Durmuşkandemir
Profesör
- Katılım
- 19 Mart 2017
- Mesajlar
- 3,942
- Reaksiyon puanı
- 1,098
- Puanları
- 113
- Yaş
- 33
Haberler'de aynı şekilde dediler antivirüs programları reklamlarını basmaya başlıyorlar artıkİnşaAllah kimse zarar görmez.
--- Gönderi Güncellendi ---
Bu saldırıdan korunmak için işletim sistemini ve antivirüsü güncel tutmak önerilmiş. Peki sadece bu yeterli olur mu?
Hocam bu bilgiler bizi aşar beKonuyla ilgili şu şekilde bir yazı buldum faydalı olabilir belki? bi bakın derim Platin Bilişim diye bir firma var bu tarz saldırılardan korunmaya yönelik bir şeyler paylaşmışlar;
Petya Nedir? Nasıl bulaşır? Ne yapabiliriz?
Petya, WannaCry gibi Windows SMBv1 güvenlik açığı (MS17-010) sayesinde hızla yaygınlık göstermiştir. NSA‘in ShadowBrokers tarafıdan açığa çıkarılan exploitlerinden olan EternalBlue‘yu kullanıp sisteme sızıyor ve sonrasında WMIC ve PSEXEC kullanarak ağda yayılma yeteneğine sahip oluyor.
SMBv1 güvenlik açığının dışında diğer yayılma şekli ise spam e-postalardır. Kullanıcılara CVE-2017-0199 açığını kullanmak koşulu ile yayılmaktadır.
Hedef kullanıcı CVE-2017-0199 açıklığını barındıran zararlı dosyayı çalıştırdıktan sonra zararlı bulaşmış oluyor ve, Petya aşağıdaki dosya türlerini şifreliyor.
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Petya Ransomware ayrıca, aşağıdaki wevtutil komutunu kullanarak windows olay günlüklerini temizliyor
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
Petya, şifreleme ve yayılım aşamalarını tamamladıktan sonra MBR'nin (Ana Önyükleme Kaydı) üzerine yazıyor ve makinenin zamanlanmış bir görevle yeniden başlatılmasına neden olmaktadır.
schtasks.exe /TR "%WINDIR%\system32\shutdown.exe /r /f" /ST 07:45
Tehdit Göstertergeleri :
Yeni Varyantlar (SHA256): 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
Bilinen Payload Hosting: 185.165.29[.]78/~alex/svchost.exe
Bilinen Ödeme Siteleri:
mischapuk6hyrn72[.]onion
petya3jxfp2f7g3i[.]onion
petya3sen7dyko2n[.]onion
mischa5xyix2mrhd[.]onion/MZ2MMJ
mischapuk6hyrn72[.]onion/MZ2MMJ
petya3jxfp2f7g3i[.]onion/MZ2MMJ
petya3sen7dyko2n[.]onion/MZ2MMJ
Alınması gereken önlemler:
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.