Durmuşkandemir
Profesör
- Katılım
- 19 Mart 2017
- Mesajlar
- 3,942
- Reaksiyon puanı
- 1,098
- Puanları
- 113
- Yaş
- 33
Dünya siber saldırı tehditi altında
- Konuyu başlatan Durmuşkandemir
- Başlangıç tarihi
Bu konuyu okuyanlar
- Katılım
- 30 Ekim 2016
- Mesajlar
- 9,401
- Reaksiyon puanı
- 9,163
- Puanları
- 113
İnşaAllah kimse zarar görmez.
--- Gönderi Güncellendi ---
Bu saldırıdan korunmak için işletim sistemini ve antivirüsü güncel tutmak önerilmiş. Peki sadece bu yeterli olur mu?
--- Gönderi Güncellendi ---
Bu saldırıdan korunmak için işletim sistemini ve antivirüsü güncel tutmak önerilmiş. Peki sadece bu yeterli olur mu?
- Konuyu başlatan
- #3
Durmuşkandemir
Profesör
- Katılım
- 19 Mart 2017
- Mesajlar
- 3,942
- Reaksiyon puanı
- 1,098
- Puanları
- 113
- Yaş
- 33
Haberler'de aynı şekilde dediler antivirüs programları reklamlarını basmaya başlıyorlar artık
gokteay
Öğrenci
- Katılım
- 19 Haziran 2017
- Mesajlar
- 5
- Reaksiyon puanı
- 0
- Puanları
- 1
- Yaş
- 36
Konuyla ilgili şu şekilde bir yazı buldum faydalı olabilir belki? bi bakın derim Platin Bilişim diye bir firma var bu tarz saldırılardan korunmaya yönelik bir şeyler paylaşmışlar;
Petya Nedir? Nasıl bulaşır? Ne yapabiliriz?
Petya, WannaCry gibi Windows SMBv1 güvenlik açığı (MS17-010) sayesinde hızla yaygınlık göstermiştir. NSA‘in ShadowBrokers tarafıdan açığa çıkarılan exploitlerinden olan EternalBlue‘yu kullanıp sisteme sızıyor ve sonrasında WMIC ve PSEXEC kullanarak ağda yayılma yeteneğine sahip oluyor.
SMBv1 güvenlik açığının dışında diğer yayılma şekli ise spam e-postalardır. Kullanıcılara CVE-2017-0199 açığını kullanmak koşulu ile yayılmaktadır.
Hedef kullanıcı CVE-2017-0199 açıklığını barındıran zararlı dosyayı çalıştırdıktan sonra zararlı bulaşmış oluyor ve, Petya aşağıdaki dosya türlerini şifreliyor.
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Petya Ransomware ayrıca, aşağıdaki wevtutil komutunu kullanarak windows olay günlüklerini temizliyor
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
Petya, şifreleme ve yayılım aşamalarını tamamladıktan sonra MBR'nin (Ana Önyükleme Kaydı) üzerine yazıyor ve makinenin zamanlanmış bir görevle yeniden başlatılmasına neden olmaktadır.
schtasks.exe /TR "%WINDIR%\system32\shutdown.exe /r /f" /ST 07:45
Tehdit Göstertergeleri :
Yeni Varyantlar (SHA256): 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
Bilinen Payload Hosting: 185.165.29[.]78/~alex/svchost.exe
Bilinen Ödeme Siteleri:
mischapuk6hyrn72[.]onion
petya3jxfp2f7g3i[.]onion
petya3sen7dyko2n[.]onion
mischa5xyix2mrhd[.]onion/MZ2MMJ
mischapuk6hyrn72[.]onion/MZ2MMJ
petya3jxfp2f7g3i[.]onion/MZ2MMJ
petya3sen7dyko2n[.]onion/MZ2MMJ
Alınması gereken önlemler:
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.
Petya Nedir? Nasıl bulaşır? Ne yapabiliriz?
Petya, WannaCry gibi Windows SMBv1 güvenlik açığı (MS17-010) sayesinde hızla yaygınlık göstermiştir. NSA‘in ShadowBrokers tarafıdan açığa çıkarılan exploitlerinden olan EternalBlue‘yu kullanıp sisteme sızıyor ve sonrasında WMIC ve PSEXEC kullanarak ağda yayılma yeteneğine sahip oluyor.
SMBv1 güvenlik açığının dışında diğer yayılma şekli ise spam e-postalardır. Kullanıcılara CVE-2017-0199 açığını kullanmak koşulu ile yayılmaktadır.
