Biznet BilişimBiznet Bilişim

By Emre Can Lekesiz

CyberArk Vault Sunucu için MS Güvenlik Yaması

Ürün: CyberArk

Modüller: Vault Server

Versiyon: Vault Sunucu, MS Windows Server 2008 R2 ve Server 2012 R2

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Microsoft sunucularda HTTP.sys hizmetinde ortaya çıkan Windows güvenlik zafiyeti konusunda sizleri bilgilendirmek istiyoruz. Bu açık potansiyel olarak, CyberArk Dijital Kasasının, arka planda kendi modülleri arasında kullandığı servislere ilişkin bilgilerin ortaya çıkmasına neden olabiliyor.

Vault sunucu, kendi modülleri ve servisleriyle iç haberleşmesini HTTP.sys hizmetiyle yönetiyor. Sunucunuzda HTTP.sys hizmetine erişebilen bir saldırgan, bu Microsoft açığınu kullanarak, CyberArk’ın kullandığı belirli iç haberleşme hizmetlerine ilişkin bilgileri ele geçirebilir.   Read more

By Emre Can Lekesiz

CyberArk LDAP Ayarlarını Sıfırlamak

Ürün: CyberArk

Modüller: PVWA, Vault Server

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Bu duyuru, iki ayrı problem çözüm geliştirmek amacıyla hazırlanmıştır:

Nadiren de olsa CyberArk tarafından known-bug olarak tanımlanmış bir hata ile karşılaşabilirsiniz. Daha önceden yapılmadıysa “LDAP Wizard” çalıştırıldığında, CyberArk LDAP entegrasyonu için AD tarafında açılması gereken 3 grup (Admins, Auditors, Users vb.) sihirbazın ikinci adımında karşınıza çıkmayabilir. Bu problemi çözmek için sonraki bölümde önerilen adımları takip edebilirsiniz.   Read more

By Emre Can Lekesiz

CyberArk PVWA Üzerinden Alınan Raporlar Hakkında Önemli Duyuru

Ürün: CyberArk

Modüller: PVWA, PrivateArk Client

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Detaylar:

CyberArk ürününde SIEM/Syslog ürünlerine gönderilen raporlar ürünün audit ve yönetimsel durumlarını adresliyor. Bunun yanı sıra, ürünün adli konuları içeren raporlar üretmenizi sağlayacak kendi raporlama mekanizması mevcut. Söz konusu raporlar çok detaylı bilgiler içerebiliyor ancak bu duyurumuzda, LDAP entegrasyonu yapan kullanıcılar için “User Activity” raporunun oluşturulması ile ilgili bilgilendirme yapacağız.   Read more

By Emre Can Lekesiz

WannaCry Ne ilk Ne de Son, NotPetya ile Tanışın

WannaCry Ne ilk Ne de Son, NotPetya ile Tanışın

 

 

WannaCry para koparmak içindi. Bu kez amaç farklı. Tabiri caizse karşımızda tam bir Decepticon var.

Geçtiğimiz Mayıs ayında ana akım medyanın bile haberlerine giren WannaCry, Windows sistemlerdeki açıkla ortalığı kırıp geçirerek dört-milyar-dolar ve üzeri katastrofik zararlara yol açmışken ardından yeni bir salgın daha geldi.

WannaCry’ın şöhretine gölge düşürecek hışımla, geçtiğimiz hafta yeni bir global siber saldırı NotPetya ile gerçekleştirildi.

 

Yayılma Noktası

27 Haziran tarihinde daha önceki saldırılarda olduğu gibi tespit edilemeyen bir koordinasyonla Ukrayna’nın devlet kurumları ve Ukrayna’daki büyük ölçekteki holdingler birinci dalga saldırıdan nasibini almaya başladı. İşte burada artık hep bahsettiğimiz bir senaryo gerçekleşti, saldırı; zaten çok daha önceden bu kurum ve şirketlerin ağlarına sızmış ve saldırının etkisini en yüksek seviyeye taşıyabilmek için çok daha önceden keşiflerini tamamlamış saldırganlar tarafından gerçekleştirildi.

