WannaCry isimli zararlı yazılım Microsoft Windows işletim sistemlerinin dosya paylaşım sistemindeki MS17-010 (CVE-2017-0143,144,145,146,147,148) numaralı bir zaafiyeti kullanıyor. İlk yayılımı eposta ile olsa da kendini sadece planlayıcının epostaları ile dikeyde değil, bulaştığı sistemden diğerine SMB ile atlayarak yatayda da yayabiliyor.

12.05.2017 Cuma günü yayılıma başlayan ve tüm hafta sonunda siber güvenlik araştırmacılarına mesai yaptıran zararlı yazılım bilgisayardaki dosyaları şifreleyerek fidye talep ediyor.

Zararlının kullandığı açığın ilk olarak NSA siber silah arşivlerinde Equation Group ETERNALBLUE olarak bulunduğu ve Shadow Brokers isimli grup tarafından ifşa edilen açık olduğu belirtilmektedir. Mart 2017’de Microsoft tarafından kullanılan açık ile ilgili bir güncelleme paketi yayınlanmıştır.

 

Zararlı yazılım çalıştığında şu aşamaları izliyor:

– Yayılmayı durduran bir killswitch adresini kontrol ediyor. Killswitch planlayıcı tarafından basılmamışsa devam ediyor.

– Shadowcopy ve kurtarma noktalarını siliyor.

– tasksche.exe ve mssecsvc.exe gibi kolayca masum zannedilebilecek isimlerle kendini kaydediyor.

– Diskleri araştırıyor ve tüm dosyalara tam erişim yetkisi alıyor.

– 100’ün üzerinde dosya tipini şifreliyor.

– Tor anonim internet ağını çalıştırıyor ve merkezi (C&C) ile bağlantı kuruyor.

– Ekranda dosyaların şifrelendiği ile ilgili uyarıları göstererek fidye istiyor.

 

Zararlı yazılım ile ilgili Labris UTM ürünlerinde anti-malware, IPS ve web filtreleme modüllerinde gerekli önlemler alınmıştır.

Bilgi işlem birimlerinde zararlı yazılım karşısında alınabilecek diğer önlemleri aşağıdaki sıra ile öneriyoruz.

 

Kısa Vade Önlemler:

1- Mümkünse iç ağ bilgisayarları arasındaki SMB erişimlerini (TCP 139,445) kapatın. Bu amaçla omurga ve anahtarlayıcılardaki ACL’lerin kullanımı mümkün olabilir. Bu yapılandırmanın iç ağda ağ paylaşımları üzerinden dosya paylaşımlarını engelleyeceğini unutmayın.

2- Eposta ve web filtreleme sistemlerinizin güncel koruma veri tabanlarına sahip olduğundan emin olun. Mümkünse hafta sonu gelmiş epostaları tekrar taratın.

3- Antivirüs ve uç nokta güvenlik sistemlerinizin güncel olduğundan emin olun. Virüs veri tabanları güncel olmayan bilgisayarların internet erişimlerini mümkünse politika ile sınırlayın.

4- Windows işletim sistemlerinizin tamamında en son güncellemelerin yüklendiğinden emin olun. Güncelleme alamayan lisanssız Windows işletim sistemlerinin bağlantılarını kesin ve kullanmayın.

Spesifik olarak işletim sistemlerine göre MS17-010 güncellemeleri şu adreste bulunabilir: “http://imgur.com/gallery/Hl9Kt”
İlgili Microsoft sayfası linki: “https://technet.microsoft.com/en-us/library/security/ms17-010.aspx”

5- Bilgisayarlarınızda SMBv1’i kapatın.

“https://technet.microsoft.com/en-us/library/security/ms17-010.aspx” adresinde “Disable SMBv1” bölümünü takip edebilirsiniz.
Daha detaylı bilgi ise “https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012” adresinde bulunabilir.

6- Ağ geçidinde, dışarıdan içeri, içeriden dışarı TCP 139, 445 ve UDP 137-138’i kapatın. Bu portların hali hazırda açık olması doğru bir pratik olmayıp, benzer durumların oluşması bir SOC Güvenlik Operasyon Merkezi tarafından verilecek sıkılaştırma hizmeti ile engellenebilir.

7- Son kullanıcılarınıza zararlı eposta yayılımını haber verin ve beklenmedik epostaları açmamalarını talep edin.

8- Yedeklerinizi kontrol edin. Kritik sistemlerde eksik yedekleri tamamlayın.

9- Ağ Geçidi güvenlik sistemlerinizin veya merkezi antivirüs yönetim sistemlerinizin kirli uyarısı verdiği sistemleri ağdan kaldırın.

10- Zararlı bulaşan sistemlerinizle ilgili EGM Siber Suçlarla Mücadele birimlerini süreç içinde bilgilendirin, yönlendirmelerini alın.

11- Elinizde zararlı örneği var ise “[email protected]”, “[email protected]” ve “virustotal.com” ile paylaşın.

 

Orta – Uzun Vade Önlemler

12- Zararlı eposta koruma altyapınızı güçlendirin.

13- Güncelleme politikalarınızı kontrol edin. Bu açıkla ilgili güncelleme 2 ay önce yayınlanmıştı.

14- Zayıflık analiz sistemleri ile ağınızı düzenli tarayarak 2 ay önce güncellenme gelmiş bir açığa karşı zafiyetin hiçbir bilgisayarda kalmamasını sağlayın.

15- Yedekleme politikalarınızı kontrol edin. Yedeklerinizin ağda kolayca erişilebilir olmamasından emin olun. Gelecek fidye salgınlarında yedeklerin de şifrelenmesi bekleniyor. Bkz: Labris SOC 2017 Siber Güvenlik Raporu

16- Bilgisayar kullanıcılarınızın Siber Güvenlik Farkındalığını güçlendirin. Bkz: GüvenliWeb

17- Olaylara müdahale politika ve ekiplerini (CERT), Güvenlik Operasyon Merkezi’ni (SOC), İş Sürekliliği Politikalarınızı gözden geçirin. Olay sonrası analizi yapın: “Neyi iyi yaptık, Neyi kötü yaptık?“. İyiler daha iyi yapılmalı, kötüler yapılmamalıdır.

18- Ağınızda segmentasyon planlayın ve yayılımları daha küçük bölgelerde tecrit edin.

19- Eski ve güncellenmeyen işletim sistemleri kullanmayın.

20- Linux kullanmayı tekrar değerlendirin.

 

Yayılımla ilgili bazı linkler:
https://www.usom.gov.tr/tehdit/209.html
https://www.us-cert.gov/ncas/alerts/TA17-132A
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://www.engadget.com/2017/04/15/microsoft-says-it-already-patched-several-shadow-brokers-nsa-l/