ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

TeslaCrypt – Cryptowall – Cryptolocker Analiz ve Korunma

Ransomware, yani dosyalarınızı şifreleyerek sizden yüklü miktarda para talep eden kötü niyetli fidye yazılımları. ( Cryptolocker, Cryptowall, TeslaCrypt, AxCrypt ve daha nicesi )
Ben bunu virüs değil, fidye yazılımı olarak tanımlıyorum. Zira bu yazılımlar cihazlarınızın çalışma prensibine zarar vermiyor.  Herhangi bir veri trafiği, ya da istemci/sunucu mantığı ile çalışan herhangi bir arka kapı da bırakmıyor.
Yaptığı iş özetle, yazılım çalıştırıldığında
AES-256 standardı kullanılarak dosyalarınız şifrelenir ve dosyalarınızı şifreleyen şifre ayrıca şifrelenerek uzak bir veritabanına gönderilir.

Belki başlangıçta AES-256 standardından bahsetmek gerekir.
AES-256 uluslararası alanda şifreleme standardı olarak kabul edilen bir şifreleme algoritmasıdır ve bu algoritma değiştirme-karıştırma temeline dayanır.
256 bit uzunluğunda şifrelemeye olanak verir.


clip_image002


Yukarıda anahtar uzunluğu ile bu anahtarların kaç adet formülasyon barındırabileceğinin tablosu bulunmaktadır.

Buradan hareketle;
TeslaCrypt – Cryptowall – Cryptolocker  Yazılımlarının Yetenekleri :
+ Cihazınız üzerinde çalışan özel servisleri durdurabilir ( yönetici yetkisi varsa )

wscsvcWinDefendwuauservBITSERSvcWerSvc

+ Geri yükleme noktalarınızı ve gölge kopyalarınızı silebilir. ( yönetici yetkisi varsa)
• vssadmin.exe Delete Shadows /All /Quiet
+ Ağ sürücüsü olarak tanımlanan disklerdeki verileri şifreleyebilir.
+ Windows hata kurtarma ekranlarını deaktif hale getirebilir.

bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

Yapamadıkları :
+ Yazılım tekrar başlatılmadığı sürece, sadece 1 kez çalışır.
+ Kendisini kopyalama ve ağdaki diğer cihazlara bulaşma özelliği bulunmamaktadır.

Bulaşma Yöntemleri :
Genel olarak oltalama (phishing) olarak adlandırdığımız yöntemlerle bulaştığı görülür.
Sosyal mühendislik yöntemleri ile mail ile bir e-fatura gibi ya da bir kargo bildirimi gibi gelebilir.
Buna karşın son zamanlarda web ortamından da bulaştığı görülmektedir. Ayrıca, zombi bilgisayar olarak bildiğimiz  ve hergün iletişimde olduğunuz kişi ve kurumlardan da gelebilir.



Mail ile gelen iki oltalama örneği :

clip_image004

clip_image006



Eğer yukarıdaki gibi bir mail ile gelen linke tıklayıp yazılımı indirilip çalıştırılırsa şifreleme işlemi başlatılır ve dosyalar AES-256 standardına göre şifrelenmeye devam eder.
Şifreleme sürerken fark edip sistemin kapatılması halinde işlem durur ve yeniden başladığında şifreleme kaldığı yerden devam etmez.

Şifreleme işlemi tamamlandığında aşağıdaki ekran görüntüleri verilmiş notlar bırakılır.
( ŞİFRE_ÇÖZME_TALİMATI , HELP_DECRYPT, RECOVERY_INSRUCTİON gibi)

clip_image008

clip_image010

clip_image012


Bahsetiğimiz yazılımların farklı varyantlarında daha talimatlar ve daha farklı talimat ekran görüntüleri bulunmaktadır.

 

Hedeflenen dosya uzantıları şöyledir :
clip_image014

Şifrelemenin incelenmesi :
Şifreleme başladığında öncelikle cihazı kimliklendirmek için makine hakkında bilgi toplanır.
İşlemcisi, ram’i vs…

Cihaz bilgisinin HASH hali :

clip_image016


Malware öncelikle daha önce sisteme enjekte olmuş bir yazılım var mı diye kontrol eder, eğer sisteme enjekte olmuş bir yazılım yok ise,
explorer.exe örneği oluşturarak kendini enjekte etmeye başlar. Malware ayrıca svchost örneği de oluşturur.
Daha sonra şifrelenmiş şifre, Command and Control Server ‘a kurbanın id/password ve public key bilgisiyle gönderilir.
C&C Sunucu ( uzak sunucu ) ile istemci arasındaki tüm veri trafiği encrypted olarak gider ve gelir.
clip_image018
Yazılım ;
%Temp%
C:\<random>\<random>.exe
%AppData%
%LocalAppData%
%ProgramData%
Altından çalışır ve aşağıdaki  registry düzenlemelerini yapar;