İddialara göre saldırganlar Ukrayna devlet dairelerinde sıklıkla kullanılan bir yazılımdaki açığı bulduktan sonra yollarına devam ettiler. Bu vergi yazılımı bulunduğu sistemlerde Yönetici (Administrator) ve/veya Etki Alanı Yöneticisi (Domain Administrator) yetkileriyle çalışıyor. Bu vergi yazılımına gönderilen sahte yazılım güncellemesi ile saldırı patlak vermeye başladı.

Saldırının ilk saatinin ardından etkilenen makinelerdeki veriler kriptolandı ve sistemler boot edilemez hale geldi.

 

NotPetya Nasıl Bu Kadar Etkili Olabildi?

Uluslararası yükleme limanlarından, süper marketlere, reklam ajanslarından, hukuk bürolarına kadar kurumları nasıl çalışamaz hale getirdi? Yıkıcı, tıkır-tıkır çalışan ve bilgisayardan bilgisayara bulaşıp ele geçirdiği her sistemi ve veriyi birer hırdavata dönüştüren NotPetya’nın arkasında neler var onlara bakalım.

  • NotPetya, daha önce 2016 yılında karşılaştığımız Petya fidye yazılımının yeni siber silahlarla donatılmış sürümü.
  • Network içerisinde hareket etmek için NotPetya’nın bir çok aracı var. Ayrıca içerisinde modifiye edilmiş bir de Mimikatz var ve bununla, çalışan sistemdeki hafızada bulunan yönetici parolalarını ele geçiriyor. Bu detaylarla beraber PsExec ve WMIC kullanarak yayıldığı bilgisayarları enfeksiyona uğratıyor. Subnet’i tarayarak başka hedef sistemlere ulaşıyor, ele geçirdiği domain controllerlar’da da DHCP servisini kullanarak bilinen sistemleri tanımlıyor.
  • WannaCry tarafından sömürülen, NSA’den çalınmış “eternalblue” olarak bilinen SMB protokolündeki exploiti kullanıyor, evet. Dahası yine aynı kurumdan çalınmış EternalRomance SMB exploitinin modifiyeli versiyonunu, başka sistemlere zararlı kod enjekte etmek için kullanıyor. Bu açıklar Microsoft tarafından yayınlanan yamalar ile 2017 ilk çeyreğinde kapatılmıştı ancak Windows güncellemelerini almayan sistemlerde saldırı başarılı oldu.
  • Hatta bazı söylentilere göre, NotPetya, Microsoft’un Nisan ayında kapattığını söylediği CVE-2017-0199 (Microsoft Office uygulamalarında dökümana zararlı kod gömme)açığını da kullanabiliyor.
  • Bu tarz zararlı yazılımlardan beklendiği gibi tipik bir şekilde NotPetya, bulaştığı sistemde Yönetici haklarını ele geçiriyor ve bu yetkileri ağdaki başka bilgisayarlara el koymak için kaldıraç olarak kullanıyor. Burada gerçek şu ki yazılımın başarılı olmasının en büyük nedeni sayısız kurum ve kuruluşun düz bir network yapısı kullanıyor olması. Bunun da anlamı, bir son kullanıcıdaki Yönetici, diğer bilgisayarları da kontrol edebiliyor ya da diğer bilgisayarların hafızasında bulunan Etki Alanı Yöneticisi kimliklerini çekebiliyor, Windows Aktif Dizin yapısını ve buna bağlı bilgisayarları tamamen ele geçirebiliyor.
  • Yönetici yetkilerini ele geçirmenin bir yolu NSA exploitlerini kullanmak. İkinci metod ise kullanıcıyı ağdaki bir yöneticiden geliyormuş gibi gösterilen e-postanın eklentisindeki zararlı yazılıma yönlendirmek. NotPetya ile karşılaştığımız yeni metod ise Ukrayna ve Doğu Avrupa bloğunda yoğun olarak kullanılan MeDoc vergi yazılımı gibi yönetici yetkileriyle çalışan uygulamaya, zararlı yazılımı içeren sahte güncelleme göndermek. Yönetici yetkileri de zararlı yazılımın, ağdaki bilgisayarlarda en üst ayrıcalıkla çalıştırılması için fazlasıyla yeterli oluyor.
  • NotPetya karşılaştığımız diğer zararlı yazılımlardan farklı olarak, yetkilerini ağ içerisinde yükseltmekle kalmayıp, bu yetkileri aynı zamanda MBR partisyonunun yeniden yazmakla kullanabiliyor. Sonuç, makinayı her başlattığınızda Windows yerine karşınıza NotPetya çıkıyor. Bu noktada geleneksel anti-virüs yazılımınıza ve endpoint koruma uygulamalarınıza güle güle diyorsunuz. Yazılım aynı zamanda NTFS dosya sistemini, içerisinde bulduğu her veriyi ve diski AES-128 standardında kriptolayabiliyor.
  • NotPetya’ya fidye yazılımı diyemiyoruz çünkü kriptolananan verilerinizi çözecek anahtarı almanız mümkün değil. Birincisi kriptoyu çözecek anahtarı nasıl alabileceğiniz konusunda size bilgi verilmiyor, ikincisi de saldırganlarla kontak kurabileceğiniz kanallar yetkililer tarafından kapatılmış durumda.

