ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Wannacry Tespit Ve Korunma Yöntemleri

 

 

12 Mayıs'ta dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı saldırısı gerçekleştirilmiştir. Bu konudaki çeşitli istatistik sonuçlarına göre en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptanmıştır.

 

Bu siber saldırının baş rolü olan WannaCry fidye yazılımı, kurbanlarına Microsoft Windows’un SMBv1 sisteminde bulunan ve Microsoft Güvenlik Bülteni MS17-010 (CVE-‎2017-0144) kapsamında tanımlanıp-kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan "Eternal Blue" adlı exploit, 14 Nisan 2017'de Shadow Brokers hacker grubu tarafından NSA'in hacking araçlarını ifşa etmesiyle ortaya çıkmıştı.

 

Diğer yandan, Türkiye'deki SMB (445) portu internete açık olup ve MS17-010 zafiyetini barındırma potansiyeli olan sistemlerin sayısı 15,497'dir. (Tespit tarihi: 22.05.2017)

 

clip_image002

 

 

MS17-010 ZAFİYETİ NASIL TESPİT EDİLİR?

 

Ağınızda bu kritik seviyeli zafiyeti barındıran makineleri tespit etmek için Nmap programı kullanacağız. Ancak bu taramada bize "smb-vuln-ms17-010.nse" isimli Nmap scripti yardımcı olacaktır.

 

Scripti buradan https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse indirebilirsiniz.

 

İndirilen scripti Linux sistemlerde;

/usr/share/nmap/scripts/ veya /usr/local/share/nmap/scripts/

 

 

Windows sistemlerde;

C:\Program Files (x86)\Nmap\scripts\

 

OSX sistemlerde ise;

/opt/local/share/nmap/scripts/

 

dizinlerinin altına kopyalamalısınız.

 

Scriptin Zenmap/Nmap ile örnek kullanımı aşağıdaki gibidir:

 

clip_image004

 

KORUNMA YÖNTEMLERİ

 

Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017'de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir. (https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)

 

İnternete hizmet veren sistemlerinizdeki 445/TCP portunun kapatılması gerekmektedir.

 

Tüm ağ noktalarında güvenlik çözümlerinin aktif olduğundan emin olun.

 

Davranışsal proaktif bir tespit bileşeni olan ve güncel imza veritabanına sahip güvenlik yazılımı kullanın. Böylece bir virüs taraması gerçekleştirin.

 

İnternete açık sunucularınızda MS17-010 zafiyetinin olup olmadığını http://ms17-10.com üzerinden de online olarak ücretsiz bir şekilde test edebilirsiniz.

 

 

YAMA DOĞRULAMA

 

İşletim sistemleriniz üzerinde (XP-7, 8, 8.1-2K8, 2K8R2, 2012, 2012R2, 10) ilgili güvenlik güncellemelerinin kurulu olup olmadığını test etmek amacıyla aşağıdaki vbscript kodunu kullanabilirsiniz.

 

Yeni bir metin belgesi oluşturup içerisine aşağıdaki kodları yapıştırıp *.vbs ismiyle kaydediniz.

Kaydedilen script'i çift tıklayıp çalıştırdığınızda arka planda gerekli güncellemelerin kurulu olup olmadığı kontrol edecek ve size bilgi verecektir.

 

'-----------------------

 

Dim KBList

Set KBList = CreateObject("System.Collections.ArrayList")

KBList.Add "4012212"

KBList.Add "4012213"

KBList.Add "4012214"

KBList.Add "4012215"

KBList.Add "4012216"

KBList.Add "4012217"

KBList.Add "4012598"

KBList.Add "4012606"

KBList.Add "4013198"

KBList.Add "4013429"

KBList.Add "4019474"

KBList.Add "4015221"

KBList.Add "4016637"

KBList.Add "4015219"

KBList.Add "4016636"

KBList.Add "4019473"

KBList.Add "4019472"

KBList.Add "4015217"

KBList.Add "4015438"

KBList.Add "4016635"

KBList.Add "4015549"

KBList.Add "4015550"

KBList.Add "4015551"

KBList.Add "4019215"

KBList.Add "4019216"

KBList.Add "4019264"

 

Set WshShell = CreateObject("WScript.Shell")

 

WshShell.Run "cmd /c wmic qfe list | clip", 0, True

 

For Each kb In KBList

 If InStr(CreateObject("htmlfile").ParentWindow.ClipboardData.GetData("text"), "KB" + kb) > 0 Then

  MsgBox("Sisteminiz gerekli guncellemeleri almis ve guvenli! (KB" + kb + ")")

  WScript.Quit

 End If

Next

 

MsgBox("Sisteminize gerekli guncellemeler yuklenmemistir! Windows Update calistirmalisiniz!")

 

clip_image005

 

 

 

Teşekkürler.

Tarih : 28 Mayıs 2017 Pazar 23:08 Yayınlayan: Gökhan YÜCELER

Yorumlar

 

Hakan UZUNER

Eline sağlık Gökhan

Mayıs 29, 2017 11:34
 

mehmet dağdevirentürk

Elinize Sağlık

Haziran 2, 2017 00:45
 

oğuzhan gıcan

Elinize Sağlık

Haziran 5, 2017 15:51
 

Recep Öner

Gökhan bey elinize sağlık, çok faydalı bir paylaşım olmuş.

Haziran 6, 2017 11:00
 

Zafer Babur

Çok güzel olmuş, eline sağlık...

Haziran 16, 2017 17:02
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Gökhan YÜCELER

15.01.1986 yılında İstanbulda doğan Gökhan YÜCELER, 12 yıldır IT sektöründe değişik görevlerde çalışmış olup, son 8 yıldır bilişim güvenliği alanına yoğunlaşmış bulunmaktadır. Görev aldığı kuruluşlarda bilgi güvenliği uzmanı olarak yer almış olup, bu alanda bir çok projeye imza atmıştır. MayaSoft Bünyesinde, Information Security Specialist olarak kariyerine devam eden Gökhan YÜCELER, güvenlik sızma testleri, adli bilişim incelemeleri, IPS/IDS atlatma teknikleri, DDoS saldırıları tespit ve önleme yöntemleri ve Python Security Scripting üzerine çalışmalar yapmaktadır. Gökhan YÜCELER, MCP, CCNA, CCNP, SNAF, FCNSA, FCNSP, CEH, GPEN sertifikalarına sahiptir.
 

Bu Kategori

Hızlı aktarma

Etiketler