Sonicwall WannaCry Hakkında Bilgilendirme


WannaCry isimli büyük bir fidye yazılımı saldırısı, dünyanın dört bir yanına ulaştı ve önemli bir alarm verdi. Aktif olarak çalışan ve düzgün bir şekilde kurulmuş Gateway Anti-virus ile (CGSS veya AGSS güvenlik servisleri) SonicWall firewall kullanıcıları WannaCry fidye yazılımına karşı korunmaktadır.
Saldırı Hakkında
Büyük bir fidye yazılımı saldırısı, İngiltere Ulusal Sağlık Hizmetleri(National Health Service) sistemindeki birçok hastanenin kapatılmasına, hastaların sağlık hizmeti alamamasına, dolayısıyla tüm dünyada paniğe neden oldu. Bu fidye yazılım versiyonu EternalBlue isimli bir istismarı kullanıyordu ve geçtiğimiz ay ShadowBrokers tarafından sızdırıldı. Saldırı, Windows 10’dan önceki Windows işletim sistemlerini etkiledi. Her ne kadar Microsoft 14 Mart’ta bir yama piyasaya sürdüyse de, bu yalnızca saldırının dâhili ağlarda yayılmasını engeller nitelikteydi ve dahi birçok kurum tarafından uygulanmadı. Tavsiye edilmediği halde, siber suçlulara ödeme yapmak dışında, WannaCry şifrelemesinden etkilenmiş dosyaların geri yüklenmesini ve deşifresini sağlayacak bilinen bir yöntem mevcut değil.
Güncelleme: 12 Mayıs 2017, Cuma günü yapılan açıklamaya göre, bir güvenlik araştırmacısı, WannaCry’ın kodu içerisinde öldürücü anahtar olarak kullanılan sabit kodlu kayıtsız bir domain aktive etti. Kodun mevcut versiyonları sistemler içerisinde aktif değil ve aktive edilemiyor ancak WannaCry tarafından kilitlenen sistemler şifreli kalıyor. Bu çözüm, yalnızca WannaCry yaratıcılarının yakın gelecekte yapacakları bir güncellemeye dek, enfeksiyonun ilerlemesini durdurma anlamına geliyor.

Koruma

SonicWall Capture Labs bu saldırıyı Nisan ortalarında tanımladı ve SonicWall, bu son saldırı tehlikesi esnasında, aşağıdaki ekran görüntüsünde görüldüğü üzere, güvenlik duvarı müşterilerine koruma sunmaktaydı. Kodun bilinen tüm versiyonlarının, aktif yeni nesil güvenlik duvarı aboneliği olan SonicWall müşteri ağlarına erişimi bloklandı.

Resim 1: *WannaCrypt.RSM (Yüksek Risk Alarmı)
SonicWALL, sizleri internette yaygınlaşmaya başlayan “WannaCrypt.RSM” adlı virüs konusunda bilgilendiriyor. Bu tehdit karşısında yüksek risk alarmı verilmiştir.
Tanım
WannaCrypt.RSM bir trojendir. Geçerli kullanım sağladığı izlenimini veren trojen programı, kullanıcının bilgisayarını kötü amaçlı birçok biçimde modifiye etmektedir. Trojenler çoğalmaz ve diğer bilgisayarlara sıçramazlar. 
Bir SonicWall müşterisi olarak,  Lisanslarınızın devam edip etmediğine emin olun.. WannaCry olarak bilinen fidye saldırılardan otomatik gerçek zamanlı korumayı ancak bu şekilde sağlarsınız. Gateway Anti-virüs (GAV) Intrusion Prevention (IPS), Botnet Filtreleme ve Uygulama Kontrolü gibi servisler WannaCry tarzı tehditlere karşı geliştirilmiş en önemli imzalara sahiptir, Bu Güvenlik servisleri sayesinde, WannaCry’ye karşı geliştirilmiş güncel imzalar, (GAV servisi ile) Microsoft’un güvenlik bültenlerinde yayınlanan MS17-010 güvenlik açıklarını (IPS imzaları ile) ve WannaCry’nin girişimde  bulunduğu C & C sunucuları ile olan iletişiminde (botnet filter servis ile) gerçek zamanlı koruma sağlar.
SonicWall Email Security Gateway çözümlerimizi kullanan müşterilerimiz yine bu tarz zararlı virüsler için geliştirilmiş imzalar sayesinde mail üzerinden gelen saldırılarıda engelleyecektir. Tüm fidye saldırılarının % 65′ i  e-posta üzerinden phishing yoluyla gerçekleştiğini hatırlatmak isteriz.. Bunlara ek olarak, SonicWall İçerik Filtreleme Servisi kullanan müşteriler, benzer şekilde çalışan kötü amaçlı URL’ ler ve alanlarla olan iletişimi engellemek için mutlaka aktif etmelidir. Botnet filter özelliği sayesinde C & C sunucularına olan iletişimi engelleyecektir.
Kötü amaçlı yazılımların %50′ den fazlası şifrelendiği için, her zaman en iyi uygulama olarak görünen yöntem tüm SSL / TLS (DPI-SSL) trafiğini açmak ve denetimini yapmaktır. Bu güvenlik servisi sayesinde bilinen tüm fidye saldırılarını tanımlamasını ve engellemesini sağlayacaktır. DPI-SSL servisini aktif ederek , aynı zamanda Firewall ‘un bilinmeyen dosyaları Capture Advanced Threat Protection servisi ile birden fazla database üzerinden analiz edilmesi ve benzer üretilmiş varyantlarıda keşfedebilmesi için çok önemli bir adımdır.
SonicWall Capture servisi bu atağı Nisan ayının ortasında tanımladı ve kullanıcılarına SonicWall’un aktif güvenlik servisleri üzerinden otomatik olarak yükleyerek koruma sağladı.

Sırada Ne Var?
Bu saldırı ardındaki taraflar, bizim hâlihazırda koruma sunduğumuz farklı saldırı versiyonları da piyasaya sürdüler. İlk olarak; yeni geliştirilen güncellemelerden ve benzer saldırılardan korunmak adına, kaynaklar bölümünde Microsoft tarafından listelenen Windows yamasını uygulayın. Sonrasında, Cerber ransomware vakasında olduğu gibi en güncel tehditleri durdurmak ve ağınıza ulaşan şüpheli dosyaları incelemek adına Sonicwall’un çok-motorlu kum havuzu, Capture Advanced Threat Protection’ı uygulayın. Kötü amaçlı yazılımlar ağınıza ulaşmadan, bu hizmetlerin bloklarını etkinleştirmeli ve tüm dosyaların analizini tamamlamasına izin vermelisiniz.
Kaynaklar

Yorumlar