25 Kasım 2017 Cumartesi

#Petya #Ransomware Siber Saldırısı Hakkında Duyuru

29 Haziran 2017 Perşembe 12:41 tarihinde eklendi | 348 defa okundu

       Geçtiğimiz ay #Wannacry saldırıları ile birçok ülkenin sağlık, finans ve enerji gibi önemli sektörleri kritik duruma gelmiş ve büyük zararlara uğramıştı. Türkiye saati ile dün akşam üstü (27 Haziran 2017 itibariyle) yeni bir fidyecilik zararlı yazılımı karşımıza çıktı. Yapılan siber saldırı küresel olarak birçok kurumu tehdit etmeye ve büyük zararlara yol açmaya başladı.

    Özellikle de Rusya ve Ukrayna’da etkili olan saldırı için analistler çözüm yolları aramaya ve saldırılara karşı korunmak için önerilerde bulunmaya devam ediyorlar.

 

1. Petya (#petrWrap) Nedir? Sistemlere Nasıl Bir Zarar Verir?

“TheShadowBrokers” isimli hacker grubu, Nisan ayında National Security Agency’in (NSA) FUZZBUNCH isimli exploit kitini sızdırdı. Sızdırılan bu zafiyet kiti içerisinde bir çok exploit bulunmaktaydı. İlgili exploitlerden EternalBlue exploiti yine exploit kiti içerisinde bulunan DOUBLEPULSAR payloadı ile birlikte kullanıldığında Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamaktadır.

MS17-010 (CVE-‎2017-0144) kodu ile isimlendirilen bu zafiyet 27 Haziran 2017 itibariyle  Petya(Win32/Diskcoder.Petya.C) adlı bir fidye yazılımı tarafından kullanılmaya başlandı.

Aynı zamanda, fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmeksizin bulaştığı ağda aynı kullanıcı adı ve parola bilgisini kullanan sistemleri tarayarak bulmakta ve tespit ettiği sistemleri de etkilemektedir.

2. #Petya Fidye Zararlı Yazılımı Nasıl Yayılmaktadır, Neden Kaynaklanmaktadır?

Petya wormu ağırlıklı Windows SMB (v1) protokolünü kullanarak yayılmaktadır. NSA tarafından bu açıklığı barındıran sistemlere sızmak için kullanılan bir suistimal aracı (exploit), NSA’den bu bilgiler sızdırıldığında internet üzerinden yayınlanmaya başladı. Açıklanan belgeler ve bilgiler ışığında biri ya da birileri tarafından bu zafiyeti istismar eden fidye zararlı yazılımı geliştirilerek internete sunuldu.

Windows kullanıcı adı ve parola bilgilerini kullanarak yerel ağlarda yayılabildiği de bir çok güvenlik uzmanı tarafından yapılan analizler sonucu ortaya çıktı.

3.Türkiye ve Dünyada Ne Kadar Sistem #Petya Saldırısından Etkilendi?

Henüz ne kadar sistemin bu zararlı yazılımdan etkilendiği tam olarak bilinemiyor fakat Shodanhq’e göre dünya üzerinde bu zafiyeti barındırma ihtimali olan bilgisayar sayısı 1.000.000, bu da zafiyetin sonuçlarının nerelere gideceği hakkında bize bilgi veriyor.

Türkiye’de ise durum biraz daha iyi gibi, Petya zafiyetinden etkilenme durumu olan bilgisayar sayısı 15.000 civarı gözüküyor. Kendi yaptığımız araştırmalar sonucu Türkiye’de doğrudan bu zararlı yazılımdan etkilenecek sunucu sayısı yaklaşık olarak  2.000 [1] çıkmaktadır.

Yazıyı hazırladığımız tarihe kadar aşağıda ismi geçen büyük firmaların saldırıdan etkilendiği doğrulanmış gözüküyor.

