Microsoft ATA ve Azure Backup Kullanarak Ransomware – Cryptolocker Engelleme

0
112

Ransomware ya da ülkemizde yaygın adıyla bilinen cryptolocker zararlısı dünya genelinde 1 milyar dolar zarar nede oldu.

Kaynak: https://www.herjavecgroup.com/ransomware-damages-predicted-1-billion-annually-2016/

Peki bizler ne yapmalıyız?

Tabiki her şirketin iş ihtiyacı farklı olduğu için ona uygun çözümler satın almış olabilir. Örneğin bu konuda çok etkili ve gerçekten başarılı anti virüs yazılımları var, müşterilerime önerince bazen mevcut anti virüs ürününün yeni yenilediğini ve bir daha bütçe ayıramayacağını söylüyor. Aslında bu hatayı ve riski baştan kabul etmek oluyor. O kadar ki bu sorunu yaşamış ve bu insanlara para vermiş firmalar dahi ürün önerisinde bulununca “bu çok pahalı” deyip almıyorlar ve aslında bir daha bu atağı yemeyi kabul etmiş oluyorlar. Ancak buradaki asıl sorun sadece verilerinizi kaptırmak değil bunların yarın ifşa edilmesi durumunda “Kişisel Verileri Koruma Kanunu” gereği firmanızın çok ciddi cezalar ödeme riskini de almış oluyorsunuz. Özetle bu işin çözümü uygun ürünleri almaktan geçiyor.

Peki elinizde hali hazırda Microsoft Advanced Threat Analytics (ATA) var ise neler yapabiliriz biz biraz bu konuya odaklanalım.

Kötü içerikli kod bir bilgisayara bulaştıktan sonra ilk yapacağı işlem Reconnaissance (looking around), yani network’ ü araştırarak etrafında neler var onu kontrol eder. Bu işlemde özellikle DNS tarafında bilinen iki atak türü sayesinde hemen hızlıca ATA ekranında bunu yakalayabilirsiniz;

Nslookup

SAMR (Security Account Manager Remote)

Bu işlemden sonra kötü niyetli kimse bulduğu kaynaklara encryption public keys kopyalar ve şifreleme işlemini başlatır. Buna lateral movement denmektedir, yani Türkçe karşılığı, “Yanal Hareket”. Bunu ise ATA, Machine Learning sayesinde öğrendiği Network içerisinde anormal bir hareket olarak algılamaktadır.

Tabiki siz ATA kullanıcıları için mail gönderimi önemli, malum ekranı sürekli takip etmek pek pratik bir yöntem değildir. Hele ki ATA’ yı bir SIEM ürünü ile entegre ederseniz bu durumda olası bu uyarıların gelmesi sonucunda anında örneğin o makine veya kullanıcı hesabını da ortamdan izole edebilirsiniz.

ATA tarafı için anlatacaklarım bu kadar. Peki ATA yakaladı ama siz geç kaldınız, SIEM entegrasyonu yoktu, mail geldi ama görmediniz, yani ATA yakalamasına rağmen bir şekilde sisteme bu kötü içerikli kod bulaştı ve verileriniz şifrelendi. Bu durumda yapacağınız en iyi şey yedekten dönmek. Ancak ne yazık ki verdiğim örneklerde ve yine müşterilerimizden gördüğümüz kadar artık kötü niyetli kişiler ilk olarak yedekleri hedef alıyor. Bu nedenle off-site Backup çok önemli. Eğer tape üniteniz var ise kaseti mutlaka ünite dışında bırakın çünkü onlara kadar şifreliyor veya siliyorlar.

Peki bu konuda bir çözüm önerimiz var mı? Evet, malum herkesin bir tape ünitesi yok, olanlar için ise kaseti günü gününe çıkarma zor, malum auto-loader var ise o da risk altında. Benim önerim burada erişim güvenliği sağlayan bir alt yapı kullanmanız. Microsoft Azure üzerindeki yedeklere erişmek veya kritik işlemleri yapmak için mutlaka SMS doğrulaması gerekli, aslında MFA. Bu sayede sisteminize sızan, basit bir SMB zaafiyeti ile admin şifrelerini ala, hatta belki azure şifresinin bile çalınması senaryosunda kalan son kaleniz bulut üzerindeki yedekleriniz olacaktır. Ancak bu kişilerin oraya erişmesi için mutlaka MFA gerektiğinden bu size ek bir koruma sağlayacak ve bu kişilerin sizin yedeklerinize ulaşmasını engelleyecektir.

Kaynak: https://blogs.technet.microsoft.com/enterprisemobility/2017/02/20/ransomware-lateral-movement-and-how-microsoft-advanced-threat-analytics-can-help/

CEVAP VER

Please enter your comment!
Please enter your name here