Hedef kullanıcı CVE-2017-0199 açıklığını barındıran zararlı dosyayı çalıştırdıktan sonra zararlı bulaşmış oluyor ve, Petya aşağıdaki dosya türlerini şifreliyor.
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Petya Ransomware ayrıca, aşağıdaki wevtutil komutunu kullanarak windows olay günlüklerini temizliyor
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
Petya, şifreleme ve yayılım aşamalarını tamamladıktan sonra MBR'nin (Ana Önyükleme Kaydı) üzerine yazıyor ve makinenin zamanlanmış bir görevle yeniden başlatılmasına neden olmaktadır.
schtasks.exe /TR "%WINDIR%\system32\shutdown.exe /r /f" /ST 07:45
Tehdit Göstertergeleri :
Yeni Varyantlar (SHA256): 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
Bilinen Payload Hosting: 185.165.29[.]78/~alex/svchost.exe
Bilinen Ödeme Siteleri:
mischapuk6hyrn72[.]onion
petya3jxfp2f7g3i[.]onion
petya3sen7dyko2n[.]onion
mischa5xyix2mrhd[.]onion/MZ2MMJ
mischapuk6hyrn72[.]onion/MZ2MMJ
petya3jxfp2f7g3i[.]onion/MZ2MMJ
petya3sen7dyko2n[.]onion/MZ2MMJ
Alınması gereken önlemler:
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.
Transistor
Profesör
- Katılım
- 5 Ağustos 2016
- Mesajlar
- 4,261
- Reaksiyon puanı
- 1,085
- Puanları
- 113
Hocam bu bilgiler bizi aşar beKonuyla ilgili şu şekilde bir yazı buldum faydalı olabilir belki? bi bakın derim Platin Bilişim diye bir firma var bu tarz saldırılardan korunmaya yönelik bir şeyler paylaşmışlar;
Petya Nedir? Nasıl bulaşır? Ne yapabiliriz?
Petya, WannaCry gibi Windows SMBv1 güvenlik açığı (MS17-010) sayesinde hızla yaygınlık göstermiştir. NSA‘in ShadowBrokers tarafıdan açığa çıkarılan exploitlerinden olan EternalBlue‘yu kullanıp sisteme sızıyor ve sonrasında WMIC ve PSEXEC kullanarak ağda yayılma yeteneğine sahip oluyor.
SMBv1 güvenlik açığının dışında diğer yayılma şekli ise spam e-postalardır. Kullanıcılara CVE-2017-0199 açığını kullanmak koşulu ile yayılmaktadır.
Hedef kullanıcı CVE-2017-0199 açıklığını barındıran zararlı dosyayı çalıştırdıktan sonra zararlı bulaşmış oluyor ve, Petya aşağıdaki dosya türlerini şifreliyor.
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Petya Ransomware ayrıca, aşağıdaki wevtutil komutunu kullanarak windows olay günlüklerini temizliyor
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
Petya, şifreleme ve yayılım aşamalarını tamamladıktan sonra MBR'nin (Ana Önyükleme Kaydı) üzerine yazıyor ve makinenin zamanlanmış bir görevle yeniden başlatılmasına neden olmaktadır.
schtasks.exe /TR "%WINDIR%\system32\shutdown.exe /r /f" /ST 07:45
Tehdit Göstertergeleri :
Yeni Varyantlar (SHA256): 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
Bilinen Payload Hosting: 185.165.29[.]78/~alex/svchost.exe
Bilinen Ödeme Siteleri:
mischapuk6hyrn72[.]onion
petya3jxfp2f7g3i[.]onion
petya3sen7dyko2n[.]onion
mischa5xyix2mrhd[.]onion/MZ2MMJ
mischapuk6hyrn72[.]onion/MZ2MMJ
petya3jxfp2f7g3i[.]onion/MZ2MMJ
petya3sen7dyko2n[.]onion/MZ2MMJ
Alınması gereken önlemler:
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.
▪
Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı
▪
Tüm makinelerde UAC aktif edilmeli
▪
Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması
▪
Kritik sistemlerin yedeklerinin alındığından emin olması
▪
Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi
▪
Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması
▪
Symantec Messaing Gateway tarafında DISARM aktif edilmesi
▪
Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.
ConfickerBelasi
Guru
- Katılım
- 8 Ekim 2011
- Mesajlar
- 53,871
- Çözümler
- 1
- Reaksiyon puanı
- 16,118
- Puanları
- 113
nefesi güçlü bir hoca bulup modemi,pc,telleri üfletin geçer...
Son mesajlar
-
-
Soru Samsung ve Android cihazlar Türkiye ve Asya pazarında, Batı'ya göre daha mı başarılı? (16 kişi)
- En son: galaxyfan
-
-
-