ODTÜ Teknokent firmalarından biri olan ve siber güvenlik alanında Ar-Ge odaklı çalışmalarıyla bilinen Türk teknoloji şirketi Labris Networks, dünya genelinde yüz binlerce bilgisayarı etkileyen WannaCry fidye yazılımı hakkında bir uyarı yayımladı.

Kritik Güvenlik Açığı: MS17-010

Labris Networks’ün açıklamasına göre, WannaCry fidye yazılımı, Microsoft Windows işletim sisteminde yer alan ve MS17-010 (CVE-2017-0143–148) olarak kodlanan ciddi bir güvenlik açığını hedef alıyor. İlk olarak 12 Mayıs 2017’de tespit edilen zararlı yazılım, enfekte bilgisayarlarda dosyaları şifreleyerek fidye talep ediyor.

Yazılım, yalnızca e-posta yoluyla değil, aynı zamanda SMB protokolünü kullanan sistemler üzerinden de ağ içerisinde hızla yayılabiliyor. Bu özelliği, tehdidin sadece bireysel değil aynı zamanda kurumsal altyapılar için de ciddi bir risk oluşturmasına neden oluyor.

NSA Kaynaklı Açık Shadow Brokers Tarafından Sızdırıldı

Labris’in raporunda yer alan bilgiye göre, kötü amaçlı yazılımın kullandığı açık ilk kez ABD Ulusal Güvenlik Ajansı’nın (NSA) siber cephaneliğinde ETERNALBLUE adıyla keşfedildi. Açık, daha sonra Shadow Brokers adlı hacker grubu tarafından sızdırıldı. Microsoft ise Mart 2017’de bu güvenlik açığını kapatan bir güncelleme yayımlamıştı.

WannaCry Nasıl Çalışıyor?

Zararlı yazılım çalıştırıldığında aşağıdaki adımları izliyor:

  • Killswitch adresini kontrol ederek yayılmayı durdurup durdurmayacağına karar veriyor.

  • Sistem geri yükleme noktaları ve gölge kopyaları siliniyor.

  • Kendini sistemde görünüşte masum dosya isimleri altında kaydediyor (örneğin tasksche.exe, mssecsvc.exe).

  • Diskteki tüm dosyalara erişerek 100’den fazla dosya türünü şifreliyor.

  • Tor ağı üzerinden uzaktaki komuta kontrol merkezine bağlanıyor.

  • Şifrelenen dosyalar hakkında kullanıcıya uyarı vererek fidye talep ediyor.

Labris UTM Cihazları Koruma Sağlıyor

Labris UTM ürünleri, bu tür tehditlere karşı gelişmiş IPS, kötü amaçlı yazılım analizi ve web filtreleme modülleri aracılığıyla koruma sağlıyor. Şirket, BT departmanlarının WannaCry benzeri saldırılara karşı hem kısa hem uzun vadeli önlemleri hayata geçirmesi gerektiğini vurguluyor. İşte dikkat edilmesi gereken öneriler,

Kısa Vadeli Koruma Önerileri

  1. Ağ içinde SMB erişimini devre dışı bırakın (TCP 139, 445).

  2. E-posta filtreleme sistemlerini güncelleyin, hafta sonu gelen mailleri yeniden tarayın.

  3. Antivirüs veritabanlarını güncel tutun, güncel olmayan sistemlerin internet erişimini kısıtlayın.

  4. Windows sistemlerde güncellemeleri tamamlayın ve lisanssız sistemleri devre dışı bırakın.

  5. SMBv1 protokolünü kapatın.

  6. Ağ geçidinde TCP 139, 445 ve UDP 137-138 portlarını engelleyin.

  7. Kullanıcıları kötü niyetli e-postalar hakkında bilgilendirin.

  8. Kritik sistemlerin yedeklerini kontrol edin ve tamamlayın.

  9. Enfekte sistemleri izole edin.

  10. Siber Suç Birimi’ne bildirin.

  11. Zararlı yazılım örneklerini güvenlik kuruluşlarıyla paylaşın.

Orta ve Uzun Vadeli Güvenlik Adımları

  • Kötü amaçlı e-posta filtreleme altyapınızı güçlendirin.

    ASPİLSAN Enerji Stratejik Batarya Çözümlerini Tanıttı
    ASPİLSAN Enerji Stratejik Batarya Çözümlerini Tanıttı
    İçeriği Görüntüle

  • Yama yönetimi ve zafiyet taramalarını düzenli hale getirin.

  • Ağ üzerinden kolay erişilemeyen yedekleme stratejileri oluşturun.

  • Siber güvenlik farkındalık eğitimleri düzenleyin.

  • Olay müdahale (CERT), SOC ve iş sürekliliği politikalarınızı güncelleyin.

  • Ağ segmentasyonu ile enfeksiyonların yayılımını önleyin.

  • Eski ve güncellenmemiş işletim sistemlerinden vazgeçin.

  • Uygun alanlarda Linux tercih edin.

Kaynak: Cansel Yıldız