Fidye Virüslerinden Korunma Rehberi

advertisement
Fidye virüslerinin etkisi gün geçtikçe
artmaktadır. Fidye virüslerinin etkisini en
aza indirmek için enfeksiyon yaşanmadan
önce neler yapılmalıdır? Fidye virüsleri
nasıl tanınır? Enfekte olmuş makinelerde
neler yapılmalı? Enfeksiyon sonrasında
neler yapılmalı?
Fidye
Virüslerinden
Korunma
Rehberi
www.cioturkey.org
Mustafa Özen
1
Önceden Yapılacaklar
İşletim sistemlerinin güvenlik yamalarının yüklenilmiş olmasına dikkat edilmelidir.
Kullanıcılar, bilgisayarlarında local admin olmamalıdır.
Gereksiz uygulamalar ve servisler kaldırılmalıdır.
Mümkünse host tabanlı IDS/IPS kullanılmalıdır.
Mümkünse Endpoint seviyesinde web ve spam filtering kullanılmalıdır.
Mümkünse USB portları kullanıma kapatılmalıdır.
Mümkünse çalışanlara virtual desktop sunulmalı.
Dosyaların bulunduğu diskte Shadow Copy aktif hale getirilmelidir.
Bazı virüs varyantlarının, shadow copy versiyonlarını silmesini engellemek için %WinDir%\system32\
altındaki shadow copy yönetimini gerçekleştiren vssadmin.exe aracının adı değiştirilmelidir.
Endpoint, Firewall, Proxy, E-mail Gateway gibi ürünler kullanılıp, güncel tutularak perimetrik koruma
sağlanmalıdır.
Klasik güvenlik cihazları yerine sandboxing yapan ürünler tercih edilmelidir.
Endpoint koruma uygulamalarının güncel olmasına dikkat edilmelidir.
Güvenlik cihazlarında js, exe gibi dosya tiplerinin mail ile iletimi engellenmelidir.
Mümkünse policy ile son kullanıcıların makroları etkinleştirmesi engellenmeli.
%ALLUSERSPROFILE% veya %APPDATA% gibi virüs dosyalarının kopyalandığı alanlarda, exe gibi yürütülebilir
dosyaların çalıştırılması engellenmeli.
USOM listeleri veya Tehdit İstihbaratı hizmeti alınarak, fidye virüsü saldırısı yapılan/yapılacak domain ve
IP’ler bloklanmalıdır.
BT destek personelleri ve tüm son kullanıcılar, fidye virüsleri hakkında bilgilendirilerek, farkındalık
artırılmalıdır.
Önemli dosyaların bilgisayarlarda değil dosya sunucusunda saklanması konusunda kullanıcılar
bilgilendirilmelidir.
Dosya sunucusunu, kullanıcı bilgisayarlarına disk olarak eklemekten kaçınılmalıdır. Doğrudan bağlantı
verilmesi gerekiyor ise kısayol olarak bağlantı sağlanmalıdır.
Kullanıcılar, dosya sunucusundaki klasörlerde “minimum ayrıcalık” prensibine göre yetkilendirilmelidir.
Klasik dosya sunucuları yerine SharePoint gibi doküman yönetim sistemleri kullanılmalıdır.
Dosyaların istenilen güncellikte olacak şekilde güvenilir yedekleri alınmalıdır.
Yedeklemede 3-2-1 stratejisi uygulanmalıdır. En az 3 yedek kopyası olmalı. 2 yedek kopyası materyali(Bant,
offline disk, online disk, cloud vb.) farklı olmalı. 1 yedek kopyası offline olmalı.
Alınan yedekler, belirli periyotlarda test edilerek, yedeklemenin doğru çalıştığı teyit edilmeli.
MUSTAFA ÖZEN
1
2
Fidye Virüslerini Tanıma
Genellikle “yüksek miktarda görünen fatura, hediye kazandınız, adınıza kargo var” gibi başlıklar ile mail
içerisinde verilen bir link veya maile eklenmiş bir dosya ile bulaşmaktadır.
