Biznet BilişimBiznet Bilişim

by Emre Can Lekesiz

WannaCry Ne ilk Ne de Son, NotPetya ile Tanışın

 

 

WannaCry para koparmak içindi. Bu kez amaç farklı. Tabiri caizse karşımızda tam bir Decepticon var.

Geçtiğimiz Mayıs ayında ana akım medyanın bile haberlerine giren WannaCry, Windows sistemlerdeki açıkla ortalığı kırıp geçirerek dört-milyar-dolar ve üzeri katastrofik zararlara yol açmışken ardından yeni bir salgın daha geldi.

WannaCry’ın şöhretine gölge düşürecek hışımla, geçtiğimiz hafta yeni bir global siber saldırı NotPetya ile gerçekleştirildi.

 

Yayılma Noktası

27 Haziran tarihinde daha önceki saldırılarda olduğu gibi tespit edilemeyen bir koordinasyonla Ukrayna’nın devlet kurumları ve Ukrayna’daki büyük ölçekteki holdingler birinci dalga saldırıdan nasibini almaya başladı. İşte burada artık hep bahsettiğimiz bir senaryo gerçekleşti, saldırı; zaten çok daha önceden bu kurum ve şirketlerin ağlarına sızmış ve saldırının etkisini en yüksek seviyeye taşıyabilmek için çok daha önceden keşiflerini tamamlamış saldırganlar tarafından gerçekleştirildi.

İddialara göre saldırganlar Ukrayna devlet dairelerinde sıklıkla kullanılan bir yazılımdaki açığı bulduktan sonra yollarına devam ettiler. Bu vergi yazılımı bulunduğu sistemlerde Yönetici (Administrator) ve/veya Etki Alanı Yöneticisi (Domain Administrator) yetkileriyle çalışıyor. Bu vergi yazılımına gönderilen sahte yazılım güncellemesi ile saldırı patlak vermeye başladı.

Saldırının ilk saatinin ardından etkilenen makinelerdeki veriler kriptolandı ve sistemler boot edilemez hale geldi.

 

NotPetya Nasıl Bu Kadar Etkili Olabildi?

Uluslararası yükleme limanlarından, süper marketlere, reklam ajanslarından, hukuk bürolarına kadar kurumları nasıl çalışamaz hale getirdi? Yıkıcı, tıkır-tıkır çalışan ve bilgisayardan bilgisayara bulaşıp ele geçirdiği her sistemi ve veriyi birer hırdavata dönüştüren NotPetya’nın arkasında neler var onlara bakalım.

  • NotPetya, daha önce 2016 yılında karşılaştığımız Petya fidye yazılımının yeni siber silahlarla donatılmış sürümü.
  • Network içerisinde hareket etmek için NotPetya’nın bir çok aracı var. Ayrıca içerisinde modifiye edilmiş bir de Mimikatz var ve bununla, çalışan sistemdeki hafızada bulunan yönetici parolalarını ele geçiriyor. Bu detaylarla beraber PsExec ve WMIC kullanarak yayıldığı bilgisayarları enfeksiyona uğratıyor. Subnet’i tarayarak başka hedef sistemlere ulaşıyor, ele geçirdiği domain controllerlar’da da DHCP servisini kullanarak bilinen sistemleri tanımlıyor.
  • WannaCry tarafından sömürülen, NSA’den çalınmış “eternalblue” olarak bilinen SMB protokolündeki exploiti kullanıyor, evet. Dahası yine aynı kurumdan çalınmış EternalRomance SMB exploitinin modifiyeli versiyonunu, başka sistemlere zararlı kod enjekte etmek için kullanıyor. Bu açıklar Microsoft tarafından yayınlanan yamalar ile 2017 ilk çeyreğinde kapatılmıştı ancak Windows güncellemelerini almayan sistemlerde saldırı başarılı oldu.
  • Hatta bazı söylentilere göre, NotPetya, Microsoft’un Nisan ayında kapattığını söylediği CVE-2017-0199 (Microsoft Office uygulamalarında dökümana zararlı kod gömme)açığını da kullanabiliyor.
  • Bu tarz zararlı yazılımlardan beklendiği gibi tipik bir şekilde NotPetya, bulaştığı sistemde Yönetici haklarını ele geçiriyor ve bu yetkileri ağdaki başka bilgisayarlara el koymak için kaldıraç olarak kullanıyor. Burada gerçek şu ki yazılımın başarılı olmasının en büyük nedeni sayısız kurum ve kuruluşun düz bir network yapısı kullanıyor olması. Bunun da anlamı, bir son kullanıcıdaki Yönetici, diğer bilgisayarları da kontrol edebiliyor ya da diğer bilgisayarların hafızasında bulunan Etki Alanı Yöneticisi kimliklerini çekebiliyor, Windows Aktif Dizin yapısını ve buna bağlı bilgisayarları tamamen ele geçirebiliyor.
  • Yönetici yetkilerini ele geçirmenin bir yolu NSA exploitlerini kullanmak. İkinci metod ise kullanıcıyı ağdaki bir yöneticiden geliyormuş gibi gösterilen e-postanın eklentisindeki zararlı yazılıma yönlendirmek. NotPetya ile karşılaştığımız yeni metod ise Ukrayna ve Doğu Avrupa bloğunda yoğun olarak kullanılan MeDoc vergi yazılımı gibi yönetici yetkileriyle çalışan uygulamaya, zararlı yazılımı içeren sahte güncelleme göndermek. Yönetici yetkileri de zararlı yazılımın, ağdaki bilgisayarlarda en üst ayrıcalıkla çalıştırılması için fazlasıyla yeterli oluyor.
  • NotPetya karşılaştığımız diğer zararlı yazılımlardan farklı olarak, yetkilerini ağ içerisinde yükseltmekle kalmayıp, bu yetkileri aynı zamanda MBR partisyonunun yeniden yazmakla kullanabiliyor. Sonuç, makinayı her başlattığınızda Windows yerine karşınıza NotPetya çıkıyor. Bu noktada geleneksel anti-virüs yazılımınıza ve endpoint koruma uygulamalarınıza güle güle diyorsunuz. Yazılım aynı zamanda NTFS dosya sistemini, içerisinde bulduğu her veriyi ve diski AES-128 standardında kriptolayabiliyor.
  • NotPetya’ya fidye yazılımı diyemiyoruz çünkü kriptolananan verilerinizi çözecek anahtarı almanız mümkün değil. Birincisi kriptoyu çözecek anahtarı nasıl alabileceğiniz konusunda size bilgi verilmiyor, ikincisi de saldırganlarla kontak kurabileceğiniz kanallar yetkililer tarafından kapatılmış durumda.

 

NotPetya vb. yazılımlardan Korunmak için Ne Gibi Önlemler Alabilirsiniz?

  • SMB exploitlerinden kurtulmak için Microsoft’un en güncel yamalarını almakla kalmayıp, SMBv1 protokolünü tamamen devre dışı bırakın. 137, 138, 139 ve 445 portlarının Internet erişimi olmadığına emin olun. Aynı zamanda kurumunuzdaki yöneticilerin bu portlar üzerindeki yetkilerini yeniden gözden geçirin.
  • Hangi Windows versiyonlarının tam olarak etkilendiği bilinmese de Windows 10 Credential Guard’ın NotPetya’nın hafızadan parola çalma yeteneğini geri püskürttüğünü biliyoruz. Windows 10’a geçmediyseniz, risk altındasınız.
  • NotPetya, WannaCry gibi internet üzerinden yayılma amacında değil, iç ağınızda olabildiğince hızlı bir şekilde yayılabilme ve saldırısını 1 saat içinde yapabilmenin peşinde. Bu kapsamda C:\Windows\perfc.dat dosyasını salt okunur (read only) yapmanız NotPetya’nın dosya kriptolama algoritmasını sekteye uğratabiliyor ancak ağınızda yayılmasını engelleyemiyor.
  • Klasik ama bir gerçek, verilerinizi düzenli olarak yedekleyin ve bağımsız bir ortamda saklayın.
  • Lokal Yönetici haklarını takip edebileceğiniz ve uygulama kontrolünü yapabileceğiniz çözümler kullanın.

 

Referanslar

http://tfwiki.net/wiki/Decepticon

http://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/

https://en.wikipedia.org/wiki/Petya_(malware)

https://securelist.com/schroedingers-petya/78870/

https://github.com/gentilkiwi/mimikatz

https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

https://msdn.microsoft.com/en-us/library/bb742610.aspx

https://www.theregister.co.uk/2017/03/15/microsoft_massive_patch_tuesday_bundle/

https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/

https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how

https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html

emrecan.lekesiz
Yazar: emrecan.lekesiz