 

NotPetya vb. yazılımlardan Korunmak için Ne Gibi Önlemler Alabilirsiniz?

  • SMB exploitlerinden kurtulmak için Microsoft’un en güncel yamalarını almakla kalmayıp, SMBv1 protokolünü tamamen devre dışı bırakın. 137, 138, 139 ve 445 portlarının Internet erişimi olmadığına emin olun. Aynı zamanda kurumunuzdaki yöneticilerin bu portlar üzerindeki yetkilerini yeniden gözden geçirin.
  • Hangi Windows versiyonlarının tam olarak etkilendiği bilinmese de Windows 10 Credential Guard’ın NotPetya’nın hafızadan parola çalma yeteneğini geri püskürttüğünü biliyoruz. Windows 10’a geçmediyseniz, risk altındasınız.
  • NotPetya, WannaCry gibi internet üzerinden yayılma amacında değil, iç ağınızda olabildiğince hızlı bir şekilde yayılabilme ve saldırısını 1 saat içinde yapabilmenin peşinde. Bu kapsamda C:\Windows\perfc.dat dosyasını salt okunur (read only) yapmanız NotPetya’nın dosya kriptolama algoritmasını sekteye uğratabiliyor ancak ağınızda yayılmasını engelleyemiyor.
  • Klasik ama bir gerçek, verilerinizi düzenli olarak yedekleyin ve bağımsız bir ortamda saklayın.
  • Lokal Yönetici haklarını takip edebileceğiniz ve uygulama kontrolünü yapabileceğiniz çözümler kullanın.

 

Referanslar

http://tfwiki.net/wiki/Decepticon

http://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/

https://en.wikipedia.org/wiki/Petya_(malware)

https://securelist.com/schroedingers-petya/78870/

https://github.com/gentilkiwi/mimikatz

https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

https://msdn.microsoft.com/en-us/library/bb742610.aspx

https://www.theregister.co.uk/2017/03/15/microsoft_massive_patch_tuesday_bundle/

https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/

https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how

https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html

By Emre Can Lekesiz

Yetkili Hesap Yönetimi Çözümü CyberArk vs Wannacry

Bildiğiniz üzere yakın bir zamanda şu ana kadar gördüğümüz en büyük ve dünya çapındaki Ransomware siber saldırısına şahitlik ettik. Bu yazımızda CyberArk kullanan müşterilerimizi, çözümün bu saldırı karşısında nasıl davrandığı hakkında bilgilendirmek istiyoruz.

Wannacry, Wannacryptor ve Wannacrypt adını son zamanlarda sıklıkla duyduğunuza şüphemiz yok.

