WannaCry tehditlerine, Hillstone ile çok katmanlı savunma!

wanna

Merhaba,

Günümüzün hızlıca yayılan WannaCry fidye yazılımlarına karşı Hillstone Next Generation Firewall ürünlerinin çok katmanlı savunmasından ve yeteneklerinden bahsediyor olacağız.

Öncelikle 12 Mayıs sabahı, büyük çaplı bir fidye yazılım olayının küresel patlak vermesi, toplamda 99 ülkeyi etkileyen ve en az 75.000 Windows bilgisayar sisteminin ele geçirilmesiyle, kurumları ciddi bir endişe içerisine girdi. Saldırı yüzünden İngiltere’nin ulusal sağlık sistemi çöktü. Özellikle Eğitim,Tıp ve diğer kritik kurumları etkilemesi ve hızla yayılmaya devam etmesi kurumları düşündürüyor.

Wannacry Nedir?

“WannaCrypt0r 2.0” adı verilen yeni bir fidye yazılımı türüdür ve şimdilik bu tür fidye yazılımının bulaştırdığı dosyaların şifresini çözmek imkansızdır. Bu tehdit geçen ay ABD Ulusal Güvenlik Ajansı (NSA) tarafından sızdırıldığı bildiriliyor. Bu zararlı yazılımlar, uzaktan erişim yoluyla genel olarak Windows sistemlerinin hedefindedir. Diğer zararlı yazılımların aksine WannaCry kendi kendine tüm ağ içinde ilerleyebilme özelliği var. network’e bulaştığı an, zayıf makineleri tespit ediyor ve otomatik olarak onlara da bulaşıyor.

Bu tehdit, genellikle e-posta, (PDF dosyası veya link içeren e-posta yoluyla) kaynağı belirsiz uygulamalar, forum siteleri, korsan oyun, DVD ve CD’leri aracılığıyla bulaşıyor.

Wannacry Nasıl Çalışır?

WannaCrypt0r fidye yazılımlarının saldırı süreci öncelikle üç adımdan oluşur: yazılımın yayılması, bulaşması ve fidye talebi
yazılım öncelikle Windows SMB açığından yararlanarak bulaşan bir fidye yazılımı
Uygulama sonrasında, “WannaCrypt0r 2.0”, kritik yerel dosyaları ve ağ ‘da paylaşılan klasörlerini şifreler.
Şifreleme tamamlandıktan sonra, kullanıcının ekranına otomatik bir pencere çıkar ve şifrelenmiş dosyaları tekrar kurtarma karşılığında fidye talep eder.

Ne yapmak gerekiyor ?

  • Güncel bir antivirüs programı yükleyin ve kullanın.
  • Yazılımın güncel olduğundan emin olun.
  • Bilmediğiniz kişilerden veya iş yapmadığınız şirketlerden gelen bağlantılara tıklamayın. Bunlaran gelen ekleri ve e-postaları açmaktan kaçının.
  • Kötü amaçlı yazılım olduğu browser tarafından bildirilen web sitelerinden uzak durun.
  • Açılır pencere engelleyicilerini kullanın.
  • Mevcut kullandığınız Firewall cihazınızın varsa SANDBOX servisini mutlaka aktif edin
  • En önemlisi de önemli dosyalarınızı düzenli olarak yedekleyin.

Hillstone Firewall Çözümü

Hillstone ürünlerinin çok katmanlı koruması sayesinde fidye yazılımlarını tespit edilmesi ve önlenmesi

wanna1

1.Aşama: Detection and Exploit

  • Policy tanımlama; Dış network’ den , iç network’e SMB trafiğini yasaklama ve 135/137/139/445 port erişimini güvenlik duvarından engelleyerek , Iç ağdaki farklı zone’lar arasındaki SMB hizmet trafiğini yönlendirmeyi yasaklar, böylece WannaCrypt0rpt0r kötü amaçlı trafiğin ağın farklı alanlarına bulaşmasını yasaklamaktadır.
  • Intrusion prevention system (IPS) ; Hillstone IPS veri tabanını mutlaka 2.1.187 ‘e güncelleştirmek gerekir. kullanıcı, 1905385, 1905387, 1905388, 1905389, 1905390 kurallarıyla birlikte MS17-010 imzasını etkinleştirmelidir. Böylece kullanıcılar bu tehditleri tespit edip güvenliğini sağlayabilir.

2.Aşama: Virüs Kontrol

  • Anti-Virüs (AV) ; Hillstone Anti-Virus database’ i Mayıs 12’de WannaCrypt0r imzasıyla tamamen güncellendi ve etkin Anti Virüs (AV) özelliği WannaCrypt0r’yi algılayabiliyor ve kesebiliyor.

wanna2

  • Sandbox; Hillstone sandbox servisi ile WannaCrypt0r ve türevlerini çok rahat tespit edebilir

wanna3

3.Aşama; Fidye yazılımlarına özel geliştirilen çözüm

Eğer WannaCrypt® fidye yazılımı bir şekilde IPS – Anti-Virus – Firewall kurallarınız veya aldığınız bir çok önlemden geçmiş ve network’ e bulaşmış ise Hillstone tespit teknoloji , bu aşamada ciddi bir savunma yapar ve sizi bu tehditlerden koruyan son hamledir.

Domain Generation Algorithms (DGA) teknolojisi sayesinde, WannaCrypt0r’den şüpheli bir alan adı erişimini algılayabilir ve bunu bir tehdit hareketi olarak işaretleyebilir. Bu tehdit uyarısının, IT yöneticisi tarafından hızlıca kritik ana sunucuların WannaCrypt0r tarafından bulaşıp bulaşmadığının farkında olmalı ve bu yazılımın yayılmasını engellemek için acil kurallar oluşturulmalıdır.

Bu durumda, bir “www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” DGA alanını sorgulayarak WannaCrypt0r fidye saldırısı tespit eder.

wanna5

Daha fazla bilgi için, lütfen Görünütüle

 

739 total views, 2 views today

About Author

Mustafa Akçin
admin@mustafaakcin.com

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir