Forum
Merhabalar şirketimizde cyberoam firewall cihazı kullanıyoruz. Gece girip verilerimizi şifrelemişler oradan da nas cihazına girip yedekleri silmişler. Anlayamadığımız konu cihaz olduğu halde nasıl girebildiler? cihazı kuran firma kesinlikle girilemeyeceğini içerden birisinin yada şubelerden uzak masaüstü kullananlardan birisinin yaptığını söylüyor. Yardımcı olabilirmisiniz?
Merhabalar şirketimizde cyberoam firewall cihazı kullanıyoruz. Gece girip verilerimizi şifrelemişler oradan da nas cihazına girip yedekleri silmişler. Anlayamadığımız konu cihaz olduğu halde nasıl girebildiler? cihazı kuran firma kesinlikle girilemeyeceğini içerden birisinin yada şubelerden uzak masaüstü kullananlardan birisinin yaptığını söylüyor. Yardımcı olabilirmisiniz?
Bu konuda sunucularınızda ve yapıda inceleme yapmadan buradan birşey söylemek sadece tahmini olabilir
Clientlerinizde botnet olabilir, firmanın dediği gibi şubelerdeki clientler üzerinden erişmiş olabilirler.
Dışarıya açtığınız uygulama var ise onun açıklarını kullanmış olabilirler.
Oltalama vb ile parolalarınız ele geçirilmiş olabilir gibi bu seçenekler çoğaltılabilir.
iyi çalışmalar
Merhabalar şirketimizde cyberoam firewall cihazı kullanıyoruz. Gece girip verilerimizi şifrelemişler oradan da nas cihazına girip yedekleri silmişler. Anlayamadığımız konu cihaz olduğu halde nasıl girebildiler? cihazı kuran firma kesinlikle girilemeyeceğini içerden birisinin yada şubelerden uzak masaüstü kullananlardan birisinin yaptığını söylüyor. Yardımcı olabilirmisiniz?
Selamlar @YUSUGGOCMEN ,
Öncelikle geçmiş olsun. Vasvi Hocamızında belirttiği gibi çok farklı senaryolar oluşmuş olabilir ama genellikle maalesef ve maalesef nasıl olsa Firewall var diye rdp erişimini public olarak açan o kadar çok yapılandırmalar görüyoruz ki. Hatta UTM lerin bile bazen zero day açıkları çıkabiliyor iyi bir kurulum ve yapılandırma oldukça önemli olduğu gibi kurulumdan sonrası da oldukça önem arz etmektedir.
Galiba network harici bir yedekleme veya disaster senaryonuzda yok, böyle bir durumda korkarım ki hackerların insiyatifine kalmış durumdasınız.Cryptolanan dosyaların şifresinin çözülmesi opsiyonu yok denecek kadar tek çare NAS cihazından data recovery yapmaya çalışmak ki bu da genelde pek başarılı olamıyor çünkü normal yollardan silmiyorlar dosyaları. NAS üzerinde snapshot vardı ise belki bir ihtimal çözüm olabilir.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Çok geçmiş olsun.Epey ürkütücü bir tablo. Bu tarz durumlar için sanırım aylık dahi olsa bir bulut yedeği alınmalı.
Bu arkadaş bunları yazmış.
"
CEH ya da OSCP ya da GIAC gibi Sertifikalı Penetration Tester eğitimi almış olmaları gerekir böyle bir sızmaya karşı durabilmeleri için. Dedikleri sarımsak yerseniz korona olmazsını gibi bir manaya geliyor. O firewalleri ayarlamak, konfigure etmek, kurallar oluşturmak başlıbaşına bir eğitim gerektirdiği gibi benim gibi sisteme «anormal aktivite» türünde bir eylem yaratmadan sızabilenler için de faydasız. Virüs, trojen gibi arka kapılar açarak sisteme girmeye çalışanlar için etkili olabilir ancak bunun dışında yüzlerce yol var…
Ben bu işi 6 senedir yapıyorum. Bana yazdığınız türden mailler ile her gün karşılaşıyorum. Ne kadar ödeme talep edeceğime dair belli kriterlerim var, atarım belki tutar şeklinde miktar telaffuz etmiyorum. Size telaffuz ettiğim rakamın şirketinizi zor durumda bırakmayacağını düşündüğümden miktar konusunda müsterihim.
Eğer ödemeyi düşünürseniz bitcoin borsalarından bir tanesinin bekleme süresini kaldırdığını öğrendim şimdi sizi ona yönlendiririm."
firewall’ı ayarlayabilmek için saldırı tekniklerini bilmek lazım. Firewall satıp kuran kişilerin çok azı bunun farkında. Örneğin benim yaptığım sızma çalışmalarına karşı firewall’ı çok sofistike bir şekilde ayarlamak lazım ki daha sonraları sisteminiz üzerinde bir ayarlama için bile onu bir süreliğine devre dışı bırakmaları gerekiyor ki bu tür yerleri ben tespit edip otomatik ping yolu ile haftalarca o günü kolluyorum. O gün de multaka geliyor sistem belli bir zaman sonra güncellenmek zorunda kaldığından. Bu yüzden arkadaşlarınız bir noktaya kadar sorumlu bana göre. Klasik metodlara göre standart bir kurulumun adı genelde tüm ayarları yaptım oluyor bu piyasada.
