Fidye Yazılımlarını Engelleme ve Zararlarını Hafifletme Teknikleri

Fidye yazılımlarını — namıdiğer “ransomware” — henüz sistemlere bulaşmadan engellemek, bulaştıktan sonra onlardan kurtulmak veya onların zararlarını hafifletmek için son yıllarda türlü ürünler geliştiriliyor. Bu trendden özellikle antimalware ve antivirüs sektörü epey nemalanıyor görünüyor. Fakat fidye yazılımlarını engelleme için bir takım özel cihazlar veya ürünleri kullanmak sadece önemli ölçüde masrafa neden olmakla kalmaz ve bu tehlikeyi asla kesin olarak da çözmez.

 

Güvenlik hem bir süreç ve aslında hem de bir yaklaşımdır. Güvenliği bütüncül ve de spesifik şekilde ayrı olarak ve de beraberinde aynı anda ikisini de kavrayan bir yaklaşımla ele aldığınız sürece başarılı olma şansınız artıyor. Genel resmi görebilmenin yanında özelde de en ince ayrıntılara inip, özelden genele doğru bütünü doğru bir şekilde yakaladığınız sürece etkili stratejiler geliştirebiliyorsunuz. Bu bağlamda fidye yazılımlarını engelleme için geliştirilecek stratejilerde de uç noktadaki hareketler, ağdaki hareketler, cihazlar üzerindeki konfigürasyon ayarları, son kullanıcı davranışları, güvenlik politika ve prosedürleri gibi birden fazla ele alınıp ayrı bir şekilde değerlendirilmesi ve kapsayıcı bir güvenlik yaklaşımına düzgün bir şekilde oturtulması gereken bileşenler/aksiyonlar söz konusudur. Bu yazımızda fidye yazılımlarını engelleme ve eğer bulaşmışsa da onların zararlarını nasıl daha etkili bir biçimde bertaraf edebiliriz sorusunun cevaplarını mümkünse eldeki mevcut ürünler ve sistemler yoluyla vermeye çalışıyoruz.

 

ÖNEMLİ FİDYE YAZILIMI TÜREVLERİ

Hedefin diskinde depolanan verileri şifreleyerek bilgilere erişemesini ve/veya sistemine normal erişimi engelleyerek fidye elde etme amacını güden ransomware’ler genelde bir veya birkaç topluluğun geliştirmiş olduğu benzer kitlerden türer/türetilirler. Ülkelere göre bu türevler farklılık gösterse de birçoğu bu genel topluluk kodlarının üzerinde biraz modifikasyon yapılarak tekrar piyasaya sunulmaktadır. Fidye yazılımlarını engelleme ve zararları hafifletme çalışmasından önce onların nasıl bir yapıda olduklarını ve hareket ettiklerini kabaca anlamakta yarar var. Belli başlı büyük ve etkili olmuş fidye yazılımlarını bulaşma yöntemleri, kanıtları, şifreleme teknikleri ve yaptıkları hareketlere göre alttaki şekilde görebilirsiniz:

Locky
Cerber
Cryptowall
SamSam
CryptXXX
Bulaşma Yöntemleri
Exploit kit (Magnitude, Nuclear) ve spam e-postalar Exploit kit (Magnitude) ve ele geçirilmiş siteler Exploit kit (Angler, Magnitude, Neutrino, Nuclear), spear-phising (hedef odaklı oltalama) e-postalar ve spam e-postalar
İnternete açık sunuculardaki yaması geçilmemiş zafiyetlerin sömürülmesi
Exploit kit (Angler, Neutrino)
Hedefli/Hedefsiz Saldırı Kanıtları
Yarı-Hedefli – Bir sosyal mühendislik aldatmacası olarak sahte fatura içerikleri kullanan spam e-postaları Hedefsiz (Hedef Gözetmeyen) – Kurbanların kitlesel enfeksiyonu Hedefsizden Yüksek Hedefliye – Kurum yöneticilerine isimleri ve iş ünvanlarıyla spear-phising e-postalar yollaması veya küçük ve orta büyüklükteki işletmelere fatura, sipariş, özgeçmiş ve evrak kopyası gibi içerikli aldatıcı mesajlar gönderilmesi  Yüksek Hedefliler – Ağa sızma tekniklerinin kullanılması (örneğin JBoss uygulama sunucularının zafiyetlerinin istismar edilmesi gibi) Hedefsiz (Hedef Gözetmeyen) – Kurbanların kitlesel enfeksiyonu
Şifreleme Teknikleri
 RSA-2048 ve AES-128  AES-256  AES-256 CBC ve RSA 2048  Rjindael ve RSA-2048  RSA-4096
Hareketleri/İşlemleri
Lokal, mounted veya ağ paylaşımındaki diski şifreler Ağdaki cihazları ve dosyaları şifreler Lokal, mounted veya ağ paylaşımındaki diski şifreler Ağdaki tehdit aktörüyle ağda yatay hareketler yapar Dosyaları şifreler, bilgi ve kullanıcı kimlik/giriş verilerini toplar

 

FİDYE YAZILIMLARININ BULAŞMASINI ENGELLEYEBİLECEK TEKNİKLER

Burada sıralayacağımız teknikleri kurumsal ortamdaki işleyişe göre uyarlayarak mümkünse tümünü birden uygulamakta yarar var. Çünkü alınmayan her bir önlem açık bırakılmış ve her an istismar edilmeye müsait tehlikeli bir delik olarak karşımıza çıkar ve fidye yazılımlarını engelleme işini başarısız kılar.