HKCU\Software\<unique computer id>\<random id>
HKCL\software\Microsoft\Windows\Currentversion\Run
clip_image020


Korunma Yolları :
Bu ve bunun gibi yazılımlarla mücadele etmek, öncelikle kullanıcıyı bilinçlendirmekten geçtiği düşünülse de, eğer iş kullanıcıya bırakılırsa yazılımı sadece merakından dolayı dahi çalıştıracağı açık.
O halde;
Sistemi yöneticileri bu yazılımları kullanıcıya ulaşmadan engellemelidirler.

Öncelikle suyu kaynağında kurutmak gerekli;
+ Mail sistemlerini korumak
+ İnternet erişimini korumak
+ Sunucu servislerini korumak
+ Kullanıcı cihazlarını korumak



1- Mailler temiz ip ve temiz domainlerden geldiği için mail sisteminin bulunduğu altyapı önemlidir. Bu anlamda , Office 365 önerimdir.
İlgili bilgi :
http://www.cozumpark.com/forums/thread/472471.aspx
2- İnternetten dosya indirmeyi denetleyebilirsiniz ( exe yasaklama, zip yasaklama gibi)
3- Sunucuların kesinlikle dış ip’si ile RDP bağlantısına açılmaması gerekir. ERP veya muhasebe yazılımlarının bulunduğu klasör ile veritabanı klasörü mümkünse ayrılmalıdır ve gerekirse bu tarz uygulamaların veritabanı klasörlerine kullanıcı erişimleri sınırlandırılmalıdır.Ayrıca Ağ Sürücüsü olarak değil de, dosya sunucularınızdaki klasörler “kısayol” olarak tanımlanmalıdır.
4- İstemci tarafında şifrelemeyi durduran yazılımlar kullanılmalıdır.
CryptoMonitor
CryptoPrevent
gibi…



Ayrıca, GPO ile zararlı yazılımın çalıştığı klasörlerin uygulama çalıştırma izinleri yasaklanmalıdır.
Software Restriction Policy  :
http://www.cozumpark.com/blogs/windows_server/archive/2008/04/28/software-restriction-policy.aspx



Yasaklanması gereken yollar ( path rule ):

clip_image022

Umarım faydalı bir makale olmuştur.

 

Tarih : 04 Ekim 2015 Pazar 21:15 Yayınlayan: Mehmet YAYLA

Yorumlar

 

Rıza ŞAHAN

Eline sağlık Mehmet hocam.

Ekim 4, 2015 21:39
 

Teoman Efendi

Tesekkurler cok onemli bir konu.

Ekim 5, 2015 07:20
 

Vasvi UYSAL

Eline sağlık Mehmet

bir çok meslektaşımızın bu konuda işine çok yarayacak bilgiler bunlar.

Ekim 5, 2015 09:59
 

Ugur DEMIR

Eline sağlık hocam.

Ekim 5, 2015 10:28
 

Önder NURAY

Elinize sağlık...

Ekim 5, 2015 17:24
 

Murat Koseoglu

Elinize Sağlık.

Ekim 7, 2015 09:39
 

Selahattin Yurddaş

ellerinize sağlık çok güzel ve faydalı bir makale olmuş. teşekkür ederim hocam

Ekim 8, 2015 11:35
 

Fikret Tamer

Çok güzel bir çalışma olmuş, elinize, emeğinize sağlık! Bu arada virüsün bulaştığı bilgisayarlar için bir temizleme yöntemi var mı acaba?

Ekim 9, 2015 03:32
 

RIDVAN TURAN

Elinize sağlık.

Ekim 19, 2015 15:20
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Mehmet YAYLA

1980 Giresun doğumluyum. 1998 yılından itibaren çeşitli kurumlarda Sistem Destek Uzmanı ve Bilişim Sistemleri Yöneticisi olarak çalıştım. Halen uluslarası bir grup şirketinde, Bilişim Sistemleri Yöneticisi ve ERP Proje Sorumlusu olarak görev yapıyorum. Zaman zaman farklı eğitim kurumlarında MCSE ve CCNA eğitimleri de vermekteyim. Aynı zamanda yarı zamanlı güvenlik testleri ve web programlama yapıyorum. MCSE, CCNA ve MCT sertifikalarına sahibim.
 

Bu Kategori

Hızlı aktarma

Etiketler