Çağrı Polat beyin derlediği yazısını paylaşmak isterim. Kendisine ait bloga ulaşmak için burayı tıklayabilirsiniz.
Ukrayna'da başlayan kapsamlı siber saldırıların dünya çapında birçok şirkete yayıldığı bildiriliyor. Fidye yazılım kullanılarak siber saldırılar düzenlendiği bildirilen ülkeler arasında Rusya, ABD, İngiltere, Hollanda, Hindistan ve ve Norveç de var.
Son saldırılardan ekilendiğini açıklayan diğer şirketler arasında ise Rus petrol üreticisi Rosneft ve Danimarkalı taşımacılık şirketi Maersk de bulunuyor. Ayrıca Ukrposhta, Boryspil International Airport in Kiev,Maersk, Kyivenergo, Kiev power company,Radiation monitoring system at Chernobyl,Ukrainian bank Oschadbank,Ukrainian delivery service company Nova Poshta, Spanish global legal firm DLA Piper firmaları da etkinlenen firmalar arasında..
Bilgisayar kullanıcısının yetki vermesinin ardından Petya önce kendini ana önyükleme kaydına yazıyor ardından mavi ekran verip bilgisayarı resetliyor.
Yayılmak için WannaCry tarafından ağa sızmak için kullanılan SMB (EternalBlue) açığını ve ardından ağda yayılmak için PsExec kullanıyor gibi görünüyor. Bu tehlikeli kombinasyon, önceki saldırılar sonucunda çoğu açığın kapatılmış olmasına rağmen salgının hızla küresel olarak yayılmasınına neden oluyor. Ağa sızabilmesi için tek bir yama yüklenmemiş, açıkları mevcut bilgisayar yeterli oluyor. Daha sonra zararlı yazılım, yönetici haklarını alabilir ve diğer bilgisayarlara yayılabilir.
Fig: Execution Process of Petya
Gene saldırı vektörü olarak bildiğimiz MS17-010 SMBv1 zafiyeti kullanılmış ve oltalama(phishing) ile kurbanlar istismar ediliyor:
Alınacak Önlemler:
- Ağınızdaki Windows işletim sistemlerinde MS17-010 yamasının geçildiğinden emin olunuz. (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx )
- Cihazlarınızın ve WAN tarafında eğer açıksa UDP port 137 ve 138, TCP port 139 ve 445'i kapatınız.
- Yedekleme politikanızı yeniden gözden geçirin ve baskın veri çekimlerini planlayınız.
- Kullanıcıların yerel yönetici hesaplarını alarak normal kullanıcı olarak çalıştırtınız.
- Local admin şifrenizi basit ise değiştirin ve her cihazda sabit olmadığından emin olunuz.
- CVE-2017-0199 Ofis RCE yamasını yapınız.(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199)
- Kaynağından emin olmadığınız ve sizle alakası bile olmayan konulardaki e-postaları açmayınız.
- Kullanıcılara konu ile alakalı bilgilendirme mailleri atınız.
- SMBv1 hala yapmadı iseniz disable ediniz.
- GPO kullanarak SMB ve WMI protokollerini bloklayınız.
- cmd /k shutdown -a ile cihazı kapatma özelliğini devre dışı bırakınız.
- appdata ve temp dizinde executable dosya çalıştırtmayı engelleyiniz.
- Order-20062017.doc, myguy.xls, BCA9D6.exe, myguy.xls.hta dosyaları için uyanık olunuz.
- 141.115.108, 165.29.78, 200.16.242 ve 90.139.247 ip blokları ile haberleşen cihazları izole ediniz. Ayrıca 185.165.29.78,84.200.16.242,111.90.139.247,95.141.115.108,95.141.115.108,185.165.29.78,84.200.16.242,111.90.139.247 IP adreslerini de bloklamanızı tavsiye ediyoruz.
Uyarı:
Zararlı yazılım geliştiricisi ödemeleri wowsmithxxxx@posteo.net e-posta hesabı kullanarak bitcoin üzerinden toplamaktadır. Saldırıda kullanılan e-postanın sağlayıcısı Posteo, Petya zararlısını yayan e-posta hesabını kapattığını açıkladı.
Dosyalarınızı geri almak için tüm iletişim yolları kapalı, bu durumdan dolayı fidye ödememenizi tavsiye ediyoruz.
Zararlı yazılım geliştiricisi ödemeleri wowsmithxxxx@posteo.net e-posta hesabı kullanarak bitcoin üzerinden toplamaktadır. Saldırıda kullanılan e-postanın sağlayıcısı Posteo, Petya zararlısını yayan e-posta hesabını kapattığını açıkladı.
Dosyalarınızı geri almak için tüm iletişim yolları kapalı, bu durumdan dolayı fidye ödememenizi tavsiye ediyoruz.
Kaynaklar:
- https://www.cyberbit.com/endpoint-security/petya-ransomware/
- http://www.bbc.com/turkce/amp/haberler-dunya-40416070
- ESET Security Bulletin
- https://twitter.com/TRCert
- https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
- http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
- Netsec Ömer Albayrak E-mail
- ESET Security Bulletin
- https://twitter.com/TRCert
- https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
- http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
- Netsec Ömer Albayrak E-mail