Bu tip yazılan şeylere itibar edilmez konu doğru olup olmadıkları değildir, önemli olan sizin şirket yapınız, vakanın mevcut şeklidir. Bunu da deneyim sahibi değilseniz yerinde iyi bir firmaya inceleterek yapmalısınız. Bu kapsamda forumlardan çözüm bulmanız zor çünkü en yalın haliyle açık ortama firmanızın paylaşamadığınız bilgileri olur ancak sonra ki korunma tedbirleri noktasında fikir alabilirsiniz.
Phishing text; korkutma, aldatma, yanıltmaya yöneliktir o yüzden text'in içeriği değil vakanın gerçeği önemli. Bazı senaryolar da tehdit içeriğinin gerçekçi olmadığı, dataların kolayca geri alınabildiği durumlar olmuyor değil hani. Bunların tümü yerinde incelenmeli.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
teşekkür ederim arkadaşlar.. Yedekten geri dönüyoruz ama günümüz gitti.
Geçmiş olsun, harici bir yedek vardı o zaman.
Size önerim
1 - Acil Pentest yaptırın
2 - Pentest çıktılarını ciddiye alın ve bütçenizin yettiği ölçüde güvenlik sıkılaştırması yapın
3- Yedek senaryonuz çalışıyor muhtemel ki dönüyorsunuz ne olur ne olmaz cloud backup mutlaka alın.
Kolaylıklar.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
YUSUG GÖÇMEN merhaba,
Öncelikle geçmiş olsun, umarım bu sorunu en kısa sürede hızlı ve kayıpsız bir şekilde çözebilmşsinizdir.
Dosyaları kurtarma bildiniz mi bilmiyorum, eğer kurtaramadıysanız kullanılan ransomware uygulamasının uzantısından hangi ransomware olduğunu araştırabilirsiniz. Zaman zaman kullanılan ransomware uygulaması zayıf şifreleme algoritmaları kullanıyor olması nedeni ile şifreleme kırılabiliyor.
Bu yöntem çok kolay ve her zaman mümkün olan bir durum değil ancak göz atmak faydalı olabilir.
Şifre kırılamıyor ise backup dan dönülebilir, güncel backup anladığım kadarı ile yok, eski yada kartuş vs. de kalmış bir backup varsa oradan dönmeyi düşünebilirsiniz.
Dönülecek bir backup yoksa ödeme yapmayı veya verilerin geri döndürülemeyeceğini kabul edebilirsiniz.
ÖNEMLİ NOT 1: Zaman zaman bazı ransomware uygularında bir süre sonra zafiyetler çıkabiliyor, böyle bir durum olması durumunda elinizde hala şifreli dosyalar varsa dosyaları gelecekte kurtarma şansınız olabilir, bu nedenle elinizdeki şifreli dosyaları yedekleyin, ileride kurtarma şansınız olabilir.
ÖNEMLİ NOT 2: Ödeme yapılması her zaman verilerin kurtulacağı anlamına gelmiyor, zaman zaman ikinci kez ödeme talep edilebiliiyor veya saldırgan acemi olup veriyi şifrelerken veriyi bozmuş olabilir.
Saldırganın içeri nasıl girdiği oldukça önemli, çok farklı yöntemler söz konusu olabilir, bu nedenle adli bilişim incelemesi yapılması ve giriş noktasının tespit edilmesini gerekir.
Mevcut sistemlerin yeniden kurulması ve AD deki bütün kullanıcı parolaların değiştirilmesini öneririm. Sadece AD hesapları değil, firewall, VPN vb. cihazların, e-postaların, kurum dışında kuruma ait hesaplar (e-mail marketing vb) içinde parolaların değiştirilmesi faydalı olacaktır.
VPN için 2FA/MFA kesinlikle kullanılmalı.
Kurumunuza saldırı gerçekleştirilebilecek birçok yöntem olabilir ve saldırgan sadece bunlardan birisini tespit etmiş olabilir. Diğer yöntemlerinde tespit edilebilmesi için Hakan Uzuner'in de belirttiği gibi Sızma Testi (Penetration Testing) çalışmasını yaptırmanız ve tespit edilen bulguları hızla kapatmanızı öneririm. Sızma testlerinin kapsamıda oldukça önemli, DMZ, İnternal, Web, Mobile, Sosyal mühendislik vb. gibi. Aynı zamanda testi yapacak sızma testi uzmanının yetkinliğide oldukça önemli.
Backup sorunu şüphesiz en kısa sürede çözmeniz gereken konuların başında geliyor, cloud yada offline backup çözümlerini en kısa sürede hayata geçirmeniz gerekir.
Sızma Testi (Penetration Testing) çalışması genel olarak sizin olgunluk seviyenizi belli bir seviyeye getirecektir, sonrasında, Sıkılaştırma (Hardening) çalışmaların yapılması siber güvenlik olgunluğunuzu ileri seviyeye taşıyacaktır. Özellikle Anti Spam Gateway, Firewall, Active Directory, Kritik sunucularınız ve en az birkaç client PC için sıkılaştırma çalışması yapmanız faydalı olacaktır.
İlk aşamada bu çalışmaların yapılması faydalı olur sonrasında daha ileri seviye (SOC vb) siber güvenlik çalışmaları yapılabilir ancak öncelikle yukarıdaki maddeleri tamamlamanız faydalı olacaktır.
Çok geçmiş olsun.