Biznet BilişimBiznet Bilişim

by Emre Can Lekesiz

Bildiğiniz üzere yakın bir zamanda şu ana kadar gördüğümüz en büyük ve dünya çapındaki Ransomware siber saldırısına şahitlik ettik. Bu yazımızda CyberArk kullanan müşterilerimizi, çözümün bu saldırı karşısında nasıl davrandığı hakkında bilgilendirmek istiyoruz.

Wannacry, Wannacryptor ve Wannacrypt adını son zamanlarda sıklıkla duyduğunuza şüphemiz yok.

Hakkında neler biliyoruz bir bakalım: Daha önceki Ransomware’lerden farklı olarak Wannacry içerisindeki solucan ile Ransomware yazılımını hızlı bir şekilde bulunduğu ağa dağıtabiliyor. Bu solucan Microsoft tarafında “eternalblue” olarak bilinen SMB (SMB Remote Code Execution) protokolündeki açığı kullanmakta. Microsoft bu açıkla alakalı olarak Mart ayında bir yama zaten yayınlamıştı ancak ShadowBrokers sızıntısıyla ortaya çıkan bu protokoldeki açık, hackerların zafiyeti sömürmesinde iştahlarını kabartmaktan başka bir işe yaramadı.

Microsoft’un yayınladığı yama SMB’den solucanın dağılmasını engelleyebilirken, malesef ransomware’in bulunduğu bilgisayardaki enfeksiyonu ve dosyaların kriptolanmasını engelleyemiyor.

Güzel haber şu: CyberArk 12 Mayısta geçekleştirilen saldırıdan üç gün sonra yani 15 Mayıs günü resmi bir yazı yayınlayarak dijital kasanızın (Vault) Wannacry’dan etkilenmediğini resmi bir şekilde açıkladı. Vault’un etkilenmemesini her zaman bahsettiğimiz CyberArk’ın patentli 7 katmanlı sıkılıştırmasına (Hardening) borçluyuz. Biznet Bilişim olarak her zaman Hardening’in önemini vurguluyor ve CyberArk müşterilerimizde bu prosedürün eksiksiz bir şekilde uygulandığından emin oluyoruz.

Sıkılaştırmanın adımlarından biri olarak Vault, SMB’yi tamamen kapatmakla kalmayıp SMB paketlerinin veri akışını blokluyor. Bu nedenle de Vault Server firewall’u Microsoft’un MS17-010 yamasına zaten ihtiyaç da duymuyor.

Biznet Bilişim olarak tüm CyberArk müşterilerimizde sıkılaştırmanın uygulandığını teyit edebiliyoruz. Eğer yine de yamayı yüklemek isterseniz MS17-010 yamasının Vault’un çalışmasında bir aksaklığa sebep olmadığını da Bizlab bünyesinde Win2008 R2 ve Win2012 R2 Vault sunucularında yaptığımız testlerde gördük.

 

Bir Diğer Konu

Ransomware saldırılarında eski adıyla Viewfinity yeni adıyla CyberArk Endpoint Privilege Manager (EPM)’ın önemi

EPM’in kullandığı anti-ransomware politikalarının Wannacry’da ne derece etkili olduğunu test ettik. Wannacry lokal admin yetkilerine sahip olmadan da kendisini çalıştırabiliyor. Ancak dosyalarınızı kriptolayabilmesi ve içerisinde gelen solucanla ağınızda dağılabilmesi için Microsoft tarafında bulunan zafiyetle kodunu SYSTEM grubunda çalıştırması gerekiyor.

EPM’in aktif olarak kullanıldığı, lokal admin yetkilerinin kaldırıldığı ve EPM Anti-Ransomware politikalarının uygulandığı bir ortamda Wannacry dosyalarınızı kriptolayamıyor. Halen yüklenebiliyor, ancak zarara yol açamıyor.

Wannacry kriptolama-ve-şantaj konusunda daha önce gördüğümüz Ransomeware’lerden farklı bir teknik kullanmamakta. Tek ve en etkili farkı yukarda bahsettiğimiz içerisinde gelen solucan. Bizi hiç şaşırtmayan yanı da geleneksel anti-virüs yazılımlarının bu Ransomeware’i de yakalamakta yine başarısız ve uçtan-uca-günvelikte yetersiz olduğu gerçeği.

Wannacry hakkında daha fazla bilgi için Biznet Bilişim Blogunda yayınlanan yazımızı da inceleyebilirsiniz:
http://www.biznet.com.tr/wannacry-tum-dunyayi-sarsti/

 

Referanslar:

MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Shadow Brokers
https://en.wikipedia.org/wiki/The_Shadow_Brokers

CyberArk Labs: Breaking Down WannaCry
https://www.cyberark.com/blog/cyberark-labs-breaking-wannacry-ransomware-whats-different/,

emrecan.lekesiz
Yazar: emrecan.lekesiz