Məqalələr
WannaCry adlı zərərli proqram Microsoft Windows əməliyyat sistemlərinin fayl paylaşım sistemindəki MS17-010 (CVE-2017-0143,144,145,146,147,148) nömrəli bir zəiflikdən istifadə edir. İlkin yayılması e-poçt vasitəsilə olsa da, yalnız planlayıcının e-poçtları ilə şaquli deyil, yoluxduğu sistemdən digərinə SMB ilə keçərək üfüqi şəkildə də yayıla bilir.
12.05.2017 Cümə günü yayılmağa başlayan və bütün həftə sonu kibertəhlükəsizlik tədqiqatçılarına növbə etdirən zərərli proqram kompüterdəki faylları şifrələyərək fidyə tələb edir.
Zərərli proqramın istifadə etdiyi zəifliyin ilk dəfə NSA-nın kiber silah arxivində Equation Group ETERNALBLUE olaraq aşkarlandığı və Shadow Brokers adlı qrup tərəfindən ifşa edildiyi bildirilir. Microsoft bu zəifliklə bağlı 2017-ci ilin mart ayında bir yeniləmə paketi yayımlamışdır.
Zərərli proqram işə düşdükdə aşağıdakı mərhələləri izləyir:
– Yayılmanı dayandıran killswitch ünvanını yoxlayır. Əgər killswitch planlayıcı tərəfindən aktiv edilməyibsə, davam edir.
– Shadowcopy və bərpa nöqtələrini silir.
– tasksche.exe və mssecsvc.exe kimi günahsız görünə biləcək adlarla özünü qeyd edir.
– Diskləri araşdırır və bütün fayllara tam giriş icazəsi alır.
– 100-dən çox fayl növünü şifrələyir.
– Tor anonim internet şəbəkəsini işə salır və mərkəzi (C&C) ilə əlaqə qurur.
– Ekranda faylların şifrələndiyini bildirən xəbərdarlıqlar göstərərək fidyə tələb edir.
Zərərli proqramla bağlı Labris UTM məhsullarında anti-malware, IPS və veb süzgəc modullarında zəruri tədbirlər görülmüşdür.
İT bölmələrində zərərli proqrama qarşı görülə biləcək digər tədbirləri aşağıdakı sırada tövsiyə edirik.
Qısa Müddətli Tədbirlər:
1- Mümkündürsə, daxili şəbəkə kompüterləri arasında SMB girişlərini (TCP 139,445) bağlayın. Bu məqsədlə backbone və switch-lərdəki ACL-lərdən istifadə oluna bilər. Bu konfiqurasiyanın daxili şəbəkədə şəbəkə paylaşımı üzərindən fayl paylaşımını məhdudlaşdıracağını unutmayın.
2- E-poçt və veb süzgəc sistemlərinizin yenilənmiş qoruma verilənlər bazasına sahib olduğuna əmin olun. Mümkündürsə, həftə sonu gəlmiş e-poçtları yenidən tarayın.
3- Antivirus və uç nöqtə təhlükəsizlik sistemlərinizin güncəl olduğundan əmin olun. Virus verilənlər bazası yenilənməmiş kompüterlərin internet çıxışını mümkün olduqca siyasət ilə məhdudlaşdırın.
4- Bütün Windows əməliyyat sistemlərinizdə son yeniləmələrin quraşdırıldığından əmin olun. Yeniləmə ala bilməyən lisenziyasız Windows sistemlərinin bağlantılarını kəsin və istifadə etməyin.
Əməliyyat sistemlərinə görə MS17-010 yeniləmələrinə bu ünvandan baxa bilərsiniz: http://imgur.com/gallery/Hl9Kt
Əlaqədar Microsoft səhifəsinin linki: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
5- Kompüterlərinizdə SMBv1-i deaktiv edin.
“https://technet.microsoft.com/en-us/library/security/ms17-010.aspx” ünvanında “Disable SMBv1” bölməsini izləyə bilərsiniz.
Daha ətraflı məlumat üçün bu ünvana baxa bilərsiniz:
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
6- Şəbəkə keçidində daxilə və xaricə TCP 139, 445 və UDP 137-138 portlarını bağlayın. Bu portların açıq qalması düzgün təhlükəsizlik təcrübəsi deyil. Bu kimi vəziyyətlər SOC Təhlükəsizlik Əməliyyat Mərkəzi tərəfindən tətbiq ediləcək sərtləşdirmə xidmətləri ilə qarşısı alına bilər.
7- Son istifadəçilərə zərərli e-poçtların yayılması barədə məlumat verin və onlardan gözlənilməz mesajları açmamalarını istəyin.
8- Yedəklərinizi yoxlayın. Əhəmiyyətli sistemlər üçün çatışmayan yedəkləri tamamlayın.
9- Şəbəkə keçid təhlükəsizlik sistemləriniz və ya mərkəzi antivirus idarəetmə sistemləriniz tərəfindən infeksiya aşkarlanan sistemləri şəbəkədən ayırın.
10- Zərərli proqramla yoluxmuş sistemlər barədə EGM Kiber Cinayətlərlə Mübarizə bölməsini məlumatlandırın və onların istiqamətlərini izləyin.
11- Əgər zərərli proqram nümunəsi varsa, onunla security@labrisnetworks.com, ihbar@usom.gov.tr və virustotal.com vasitəsilə paylaşın.
Orta və Uzun Müddətli Tədbirlər:
12- Zərərli e-poçtlara qarşı müdafiə infrastrukturunuzu gücləndirin.
13- Yeniləmə siyasətlərini yenidən nəzərdən keçirin. Bu zəiflik üçün yeniləmə 2 ay əvvəl buraxılmışdır.
14- Zəiflik analizi alətləri ilə şəbəkənizi mütəmadi olaraq yoxlayın ki, heç bir sistemin yenilənməmiş açıqla fəaliyyət göstərmədiyinə əmin olun.
15- Yedəkləmə siyasətinizi yoxlayın. Yedəklərin şəbəkədə asanlıqla əlçatan olmadığından əmin olun. Gələcək fidyə hücumlarında yedəklərin də şifrələnməsi gözlənilir. Baxın:
Labris SOC 2017 Kibertəhlükəsizlik Hesabatı
16- İstifadəçilərinizin Kibertəhlükəsizlik Maarifləndirməsini artırın. Baxın:
GuvenliWeb
17- Hadisəyə müdaxilə komandalarınızı (CERT), Təhlükəsizlik Əməliyyat Mərkəzini (SOC) və Biznes Davamlılığı siyasətlərinizi nəzərdən keçirin. Hadisədən sonra analiz aparın: “Nələri yaxşı etdik, nələri pis etdik?” – Yaxşılar gücləndirilməli, pis olanlar aradan qaldırılmalıdır.
18- Şəbəkənizdə seqmentasiya planlayın ki, infeksiya daha kiçik sahələrlə məhdudlaşdırılsın.
19- Köhnəlmiş və yenilənməmiş əməliyyat sistemlərindən istifadə etməyin.
20- Zəruri hallarda Linux istifadəsini nəzərdən keçirin.
Əlavə əlaqəli keçidlər:
https://www.usom.gov.tr/tehdit/209.html
https://www.us-cert.gov/ncas/alerts/TA17-132A
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://www.engadget.com/2017/04/15/microsoft-says-it-already-patched-several-shadow-brokers-nsa-l/
RECENT Məqalələr