  • Ukrposhta
  • Boryspil International Airport in Kiev
  • Maersk
  • WPP
  • ROSNEFT
  • P. MOLLER-MAERSK
  • MERCK & Co.
  • RUSSIAN BANKS
  • UKRAINIAN BANKS, POWER GRID
  • UKRAINIAN INTERNATIONAL AIRPORT
  • Germany’s Metro
  • DEUTSCHE POST
  • MONDELEZ INTERNATIONAL
  • EVRAZ
  • NORWAY
  • MARS INC
  • BEIERSDORF AG
  • RECKITT BENCKISER
  • Kyivenergo, Kiev power company
  • Radiation monitoring system at Chernobyl
  • Ukrainian bank Oschadbank
  • Ukrainian delivery service company Nova Poshta
  • Spanish global legal firm DLA Piper

4. Bazı Sistemlerimize Bulaştığını Tespit Ettik Ne Yapmalıyız?

Bulaştığı tespit edilen sistemin ağ bağlantısı acilen devre dışı bırakılmalı ve ağdan izole edilmelidir. Bu şeklide diğer sistemlere yayılması önlenebilir.

  • >Varsa yedeklerinizden sistemi geri yükleyip, enfekte olmamış eski haline döndürebilirsiniz.
  • >Local admin ve sistemde üst seviyede yetkili hesapların parolaları değiştirilmeli.
  • >Bilgisayar kullanıcılarına minimum yetki prensibine dayalı haklar tanımlanmalı.
  • >GPO üzerinden veya local olarak psexec,wmi gibi diğer sistemlere yayılmak için kullanılabilecek araçlar yasaklanmalı.
  • >Ek olarak bulaşmamış sistemlerde “C:\Windows\perfc” dizininin oluşturulması da wormun etki alanını kısıtlamaktadır.

5. Kurumsal Bir Şirket Çalışanı Ne Yapmalıdır, Nasıl Önlem Alabilir?

Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017 de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir.

  • >Internete hizmet veren sistemlerden 445/TCP portu açık olan varsa bunları kapatılması.
  • >Antispam servisinizi oltalama saldırılarına karşı güçlendirin, SPF, DMARC,DKIM kontrolleri mutlaka gerçekleştirin.
  • >Kullanıcı yetkilerini gözden geçirip, en düşük yetki prensibi ile çalışmalarını sağlayın. Ortak hesap kullanımından kaçınıp her sisteme özgü hesap oluşturun.
  • >Kurumsal ağlardaki dosya paylaşımı erişim ve düzenleme yetkilerini gözden geçirin, kullanıcıların okuma yetkisine ihtiyacı varsa dosyalara yazma yetkisi vermeyin.
  • >Çalışanlarınızı siber saldırılara karşı bilinçlendirecek bir eğitim programı uygulayın.
  • >Ağınızdaki güvenlik zafiyetlerini keşfedip erken önlem almak için sızma testi (penetrasyon) mutlaka yaptırın.
  • >Düzenli olarak yedek almayı ihmal etmeyin.
  • >Ağda kullanılan local admin parolalarının her sistemde farklı olmasını sağlayın
  • >MEDOC yazılımı kullanıyorsanız acilen ilgili sistemlerin ağdan yalıtılması ve incelenmesini sağlayın.
  • >Kullandığınız kurumsal yazılımlar arasında güncelleme yapanları tekrardan incelenmeli ve şüpheli durumlar konusunda mutlaka uzmanlara danışarak sistemlerin internete erişimleri kontrollü olarak açılmalı.

5. Hangi İşletim Sistemleri Etkilenmektedir?

Aktif kullanılan tüm Microsoft Windows işletim sistemleri Petya zararlı fidye yazılımından etkilenmektedir.

  • Windows XP
  • Microsoft Windows Vista SP2
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2008 SP2 and R2 SP1
  • Windows Server 2012 and R2
  • Windows Server 2016

Microsoft tarafından MS17-010 SMB zafiyetine yönelik yayınladığı dokümanda etkilenen tüm işletim sistemlerine bakabilirsiniz. [2]

Kaynak:www.bgasecurity.com