG 1000, SSG140, SSG5, SSG20, SSG 320M, SSG 350M, SSG 520, SSG 550, SSG 520M, SSG 550M)
  • Cisco PIX (500 Serisi)
  • Cisco ASA (5505, 5510, 5520, 5540, 5550 serileri)
  • Cisco Switch/Router (711, 712, 721, 722, 723, 724, 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844)
  • Fortinet FortiGate (60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 3600)
  • TOPSEC (v3.2.100.010 - 3.3.010.024.1 arası sürümleri)
  • WatchGuard
  • Huawei
  • Solaris 6 – 11

2. İşletim sistemi

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows 7
  • Windows Server 2008
  • Windows 8
  • Windows 8.1
  • Windows Server 2012
  • Windows 10
  • Windows Server 2016

3. File server (Dosya sunucusu)

  • Windows File Server

Çözüm

Envanterlerinde yukarıda belirtilen ürünlere sahip kurum ve kuruluşların aşağıdaki kontrolleri uygulaması gerekmektedir:

  • Erişim kontrolleri
    • Ağ cihazlarının yönetim portlarına erişim iç ağda kısıtlanmalı (belli interface ve IP’lerden erişime izin verilmeli) ve İnternetten erişim engellenmelidir.
    • İnternetten Windows cihazlara erişim kısıtları getirilmeli, SMB ve RDP gibi servislere erişim gerekli değil ise engellenmelidir.
    • İnternete açık olan sunucu networkünden iç ağa erişimler kısıtlanmalı, domain yapıları ayrı tutulmalıdır.
  • Güncelleme Desteği Olan Yazılımlar
    • Yayınlanan zafiyetler veya sömürü kodları tarafından etkilenen ürün ve hizmet hizmetlere yönelik güvenlik yamalarının yayınlandığı görülmektedir. Her ne kadar istisnai durumlarda olsa da, güvenlik yamaları, desteği olmayan eski sürüm yazılım veya işletim sistemlerine yönelik yayınlanmamaktadır.  Kurumların, özellikle internete açık, herkes veya ağdaki diğer sistemler tarafından erişilebilir olan bilişim sistemleri varlıklarında desteği süren yazılımlar ve işletim sistemleri kullanmaları gerekmektedir.
  • Parola yönetimi
    • Sunucu, son kullanıcı ve ağ cihazlarında basit ve varsayılan parola kullanımından kaçınılmalıdır.
  • Yama yönetimi
    • Ağ cihazlarında güvenlik yamaları takip edilmeli ve güncel firmware sürümleri kullanılmalıdır.
    • Windows ortamları için yama yönetimi platformları incelenmeli ve uzaktan kod çalıştırmaya yönelik zafiyetler (örneğin MS17-010) başta olmak üzere güvenlik yamaları en kısa sürede uygulanmalıdır.
  • Antivirüs kullanımı
    • Son kullanıcı ve sunucularda güncel antivirüs/antimalware kullanımına dikkat edilmelidir.
  • Yukarıda belirtilmiş ürün ailelerinde siber olay tespiti; ağ cihazları, sunucu ve son kullanıcı bilgisayarlarında olası ele geçirilme durumlarının kontrolü aşağıdaki şekilde sağlanabilir:

1. Ağ cihazlarında olası sızma durumlarının tespiti için aşağıdaki kontrollerin uygulanması tavsiye edilmektedir:

  • Ağ cihazları yapılandırma dosyaları incelenmeli, yedek dosyaları ile karşılaştırılarak olası anomaliler tespit edilmelidir.
  • Ağ cihazları üzerinde iz kayıtları (self log) incelenmelidir; admin/system/root aktivitelerini olası anomaliler tespit edilmelidir.
  • Ağ cihazları ve güvenlik duvarlarındaki process’ler incelenmelidir.

2. Doublepulsar; Windows işletim sistemleri sömürü kodlarında sistem üzerinde yetkili arka kapı açmak için yayınlanan bu zararlı yazılım ağ üzerinden kontrol edilebilmektedir. Sızılmış makinanın SMB ve RDP portlarında “nmap” aracı kullanılarak tarama gerçekleştirilebilir:

https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html

3. Pandemic zararlı yazılımı, dosya sunucularını (file server) kullanarak iç ağdaki diğer cihazlara yayılmak üzere geliştirilmiştir. Bu zararlının Windows File Server üzerinde aşağıdaki kayıt defteri (Registry) değişkenini oluşturmaktadır, bu kayıt ilgili sunucular üzerinde aranmalıdır.

HKLM\SYSTEM\CurrentControlSet\Services\Null -> Instances alt anahtarında Null değeri.