WanaCrypt 2.0 Fidye Yazılımı Alarmı

Nisan ayında “The Shadow Brokers” adlı hacker grubu tarafından yayınlanan NSA hacking araçları içerisinde bulunan ETERNALBLUE ve DOUBLEPULSAR kodlu istismar araçlarını kullandığı Microsoft Windows işletim sistemlerinin SMB servisini etkileyen ve ağ üzerinden SYSTEM haklarıyla kod çalıştırılmasına izin veren MS17-010 kodlu zafiyet WanaCrypt adlı bir fidye yazılımı tarafından kullanılmaya başlanmıştır.

Fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmemekte ve bulaştığı bir ağda MS17-010 zafiyetinin olduğu sistemlere bulaşmaktadır.

WanaCrypt fidye yazılımı oldukça bulaşıcıdır ve hızla yayılmaktadır. Başta Avrupa ülkeleri olmak üzere İngiltere, İspanya ve Rusya’da büyük çaplı enfeksiyon tespit edilmiş.

MS17-010 zafiyetinden aşağıdaki işletim sistemleri ve sürümleri etkilenmektedir;

  • Windows Vista,
  • Windows Server 2008,
  • Windows Server 2008 R2,
  • Windows 7,
  • Windows 8.1,
  • Windows Server 2012,
  • Windows Server 2012 R2,
  • Windows 10,
  • Windows Server 2016

Fidye yazılı WNCry, WCry, WanaCrypt0r, Wana Decrypt0r isimleri ile de bilinmektedir.
Önerilen Tedbirler
Microsoft tarafından yayınlanan MS17-010 zafiyetine ilişkin sisteminize uygun yamayı hızlıca yüklemeniz tavsiye edilir. Bununla birlikte SMB servislerinin korunması, IPS kurallarının güncellenerek ETERNALBLUE ve DOUBLEPULSAR istismar araçlarının trafiğine karşı kuralların tüm ağ genelinde etkin hale getirilmesi, SMB protokollerinin kurum içerisi şifreli yürütüldüğü durumlarda mutlaka IDS/IPS sistemleri tarafından görünür hale getirilerek trafiğin filtrelenmesi, Windows istemci ve sunucu sistemlerinde HIPS’lerin etkinleştirilmesi tavsiye edilir.

Ağınızda SNORT açık kaynak IDS/IPS sistemi mevcutsa, aşağıdaki kuralı ekleyerek ETERNALBLUE zafiyetinin istismarına yönelik trafikleri engelleyebilirsiniz.

alert smb $HOME_NET any -> any any (msg:”SMB EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response”; flow:from_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

 

Referans Bağlantılar