Petya petrWrap Goldeneye NonPetya NotPetya Ransomware Önlemleri

by Çağrı POLAT - Haziran 28, 2017


Ukrayna'da başlayan kapsamlı siber saldırıların dünya çapında birçok şirkete yayıldığı bildiriliyor. Fidye yazılım kullanılarak siber saldırılar düzenlendiği bildirilen ülkeler arasında Rusya, ABD, İngiltere, Hollanda, Hindistan ve ve Norveç de var.

Son saldırılardan ekilendiğini açıklayan diğer şirketler arasında ise Rus petrol üreticisi Rosneft ve Danimarkalı taşımacılık şirketi Maersk de bulunuyor. Ayrıca Ukrposhta, Boryspil International Airport in Kiev,Maersk, Kyivenergo, Kiev power company,Radiation monitoring system at Chernobyl,Ukrainian bank Oschadbank,Ukrainian delivery service company Nova Poshta, Spanish global legal firm DLA Piper firmaları da etkinlenen firmalar arasında..

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c: ile windows olay günlüklerini temizliyor.

Petya, şifreleme ve yayılım aşamalarını tamamladıktan sonra MBR'nin (Ana Önyükleme Kaydı) üzerine yazmakta ve makinenin zamanlanmış bir görevle yeniden başlatılmasına neden olmaktadır.

 schtasks.exe /TR "%WINDIR%\system32\shutdown.exe /r /f" /ST 07:45

Yayılmak için WannaCry tarafından ağa sızmak için kullanılan SMB (EternalBlue) açığını ve ardından ağda yayılmak için PsExec kullanıyor gibi görünüyor. Bu tehlikeli kombinasyon, önceki saldırılar sonucunda çoğu açığın kapatılmış olmasına rağmen salgının hızla küresel olarak yayılmasınına neden oluyor. Ağa sızabilmesi için tek bir yama yüklenmemiş, açıkları mevcut bilgisayar yeterli oluyor. Daha sonra zararlı yazılım, yönetici haklarını alabilir ve diğer bilgisayarlara yayılabilir.

Fig: Execution Process of Petya


Gene saldırı vektörü olarak bildiğimiz  MS17-010 SMBv1 zafiyeti kullanılmış ve oltalama(phishing) ile kurbanlar istismar ediliyor:

Alınacak Önlemler:

  1. Ağınızdaki Windows işletim sistemlerinde MS17-010 yamasının geçildiğinden emin olunuz. (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ) 
  2. Cihazlarınızın ve WAN tarafında eğer açıksa UDP port 137 ve 138, TCP port 139 ve 445'i kapatınız.
  3. Yedekleme politikanızı yeniden gözden geçirin ve baskın veri çekimlerini planlayınız.
  4. Kullanıcıların yerel yönetici hesaplarını alarak normal kullanıcı olarak çalıştırtınız.
  5. Tüm makinalarda UAC aktif ediniz.
  6. Local admin şifrenizi basit ise değiştirin ve her cihazda sabit olmadığından emin olunuz.
  7. CVE-2017-0199 Ofis RCE yamasını yapınız.(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199)
  8. Kaynağından emin olmadığınız ve sizle alakası bile olmayan konulardaki e-postaları açmayınız, makro içeren mailleri direk siliniz.
  9. Kullanıcılara konu ile alakalı bilgilendirme mailleri atınız.
  10. SMBv1 hala yapmadı iseniz disable ediniz.
  11. GPO kullanarak SMB ve WMI protokollerini bloklayınız.
  12. PsExec kullanımını cihazlarda bloklayınız.
  13. cmd /k shutdown.exe -a ile cihazı kapatma özelliğini devre dışı bırakınız.
  14. appdata ve temp dizinde executable dosya çalıştırtmayı engelleyiniz.
  15. Order-20062017.doc, myguy.xls, BCA9D6.exe, myguy.xls.hta dosyaları için uyanık olunuz.
  16. 141.115.108, 165.29.78, 200.16.242 ve 90.139.247 ip blokları ile haberleşen cihazları izole ediniz. Ayrıca 185.165.29.78,84.200.16.242,111.90.139.247,95.141.115.108,95.141.115.108,185.165.29.78,84.200.16.242,111.90.139.247, 185.165.29[.]78 IP adreslerini de bloklamanızı tavsiye ediyoruz.
  17. SIEM tarafında ilgili kuralları aktif ediniz.
Uyarı:

Zararlı yazılım geliştiricisi ödemeleri wowsmithxxxx@posteo.net  e-posta hesabı kullanarak bitcoin üzerinden toplamaktadır. Saldırıda kullanılan e-postanın sağlayıcısı Posteo, Petya zararlısını yayan e-posta hesabını kapattığını açıkladı.

Dosyalarınızı geri almak için tüm iletişim yolları kapalı, bu durumdan dolayı fidye ödememenizi tavsiye ediyoruz.

Kaynaklar:
- https://www.cyberbit.com/endpoint-security/petya-ransomware/
- http://www.bbc.com/turkce/amp/haberler-dunya-40416070
- ESET Security Bulletin
- https://twitter.com/TRCert
- https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
- http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
- Netsec Ömer Albayrak E-mail
- http://www.platinbilisim.com.tr/TR/Medya/Duyurular/petya-cryptolocker-nedir-nasil-cozulur



Bunlara da Göz Atın

0 yorum