WannaCry Ransomware Saldırısı İçin Bazı İpuçları

14 May, 2017

WannaCry için önerilen MS17-010 güvenlik bülteninde SMBv1 için uyarılar var, ancak mutlaka SMBv2 (GEÇİCİ) için de önlem alınmalı . Mümkünse geçici olarak kapatmayı deneyebilirsiniz.

2 gündür bütün topluluklarda ve güvenlik ekipleri arasında konuşulan ama genel itibariyle bende dahil olmak üzere teknik detaya inmeden aksiyon almaya çalıştığımız bir ransomware saldırısı ile karşı karşıyayız. Windows Update patch’i bu işin en uç tarafında bulunuyor, alınması gereken bir çok tedbir var, sadece Windows Update güncellemesi geçerek güvenli hale geldiğimizi söyleyemeyiz.

WannaCry’ın Nasıl Yayıldığını Gösteren Hareketli Dünya Haritası

wannacryanime2

Ben bir güvenlik uzmanı olmadığım için aşağıda sadece bir kaç gündür edindiğim tecrübeleri ve ipuçlarını aktaracağım.

Neler Yapılmalı

  1. WannaCry SMB üzerinden yayıldığı için SMBv1 protokolü kapatılmalı.
  2. 137, 138, 139 ve 445 portları inbound olarak kapatılmalı(internal dahil, özellikle 139 ve 445 trafiğine dikkat!).
  3. File Server erişimleri durdurulmalı(yukardaki portları kapattığınızda gerek kalmayacak, ancak yine de bunu yapmalısınız.)
  4. Hala Windows XP istemcileriniz varsa network erişimlerini durdurun.

1. maddeyi uyguladığınızda MS17-010’da önerilen ve karmaşadan öteye gidemeyen Microsoft güncelleştirmeleri için geçici de olsa çözüm üretmiş oluyorsunuz.

Eğer tüm cihazlarınıza ilgili update’i geçmeniz mümkün değilse ya da Pazartesi kuruma gelecek ve her biri birer tehdit olacak olan cihazlardan endişe ediyorsanız;

Windows Registry veya PowerShell komutları ile SMBv1‘i kapatmak için;

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB1 -Value 0 –Force

Windows 8, 8.1, 10 and Windows Server 2012 ve Sonrası

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Confirm:$false

SMBv2 (GEÇİCİ) için;

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” SMB2 -Value 0 –Force

Windows 8, 8.1, 10 and Windows Server 2012 ve Sonrası

Set-SmbServerConfiguration -EnableSMB2Protocol $false -Confirm:$false

  1. Çift dikiş olarak bir Group Policy hazırlayıp VPN üzerinden ya da Pazartesi sabahı kurum network’üne giren cihazlar için ilk logon sırasında komutların çalışmasını sağlamak.
  2. Basit bir rehber hazırlayarak yukardaki registry ayarlarını ya da PowerShell komutlarını şu anda iç network’de bulunmayan tüm kullanıcılara mail atarak uygulamalarını sağlamak.

Son olarak bir configuration management ürünü kullanarak uzaktan Windows Update geçilmesi hem zahmetli hem de şu anda pek mümkün olmayan yöntem, öte yandan hali hazırda tecrübeli sistem yöneticilerinin rutin işlerinden birisi olduğu için ve artık aklımızın ve denetim süreçlerimizin ilk sıralarında olması gereken; backup, disaster recovery gibi konulara değinmiyorum.

Kolay gelsin.

940 total views, 34 views today

{ 4 comments… read them below or add one }

Ransomware May 14, 2017 at 18:35
Yavuz Eren May 14, 2017 at 18:57

Teşekkürler

ÖNEMLİ:
Eğer WannaCry yediyseniz para ödemeden önce, zip file için şifre WNcry@2ol7

Şifresi değiştirilmemiş sürüm bulaştıysa şu link yardımcı olacaktır.

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems

Reply

Yavuz Eren May 14, 2017 at 19:00

Buradan ulaşabildiğim şifreleri paylaşmaya devam edeceğim:

WNcry@2ol7
wcry@123

Reply

Yavuz Eren May 14, 2017 at 19:41

WannaCry Ransomware Using Windows SMB Vulnerability
https://www.youtube.com/watch?v=4MMeSneDBNs

Demonstration of WannaCry Ransomware Infection (non-tech)
https://www.youtube.com/watch?v=K8DJCqSPmdI

Reply

Leave a Comment

Previous post: