Bu yazımda son günlerin en popüler siber güvenlik olayı WannaCry zararlısına değineceğim. Ulusal basınımıza da konu olan bu zararlı  nasıl bulaşır, nasıl korunma sağlayabiliriz gibi konuları irdelemeye çalışacağım.

Aslında WannaCry birçok kişinin bildiği ransomware ailesinden. Şuana dek yaklaşık olarak 378 farklı çeşidi tespit edilmiş fidye yazılımlarından biri sadece. Onu özel kılan ise yayılma şekli.
( Diğer Cryptolocker çeşidi zararlılar için geniş bilgi ve çözüm önerilerini şu makalemden okuyunuz. TIKLAYINIZ )

Geçenlerde ShadowBrokers adlı grubun NSA’den sızdırdığı ETERNALBLUE istismarı yoluyla yayılıyor. Buna dair ilk şüphe duyanlardan birinin twitter gönderisi için : Tıklayınız

Bu ETERNALBLUE neyin nesidir diye soranlar için hemen kısaca değinelim,
Microsot’un SMB prokolündeki bir açık sayesinde uzaktan kod çalıştırmayı mümkün kılan bir zaafiyet. Özetle, herhangi bir linke tıklamasanız dahi bu açıklık sayesinde WannaCry mağduru olabilirsiniz.
İlgili zaafiyet için daha fazla bilgi : Tıklayınız

Tabii bu açıklık daha önce tespit edilmiş ve mart ayı içinde Microsoft tarafından yamanmıştı.
ama bazı büyük sistemlerde güncelleme geçmek çoğu zaman zordur ve takvime bağlıdır. sisteme vereceği zarar göz önüne alınarak yamanın sorunsuz çalıştığı test edilir, ya da yetkili firma tarafından geri çekilebilir öngörüsüyle yüklemek için zaman tanınır.

İşte tam da bu noktada güncel olmayan sistemleri hedef alan bir salgın WannaCry. Şuana dek Rusya, İngiltere ve Tayland en çok etkilenenler arasında. Hatta bazı fabrikalarda üretimi durduracak kadar büyük bir salgın.

WannaCry ile tanışalım:
Klasik bir fidye zararlısı gibi C++ ile yazılmış ve sisteme bulaştığında dosya uzantılarını .WCRY olarak değiştiren ve dosyaların tekrar açılması için para talep eden bir yazılım.
Araştırmalara göre, fidye ödendiğinde arkada manual olarak ödemeyi kontrol eden ve ödeme geldiyse insiyatife göre decrypt işlemini başlatan bir yönetici ekibi var. Bu durum göz önüne alınırsa fidye ödendiğinde dosyalarınızın kurtulmama ihtimali de var. Tamamen kişinin insiyatifine kalmış. Yine bana facebook’tan gelen bir mesajı paylaşmak isterim.


Teknik olarak bakarsak;

Zararlı sisteme bulaştığında C2 sunucudan ZIP arşiv halinde bir paket indiriyor.
Paket şifreli, paketin şifresi : WNcry@2ol7
Paket içindeki dosyalar ise şöyle :
b.wnry – Masaüstü resmi
c.wnry – Tüm ayar dosyaları (C2 sunucu, BTC wallet vs… )
r.wnry – Fidye notu
s.wnry –Tor client exe’si
t.wnry – şifre dosyası
u.wnry – Decrypt etmek için gereken çalıştırılabilir dosya (bu dosyayı silerseniz dahi ödeme yapmanız durumunda kopyasını bulamazsanız kurtarma şansınız kalmaz)
Taskdl.exe – Şifreleme esnasında oluşturduğu tüm geçici dosyaları silmeyi sağlayan çalıştırılabilir dosya (.WNCRYT)
Taskse.exe – Çalışan tüm uygulamaları listeleyen çalıştırılabilir dosya
msg\* – dil dosyaları (28 dil için )

Ek olarak zararlı şifreleme esnasında birkaç dosya daha oluşturuyor.
00000000.eky – şifre dosyasını şifreleyen dosya
00000000.pky – Public Key
00000000.res – C2 bağlantı özeti
Diğer birçok ransomware çeşidi gibi RSA-AES128 kombinasyonunu kullanıyor. RSA için Windows CryptoAPI fakat AES için özelleştirilmiş bir modül kullanıyor.