  1. Zafiyet ve Güncelleme Yönetimi: Cihaz ve sistemlerdeki işletim sistemi, yazılım ve firmware’lerin yamalarının geçilmiş ve güncellemelerinin yapıldığından emin olunmalı. Bunun için merkezi bir yama yönetim sistemi kullanmak işleri kolaylaştıracaktır.
  2. Proxy/Web Security Gateway Kontrolü: Özellikle kategori tabanlı filtreleme yapılabilen Web/URL filtreleme cihazlarında “uncategorized” ve/veya “newly registered websites” kategorisinin tamamen engellenmesi. Çok etkili olan bu yöntemde, fidye yazılımları şifrelemeyi gerçekleştirebilmek için gerekli olan anahatları internette çok da bilinir olmayan veya ele geçirilmiş kaynaklardan eriştiğinden, bir zararlı içeri bulaşmış olsa bile, gateway bazında erişimi bu sayede kesilmiş olacaktır. Ayrıca spear-phishing içindeki linklere erişim de genelde mümküm olamayacaktır.
  3. Endpoint Koruma Yazılımları: Antivirüs uygulamalarının düzenli olarak güncellenip güncellenmediği ve otomatik tarama yapıp yapmadığından emin olunmalı.
  4. Son Kullanıcı Farkındalığı: Kurum çalışanlarının şüpheli e-postalar ile içeriklere nasıl davranması gerektiğine dair düzenli eğitimler verilip, ne şekilde aksiyon almaları gerektiği anlatılmalı. Böylece kurum çalışanları ile güvenlik ekibi arasında düzenli ve doğru bir kanal oluşturulmuş ve hızlı aksiyon alınması sağlanacaktır.
  5. Ayrıcalıklı/Yetkili hesapların Yönetimi: Kurumdaki özel veya üst yetkilere sahip ayrıcalıklı hesapların merkezi ve en az ayrıcalık prensibine göre yönetilmesi. Yetkili hesapların mümkün olduğunca en az kişi tarafından ve sadece kısıtlı süreler için kullanılmasının sağlanması. Daha detaylı bilgi için: “Kurumsal Ağlarda Ayrıcalıklı Hesap Güvenliği“.
  6. En Az Yetki Prensibi: Ayrıcalıklı hesaplar için uygulanacak en az yetki prensibi, kullanıcıların eriştiği dosyalar, ağ paylaşımları ve dizinler için de uygulanmalı. Kullanıcılara çok zorunlu olmadığı sürece yazma/write yetkisi verilmemeli.
  7. Macro Script Kullanımı: Microsoft Office’de macro scriptlerinin çalıştırılamasına izin verilmemeli. E-posta ile taşınan Microsoft Office belgelerini mümkünse Office Viewer tarzı ürünlerde görüntülemeli.
  8. Yazılım Sınırlandırma Politikaları: Windows Group Policy üzerinden ransomware’lerin genelde çalıştığı klasör ve dizin konumlarında (temporary, AppData/LocalAppData vs) çalıştırılabilir dosyaların yürütülmesinin engellenmesi. Bununla ilgili olarak daha detaylı bilgi için: “Fidye Yazılımlarını Windows Group Policy ile Engelleyin“.
  9. Uygulama Whitelisting/Blacklisting: Son kullanıcı bilgisayarları ile kritik sistemler üzerinde çalıştırılabilecek programların sınırlandırılması, sadece belli öntanımlı uygulamalara izin verilmesi ve geri kalan tüm yürütülebilir dosyaların engellenmesi.

 

FİDYE YAZILIMLARININ ZARARLARINI İNDİRGEYEBİLECEK TEKNİKLER

  1. Kritik verilerin sıklıkla yedeğinin (backup) alınması ve bunların bütünlük kontrolünün (integrity) yapılması.
  2. Alınan yedeklerin mevcut çalışan ağ altyapısından uzakta ve bağımsız bir yerde barındırılması.
  3. Bulut tabanlı veya fiziksel yedek kullanılması. Bulut tabanlı yapılan gerçek zamanlı yedeklemelerde bazı fidye yazılımları bulut ortamındaki yedekleri de şifreleyebileceği için bu konuda özellikle dikkat edilmeli.
  4. Özel/spesifik programlar ve uygulamalar için VM ortamında ayrı bir ortam kullanılması.
  5. Verilerin organizasyonsal değerlerine göre sınıflandırılması ve sonrasında da ağların mantıksal veya fiziksel olarak farklı iş fonksiyonları bağlamında ayrıştırılması.
  6. İş sürekliliği (business continuity) testlerinin sürekli olarak yapılması, felaket kurtarmanın gerçekten çalışıp çalışmadığının kontrol edilmesi.
  7. Sızma testlerinin (penetration testing) düzenli olarak gerçekleştirilmesi.

 

Fidye yazılımlarını engelleme için kurumsal altyapıya ve iş fonksiyonlarına çok iyi hakim olunmalı ki korunma ihtimali artabilsin. Ayrıca sistemleri yönetenlerden son kullanıcılara kadar bütün paydaşları organize edebilmek de bu işin en önemli bir parçasıdır.

Referanslar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir