74 Ülkeyi Hedef Alan WannaCry Fidye Yazılım Saldırısı Hakkında Uzman Görüşü
12 Mayıs 2017 tarihinde, içinde Türkiye’nin de bulunduğu özellikle Avrupa bölgesini hedef alan, Ransomware nitelikli büyük çaplı bir siber saldırı gerçekleşmiştir. WannaCry, WanaCryptor 2.0, WCry veya WCrypt isimleriyle adlandırılan Ransomware diğer Ransomware’lerden farklı olarak Microsft tarafından yakın zaman önce yaması yayınlanmış “CVE-2017-0143 to 0148 kodlu Windows SMB Remote Code Execution Vulnerability” açıklığını kullanarak yatayda kendi kendine yayılabilme özelliğine sahip olması nedeniyle Çok Yüksek Riskli Tehdit kategorisinde yer almaktadır.
WannaCry zararlısı, mevcut tüm Windows işletim sistemlerini hedef aldığı için, Windows işletim sistemi kullanan Sunucu, Bilgisayar, ATM cihazı, POS cihazı, Kiosk benzeri sistemler tehdit altındadır.
Tehdit çok yüksek riskli olmasına rağmen, enterprise müşterilerimizden başarılı bir atak henüz raporlanmamıştır. Zararlının yatay yayılım için kullandığı açıklık Microsoft tarafından 14 Mart 2017’de yayımlanan MS-17-010 yaması ile kapatılabilmektedir.
ALINMASI GEREKEN GÜVENLİK TEDBİRLERİ :
Zararlıya karşı 5 temel güvenlik kontrolü kapsamında aşağıdaki tedbirlerin uygulanmasını tavsiye ediyoruz.
Güvenlik Yamalarının Uygulanması :
- Microsoft tarafından yayımlanan MS-17-010 yamasının çok acil tüm sunucu ve bilgisayarlarda uygulanması ve uygulandığının doğrulanması.
Antimalware Çözümlerinin Kullanılması :
- Endpoint ve Gateway seviyesinde çalışan tüm Antimalware çözümlerinin etkin kullanılması ve en güncel Virüs imza seti ile kullanıldığının doğrulanması.
- Symantec Enpoint Protection (SEP)’ın v14 sürümü, tüm modülleri ile birlikte ve güncel kullanıldığında en etkin tedbiri sunmaktadır.
Erişim Denetimi :
- Windows bilgisayar ve sunucuların, dosya paylaşım (SMB) servisine erişimlerin, Network Firewall, IPS, Hostbased IPS gibi çözümlerle kontrol altına alınması ve erişimlerin sınırlandırılması
- Network seviyesinde Palo Alto NGFW ile yapılacak network segmentasyonu ve IPS koruması, Web gateway seviyesinde Blue Coat çözümlerinin 0-day zararlı filtreleme yetenekleri, Endpoint seviyesinde SEP 14’ün IPS ve FW özellikleri ile Symantec Data Center Security (SDCS) çözümlerinin erişim denetim yetenekleri etkin çözüm sunmaktadır.
Sürekli Zafiyet Taraması ve Yönetimi :
- Sözkonusu açıklığın mevcut olduğu sunucu ve bilgisayarların ağ taraması ile tespit edilerek yukarıdaki güvenlik tedbirlerinin uygulanması.
- Tenable Security Center çözümünün sürekli zafiyet analizi ve raporlama yetenekleri bu kapsamda etkin çözüm sunmaktadır.
Yedekleme :
- Hassas veri barındıran sunucu ve bilgisayarlardaki verilerin yedeklenerek olası başarılı bir saldırıya karşı geri dönüş alternatifinin hazır tutulması.
- Veritas backup çözümleri ile bu kontrol en etkin şekilde uygulanabilmektedir.
Üreticilerimizden Symantec’in söz konusu zararlı hakkındaki durumu :
- SEP'in v14 sürümü, zararlıyı ilk yayılmaya başladığı andan itibaren "Advanced Machine Learning teknolojisi” tespit edebilmektedir. SEP 14 kullanan bilgisayarlarda ilave tedbir almaya gerek duyulmamaktadır.
- SEP dahil tüm Symantec malware protection ürünleri, 13 Mayıs 2017 tarihi itibariyle zararlıyı imzası ile tanımakta, Symantec tarafından Ransomware.WannaCry olarak tespit edilerek temizlenmektedir.
- SEP 14 sürümü, zararlıyı Advanced Machine Learning teknolojisi ile ilk yayılmaya başladığı andan itibaren tespit edebilmektedir.
- SEP’te, söz konusu MS açıklığına yapılabilecek benzer saldırılara karşı IPS imzaları mevcuttur. Farklı bir formda aynı açıklığı hedef alan saldırılar da SEP’in IPS modülü ile önlenebilmektedir.
WannaCry Fidye Yazılım Saldırısı Hakkında Uzman Görüşü:
Uzun zamandır adım adım yaklaşan böyle bir saldırı bekleniyordu. Saldırının tüm farklı adımlarını daha önce başka saldırıların parçası olarak görmüştük ama bu şekilde tüm adımların birleştirildiği bir saldırı daha önce görülmemişti.
Saldırının dünya çapında bu kadar hızlı yayılmasında kullanılan yöntemi de çok ilginç buluyoruz. Saldırganlar kısa bir süre önce Amerikan Ulusal Güvenlik Ajansı (NSA)'den sızdırılan bir saldırı tekniğinden faydalanıyorlar. NSA, tekniği bir süre önce keşfetmiş ve gizli sızma/izleme operasyonlarında da kullanmış.
Bu türden saldırılar yalnızca fidye için kullanıldığında bile manşetlere çıkıyor ancak devletlerin birbirine üstünlük kurmaya çalıştığı daha sessiz ve derinden işleyen türevlerini görmeyi de sürdüreceğiz.
Kuruluşlar hep yeni güvenlik teknolojileri almak ve kullanmak yerine 5 temel güvenlik kontrolünü (sürekli yamalama/güncelleme, kişisel güvenlik duvarı kullanma, antivirüs kullanma, güvenlik açıklarını sürekli tarama ve veri yedeklemesi) etkin uygulamaya başlarsa bu tür saldırılardan çok daha az etkileneceğiz.
Gökhan Say
Innovera Genel Müdürü