WannaCry – Ransomware Saldırısı

Uzun süredir ransomware saldırılarında bir azalma vardı. Tıpkı fırtına öncesi sessizliği gibi. Gündeme de bomba gibi düşen WannaCry/Ransomware virüsü hakkında bir çok bilgiyi bu makaleden bulabilirsiniz.

Öncelikle ransomware virüsleri nedir, nasıl çalışır ve neyi amaçlar buna bakmak lazım.

Ransomware virüsleri, bilgisayarınızı veya bilgisayarınızda ki dosyaları AES-256 şifreleme algoritması ile şifreler ve ilgili keyi de saldırıyı gerçekleştiren kişinin sunucusunda saklar. AES-256 şifreleme türü dünya genelinde bir şifreleme algoritmasıdır. Güvenliğinden dolayı ABD’de ki CIA, FBI, Pentagon gibi üst düzey birimlerde kendi verilerini AES-256 şifreleme algoritması ile korur. Buradan da anlaşılacağı gibi “ya oturayım da şifreleri tek tek düşünüp, deneyeyim” diyemezsiniz. Ufak bir bilgi daha verelim, AES şifreleme algoritması, DES şifreleme algoritmasının linear ve differential crypto analiz karşısında zayıf olmasından dolayı geliştirilmiştir. AES şifreleme algoritması giriş, çıkış ve matrisler 128 bit’liktir. AES bu 128 bit’lik veri bloklarını 128, 192 ve 256 bit’lik şifreleme algoritmaları ile şifreler. Anahtar uzunluğunda ki bit farklılıkları AES’in tur döngülerinin sayısını değiştirir.

(Daha detaylı bilgi isterseniz Purdue Üniversitesinin şurada ki makalesini okuyabilirsiniz: https://engineering.purdue.edu/kak/compsec/NewLectures/Lecture8.pdf )

Bu bilgiler ışığında yukarıda ki sorduğumuz üç soruyu şöyle açıklayabiliriz;

Ransomware virüsleri bilgisayarınızda ki verileri şifreleyip, ilgili keyi saldırganın sunucusunda saklar. Sizden de key karşılığında para talep eder.

Ama bugüne kadar ransomware virüsleri genellikle sadece sisteminizde ki dosyaları şifreler iken, WannaCry ransomware saldırısı sisteminizi komple şifreleyerek işletim sisteminizi kullanılmaz hale getiriyor. Saldırı şekli olarak ise Windows’un dosya paylaşım fonksiyonu olan SMB1’in açığını kullanıyor. Bu yüzden kullanmıyorsanız Windows’unuzun SMB1 fonksiyonlarını devre dışı bırakmanız gerekmektedir. Ayrıca FW’larda External-Internal rule’larında SMB portlarını (445 ve 139) olabildiğince kapatmanız gerekmektedir.

Microsoft’un Yaması ve Yapabileceğiniz Aksiyonlar

Bunun yanı sıra Microsoft’un yayınladığı MS17-010 Kritik güncelleştirmesini sisteminize geçmeniz gerekmektedir. XP ve 2003’den komple elini ayağını çeken Microsoft, Wanna virüsü için onlara bile yama çıkardı. (Bknz: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx )

Eğer SMB1 portlarınızı kapatmadan önce ilgili portlardan trafiği izlemek istiyorsanız PowerShell ile aşağıda ki komut ile izliyebilirsiniz;

Set-SmbServerConfiguration –AuditSmb1Access $true

Bir günlüğe kaydetmek isterseniz aşağıda ki komutu kullanmanız gerekmektedir;

Get-WinEvent -LogName Microsoft-Windows-SMBServer/Audit

Eğer sisteminizde ki SMB fonksiyonunun konfigürasyonunu görmek istiyorsanız PowerShell’i administrator hakları ile açarak aşağıda ki komutu girmelisiniz;

Get-SmbServerConfiguration

Çıkan result’ta “EnableSMB1Protocol” karşısında “True” değerini görürseniz aşağıda ki komut ile kapatabilirsiniz;

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

SMB1 Protokolünü Komple Kaldırma

SMB 1 protokolünü işletim sisteminizden kaldırmak için Powershell’i yönetici hakları ile açıp;

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Başka bir client/server’a SMB1 protokolü ile bağlanmanızı önlemek için ise;

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Peki WannaCry’ın Türleri Nelerdir?

Endpoint korumaları WannaCry’ı şu şekillerde bulabiliyor;

Troj/Ransom-EMG , Mal/Wanna-A , Troj/Wanna-C , Troj/Wanna-D ,  HPMal/Wanna-A , Troj/Wanna-E , Troj/Wanna-G ,  Troj/Dloadr-EDC , Troj/Agent-AWDS , Troj/Wanna-H , Troj/Wanna-I , Troj/Wanna-J, Troj/Wanna-K , Troj/Ransom-EMJ, RANSOM_WANA.A, RANSOM_WCRY.I gibi isimlerle  tespit edilebiliyor.

Sonuç Olarak

Sonuç olarak sisteminizde ki sunucu ve clientların güncel olmasına dikkat edip, kullanılmıyor ise Firewall ve cihazlarda SMB portunun kapatılması, baştan sona güvenlik politikanızın yeterli olması gerekli. Sisteminizde güncel bir antivirüs, 139 ve 445 portlarınızın kapalı olması bir nebze de olsa sizi koruyacaktır.

Ama tabii ki en zayıf halka olan son kullanıcı bilinçlendirmesi oldukça önemli bir iştir. Tüm ransomware ataklarında temel hedef son kullanıcılardır.Kullanıcıların link ve mail oltalamasına karşı bilinçli olması, güvenlik açıklarınızı oldukça kapatacaktır. Örneğin sıkça karşılaştığımız durumlardan olan, bilinmeyen bir kullanıcıdan gelen mailler ve maillerde ki excel, word veya PDF içerisine yerleştirilmiş olan makro scriptler çalıştırıldığı anda, sizin aldığınız tüm önlemler bir “hiç” kalıyor!

Bir Cevap Yazın