Wannacry tüm dosya türlerini değil, sadece aşağıdaki dosya türlerini hedef alıyor.
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

Sistem kayıtları ise aşağıdaki gibi:

Registry:
HKLM\SOFTWARE\WanaCrypt0r

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<random>: “”<zararlı dizini>\tasksche.exe””

HKLM\SOFTWARE\WanaCrypt0r\wd: “<zararlı dizini>”

HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”

HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<zararlı dizini>\@WanaDecryptor@.bmp”

Dosya Sistemi:
@Please_Read_Me@.txt – Her dizinin altına txt dosyası koyuyor.
@WanaDecryptor@.exe.lnk –her şifrelediği dizinin altına txt’e giden bir kısayol dosyası koyuyor.
%DESKTOP%\@WanaDecryptor@.bmp
%DESKTOP%\@WanaDecryptor@.exe
%APPDATA%\tor\cached-certs
%APPDATA%\tor\cached-microdesc-consensus
%APPDATA%\tor\cached-microdescs.new
%APPDATA%\tor\lock
%APPDATA%\tor\state
<zararlı dizini>\00000000.eky
<zararlı dizini>\00000000.pky
<zararlı dizini>\00000000.res
<zararlı dizini>\@WanaDecryptor@.bmp
<zararlı dizini>\@WanaDecryptor@.exe
<zararlı dizini>\b.wnry
<zararlı dizini>\c.wnry
<zararlı dizini>\f.wnry
<zararlı dizini>\msg\m_bulgarian.wnry
<zararlı dizini>\msg\m_chinese (simplified).wnry
<zararlı dizini>\msg\m_chinese (traditional).wnry
<zararlı dizini>\msg\m_croatian.wnry
<zararlı dizini>\msg\m_czech.wnry
<zararlı dizini>\msg\m_danish.wnry
<zararlı dizini>\msg\m_dutch.wnry
<zararlı dizini>\msg\m_english.wnry
<zararlı dizini>\msg\m_filipino.wnry
<zararlı dizini>\msg\m_finnish.wnry
<zararlı dizini>\msg\m_french.wnry
<zararlı dizini>\msg\m_german.wnry
<zararlı dizini>\msg\m_greek.wnry
<zararlı dizini>\msg\m_indonesian.wnry
<zararlı dizini>\msg\m_italian.wnry
<zararlı dizini>\msg\m_japanese.wnry
<zararlı dizini>\msg\m_korean.wnry
<zararlı dizini>\msg\m_latvian.wnry
<zararlı dizini>\msg\m_norwegian.wnry
<zararlı dizini>\msg\m_polish.wnry
<zararlı dizini>\msg\m_portuguese.wnry
<zararlı dizini>\msg\m_romanian.wnry
<zararlı dizini>\msg\m_russian.wnry
<zararlı dizini>\msg\m_slovak.wnry
<zararlı dizini>\msg\m_spanish.wnry
<zararlı dizini>\msg\m_swedish.wnry
<zararlı dizini>\msg\m_turkish.wnry
<zararlı dizini>\msg\m_vietnamese.wnry
<zararlı dizini>\r.wnry
<zararlı dizini>\s.wnry
<zararlı dizini>\t.wnry
<zararlı dizini>\TaskData\Tor\libeay32.dll
<zararlı dizini>\TaskData\Tor\libevent-2-0-5.dll
<zararlı dizini>\TaskData\Tor\libevent_core-2-0-5.dll
<zararlı dizini>\TaskData\Tor\libevent_extra-2-0-5.dll
<zararlı dizini>\TaskData\Tor\libgcc_s_sjlj-1.dll
<zararlı dizini>\TaskData\Tor\libssp-0.dll
<zararlı dizini>\TaskData\Tor\ssleay32.dll
<zararlı dizini>\TaskData\Tor\taskhsvc.exe
<zararlı dizini>\TaskData\Tor\tor.exe
<zararlı dizini>\TaskData\Tor\zlib1.dll
<zararlı dizini>\taskdl.exe
<zararlı dizini>\taskse.exe
<zararlı dizini>\u.wnry
C:\@WanaDecryptor@.exe

Korunma : 
+ Öncelikle mutlaka güncellemelerinzi kontrol ediniz
Profesyonel kullanıcılar için Hakan UZUNER’in paylaştığı PowerShell Scriptini kullanabilirsiniz: Tıklayınız 
+ Server 2003 ve XP için gerekli yamaları şuradan indirebilirsiniz : Tıklayınız
( son satıra bakınız )
+ Diğer sistemler için şuradan yama çekip uygulayabilirsiniz. Tıklayınız
+ Mayasoft’un hazırladığı toplu paketler : Tıklayınız
+ Sunucu ve istemcilerinizin güncelleme durumunu GPO ile kontrol etmek için  : Tıklayınız
+ SMB Portunu (445) kapatın , şu linkten portun açık/kapalı olduğunu kontrol edebilirsiniz : Tıklayın
+ Virüsün yayılmaz hızı ve anlık haritalı takip için : Tıklayınız
+ SMB protokolünü geçici süre kapatabilirsiniz.
Denetim Masası—Program Ekle/Kaldır–Windows Özelliklerini Aç/Kapat–SMB çentiğini kaldırın.

Çözüm :
Wannacry için ücretsiz çözüm yayımlanmıştır : Tıklayınız
Daha fazla bilgi için mail gönderebilirsiniz : ben@mehmetyayla.com 

Herkese kolaylıklar dilerim.

Kaynak:http://www.mehmetyayla.com/wannacry-salgini/

Leave a Reply

Your email address will not be published. Required fields are marked *