Virüs bulaştığında masa üstüne veya şifrelediği dosyaların bulunduğu klasörlere dosyaların nasıl
şifrelendiğini, ödeme yapılacak bitcoin miktarını ve nasıl ödeme yapılacağını açıklayan txt veya html uzantılı
bir dosya ile not bırakır.
Bazı fidye virüsü varyantları, bilgisayar arka planı resmini, yukarıdaki açıklamaların yer alacağı şekilde
değiştirir.
Kullanıcı bilgisayarındaki ve erişimi olduğu paylaşımlı klasörlerdeki dosyaların uzantısı, bilinmeyen bir dosya
uzantısı ile değiştirilir.
3
Enfekte Olmuş Makinelerde Yapılacaklar
Virüsün aktif edildiği makinelerin çıkış trafiği izlenerek komuta kontrol merkezleri tespit edilmeli ve
bloklanmalıdır.
Enfekte olan bütün makinelerin ağ bağlantısı kesilmelidir.
Enfekte olmuş makinelere bağlanmış paylaşımlı alanlar var ise kaldırılmalıdır.
Enfekte olan makinelerde Task Manager’dan bilinmeyen proseslerin çalışıp çalışmadığı tespit edilmelidir.
Olağan dışı çalışan proses var ise dumpı alınarak, debug edilir ve virüsün neler yaptığı tespit edilir.
Virüslerin bıraktığı bilgilendirme dosyaları ve şifrelenmiş dosyaların uzantısı incelenerek, bulaşan virüsün
varyantı tespit edilmeye çalışılır.
MUSTAFA ÖZEN
2
4
Enfeksiyon Sonrası Yapılacaklar
Vssadmin.exe aracının ismi değiştirilmiş ise orijinal haline getirilir.
Shadow Explorer kullanılarak, enfeksiyon öncesi bir tarihe shadow copyden dönmeye çalışılır.
Kaspersky, Emsisoft, TrendMicro gibi firmaların bazı varyantları decrypt eden araçları mevcuttur. Virüsün
tipine göre şifrelenmiş dosyalar decrypt edilmeye çalışılır.
Shadow Copy veya decryption araçları ile dosyaları geri getirmek mümkün değil ise ileride geliştirilecek
muhtemel decrypt çözümleri için decrypt edilemeyen dosyalar offline bir alana alınmalıdır.
Shadow Copy veya decryption araçları ile geri getirilen dosyalar offline bir alana alınır.
Virüsün kopyaladığı dosyalar ve registry kayıtları silinmeli veya makineye format atılmalıdır.
İlgili dosyaları ve kayıtları silme veya format sonrası makine trafiği izlenerek trafiğin normal olduğu teyit
edilmelidir.
İlgili dosyaları ve kayıtları silme veya format sonrası makinenin RAM, CPU ve Disk faaliyetleri incelenerek
normal olduğu teyit edilmelidir.
En güncel yedekten geri dönüş yapılmalıdır.
Virüs, organizasyon içerisine oltalama maili ile ulaşmış ise gönderen domain bilgisi bloklanarak USOM’a
bildirilmelidir.
Zararlı URL’ler belirli bir formata uyuyor ise e-mail gatewaylerde format tanımlanarak engellenmelidir.
Virüsün bulaşmasına sebep olan URL veya dosya, kullanılan endpoint hizmeti sağlayıcı ile paylaşılmalıdır.
5
Raporlama
Enfeksiyon nasıl gerçekleşti tanımlanmalıdır.
Enfeksiyon sonrası alınan aksiyonlar ve zaman çizelgesi çıkarılmalıdır.
Enfeksiyon öncesi ve sonrasında neler doğru yapıldı neler yanlış yapıldı çıkarılmalıdır.
Önceden Yapılacaklar listesindeki nelerin eksikliği enfeksiyona neden oldu, tanımlanmalıdır.
Olay maliyeti çıkarılmalıdır.
MUSTAFA ÖZEN
3
@CIOTurkey
Mustafa Özen - BT Bölüm Yöneticisi
MUSTAFA ÖZEN
01.01.2017
4
Download