May
14
2017

WannaCry Ransomware Saldırısı İçin Bazı İpuçları

WannaCry için önerilen MS17-010 güvenlik bülteninde SMBv1 için uyarılar var, ancak mutlaka SMBv2 (GEÇİCİ) için de önlem alınmalı . Mümkünse geçici olarak kapatmayı deneyebilirsiniz.

2 gündür bütün topluluklarda ve güvenlik ekipleri arasında konuşulan ama genel itibariyle bende dahil olmak üzere teknik detaya inmeden aksiyon almaya çalıştığımız bir ransomware saldırısı ile karşı karşıyayız. Windows Update patch’i bu işin en uç tarafında bulunuyor, alınması gereken bir çok tedbir var, sadece Windows Update güncellemesi geçerek güvenli hale geldiğimizi söyleyemeyiz.

WannaCry’ın Nasıl Yayıldığını Gösteren Hareketli Dünya Haritası

wannacryanime2

Ben bir güvenlik uzmanı olmadığım için aşağıda sadece bir kaç gündür edindiğim tecrübeleri ve ipuçlarını aktaracağım.

Neler Yapılmalı

  1. WannaCry SMB üzerinden yayıldığı için SMBv1 protokolü kapatılmalı.
  2. 137, 138, 139 ve 445 portları inbound olarak kapatılmalı(internal dahil, özellikle 139 ve 445 trafiğine dikkat!).
  3. File Server erişimleri durdurulmalı(yukardaki portları kapattığınızda gerek kalmayacak, ancak yine de bunu yapmalısınız.)
  4. Hala Windows XP istemcileriniz varsa network erişimlerini durdurun.

1. maddeyi uyguladığınızda MS17-010’da önerilen ve karmaşadan öteye gidemeyen Microsoft güncelleştirmeleri için geçici de olsa çözüm üretmiş oluyorsunuz.

Eğer tüm cihazlarınıza ilgili update’i geçmeniz mümkün değilse ya da Pazartesi kuruma gelecek ve her biri birer tehdit olacak olan cihazlardan endişe ediyorsanız;

Windows Registry veya PowerShell komutları ile SMBv1‘i kapatmak için;

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Value 0 –Force

Windows 8, 8.1, 10 and Windows Server 2012 ve Sonrası

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Confirm:$false

SMBv2 (GEÇİCİ) için;

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB2 -Value 0 –Force

Windows 8, 8.1, 10 and Windows Server 2012 ve Sonrası

Set-SmbServerConfiguration -EnableSMB2Protocol $false -Confirm:$false

  1. Çift dikiş olarak bir Group Policy hazırlayıp VPN üzerinden ya da Pazartesi sabahı kurum network’üne giren cihazlar için ilk logon sırasında komutların çalışmasını sağlamak.
  2. Basit bir rehber hazırlayarak yukardaki registry ayarlarını ya da PowerShell komutlarını şu anda iç network’de bulunmayan tüm kullanıcılara mail atarak uygulamalarını sağlamak.

Son olarak bir configuration management ürünü kullanarak uzaktan Windows Update geçilmesi hem zahmetli hem de şu anda pek mümkün olmayan yöntem, öte yandan hali hazırda tecrübeli sistem yöneticilerinin rutin işlerinden birisi olduğu için ve artık aklımızın ve denetim süreçlerimizin ilk sıralarında olması gereken; backup, disaster recovery gibi konulara değinmiyorum.

Kolay gelsin.

 3,584 total views,  2 views today

4 Comments to "WannaCry Ransomware Saldırısı İçin Bazı İpuçları"

  1. Ransomware wrote:

    Windows Update’leri indiremeyenler için link

    https://mayasoftbilgisistemleri-my.sharepoint.com/personal/iso_mayasoft_com_tr/Documents/Forms/All.aspx?FolderCTID=0x012000139C2D832CD0354FAF3DDE65AED2EC76&id=%2Fpersonal%2Fiso_mayasoft_com_tr%2FDocuments%2FWannaCry_Windows_Update

  2. Yavuz Eren wrote:

    Teşekkürler

    ÖNEMLİ:
    Eğer WannaCry yediyseniz para ödemeden önce, zip file için şifre WNcry@2ol7

    Şifresi değiştirilmemiş sürüm bulaştıysa şu link yardımcı olacaktır.

    https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems

  3. Yavuz Eren wrote:

    Buradan ulaşabildiğim şifreleri paylaşmaya devam edeceğim:

    WNcry@2ol7
    wcry@123

  4. Yavuz Eren wrote:

    WannaCry Ransomware Using Windows SMB Vulnerability
    https://www.youtube.com/watch?v=4MMeSneDBNs

    Demonstration of WannaCry Ransomware Infection (non-tech)
    https://www.youtube.com/watch?v=K8DJCqSPmdI

Leave Your Comment

 
Powered by Wordpress and MySQL. Theme by openark.org