Hakkında neler biliyoruz bir bakalım: Daha önceki Ransomware’lerden farklı olarak Wannacry içerisindeki solucan ile Ransomware yazılımını hızlı bir şekilde bulunduğu ağa dağıtabiliyor. Bu solucan Microsoft tarafında “eternalblue” olarak bilinen SMB (SMB Remote Code Execution) protokolündeki açığı kullanmakta. Microsoft bu açıkla alakalı olarak Mart ayında bir yama zaten yayınlamıştı ancak ShadowBrokers sızıntısıyla ortaya çıkan bu protokoldeki açık, hackerların zafiyeti sömürmesinde iştahlarını kabartmaktan başka bir işe yaramadı.

Microsoft’un yayınladığı yama SMB’den solucanın dağılmasını engelleyebilirken, malesef ransomware’in bulunduğu bilgisayardaki enfeksiyonu ve dosyaların kriptolanmasını engelleyemiyor.

Güzel haber şu: CyberArk 12 Mayısta geçekleştirilen saldırıdan üç gün sonra yani 15 Mayıs günü resmi bir yazı yayınlayarak dijital kasanızın (Vault) Wannacry’dan etkilenmediğini resmi bir şekilde açıkladı. Vault’un etkilenmemesini her zaman bahsettiğimiz CyberArk’ın patentli 7 katmanlı sıkılıştırmasına (Hardening) borçluyuz. Biznet Bilişim olarak her zaman Hardening’in önemini vurguluyor ve CyberArk müşterilerimizde bu prosedürün eksiksiz bir şekilde uygulandığından emin oluyoruz.

Sıkılaştırmanın adımlarından biri olarak Vault, SMB’yi tamamen kapatmakla kalmayıp SMB paketlerinin veri akışını blokluyor. Bu nedenle de Vault Server firewall’u Microsoft’un MS17-010 yamasına zaten ihtiyaç da duymuyor.

Biznet Bilişim olarak tüm CyberArk müşterilerimizde sıkılaştırmanın uygulandığını teyit edebiliyoruz. Eğer yine de yamayı yüklemek isterseniz MS17-010 yamasının Vault’un çalışmasında bir aksaklığa sebep olmadığını da Bizlab bünyesinde Win2008 R2 ve Win2012 R2 Vault sunucularında yaptığımız testlerde gördük.

 

Bir Diğer Konu

Ransomware saldırılarında eski adıyla Viewfinity yeni adıyla CyberArk Endpoint Privilege Manager (EPM)’ın önemi

EPM’in kullandığı anti-ransomware politikalarının Wannacry’da ne derece etkili olduğunu test ettik. Wannacry lokal admin yetkilerine sahip olmadan da kendisini çalıştırabiliyor. Ancak dosyalarınızı kriptolayabilmesi ve içerisinde gelen solucanla ağınızda dağılabilmesi için Microsoft tarafında bulunan zafiyetle kodunu SYSTEM grubunda çalıştırması gerekiyor.

EPM’in aktif olarak kullanıldığı, lokal admin yetkilerinin kaldırıldığı ve EPM Anti-Ransomware politikalarının uygulandığı bir ortamda Wannacry dosyalarınızı kriptolayamıyor. Halen yüklenebiliyor, ancak zarara yol açamıyor.

Wannacry kriptolama-ve-şantaj konusunda daha önce gördüğümüz Ransomeware’lerden farklı bir teknik kullanmamakta. Tek ve en etkili farkı yukarda bahsettiğimiz içerisinde gelen solucan. Bizi hiç şaşırtmayan yanı da geleneksel anti-virüs yazılımlarının bu Ransomeware’i de yakalamakta yine başarısız ve uçtan-uca-günvelikte yetersiz olduğu gerçeği.

Wannacry hakkında daha fazla bilgi için Biznet Bilişim Blogunda yayınlanan yazımızı da inceleyebilirsiniz:
http://www.biznet.com.tr/wannacry-tum-dunyayi-sarsti/

 

Referanslar:

MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Shadow Brokers
https://en.wikipedia.org/wiki/The_Shadow_Brokers

CyberArk Labs: Breaking Down WannaCry
https://www.cyberark.com/blog/cyberark-labs-breaking-wannacry-ransomware-whats-different/,

1 2