[Çözüldü] Server hacklenmesi hakkında

Gönderen: @YUSUGGOCMEN

Merhabalar şirketimizde cyberoam firewall cihazı kullanıyoruz.  Gece girip verilerimizi şifrelemişler oradan da nas cihazına girip yedekleri silmişler. Anlayamadığımız konu cihaz olduğu halde nasıl girebildiler? cihazı kuran firma kesinlikle girilemeyeceğini içerden birisinin yada şubelerden uzak masaüstü kullananlardan birisinin yaptığını söylüyor. Yardımcı olabilirmisiniz?

Bu konuda sunucularınızda ve yapıda inceleme yapmadan buradan birşey söylemek sadece tahmini olabilir

Clientlerinizde botnet olabilir, firmanın dediği gibi şubelerdeki clientler üzerinden erişmiş olabilirler.

Dışarıya açtığınız uygulama var ise onun açıklarını kullanmış olabilirler.

Oltalama vb ile parolalarınız ele geçirilmiş olabilir gibi bu seçenekler çoğaltılabilir.

iyi çalışmalar

Gönderen: @YUSUGGOCMEN

Merhabalar şirketimizde cyberoam firewall cihazı kullanıyoruz.  Gece girip verilerimizi şifrelemişler oradan da nas cihazına girip yedekleri silmişler. Anlayamadığımız konu cihaz olduğu halde nasıl girebildiler? cihazı kuran firma kesinlikle girilemeyeceğini içerden birisinin yada şubelerden uzak masaüstü kullananlardan birisinin yaptığını söylüyor. Yardımcı olabilirmisiniz?

Selamlar  @YUSUGGOCMEN ,

Öncelikle  geçmiş  olsun. Vasvi Hocamızında  belirttiği gibi çok farklı senaryolar  oluşmuş  olabilir ama genellikle  maalesef ve maalesef  nasıl olsa  Firewall var diye  rdp erişimini public  olarak  açan o kadar  çok yapılandırmalar  görüyoruz ki. Hatta  UTM lerin bile  bazen zero day  açıkları çıkabiliyor iyi bir  kurulum ve  yapılandırma  oldukça  önemli  olduğu gibi  kurulumdan  sonrası da  oldukça  önem  arz  etmektedir.

Galiba  network harici bir  yedekleme veya  disaster senaryonuzda yok, böyle  bir  durumda korkarım ki hackerların insiyatifine  kalmış durumdasınız.Cryptolanan  dosyaların şifresinin çözülmesi opsiyonu  yok denecek  kadar  tek çare  NAS cihazından  data  recovery  yapmaya  çalışmak ki bu da  genelde  pek  başarılı olamıyor  çünkü normal yollardan  silmiyorlar  dosyaları. NAS  üzerinde  snapshot vardı ise  belki  bir ihtimal çözüm olabilir.

Çok geçmiş olsun.Epey ürkütücü bir tablo. Bu tarz durumlar için sanırım aylık dahi olsa bir bulut yedeği alınmalı. 

Bu arkadaş bunları yazmış. 

"

CEH ya da OSCP ya da GIAC gibi Sertifikalı Penetration Tester eğitimi almış olmaları gerekir böyle bir sızmaya karşı durabilmeleri için. Dedikleri sarımsak yerseniz korona olmazsını gibi bir manaya geliyor. O firewalleri ayarlamak, konfigure etmek, kurallar oluşturmak başlıbaşına bir  eğitim gerektirdiği gibi benim gibi sisteme «anormal aktivite» türünde bir eylem yaratmadan sızabilenler için de faydasız. Virüs, trojen gibi arka kapılar açarak sisteme girmeye çalışanlar için etkili olabilir ancak bunun dışında yüzlerce yol var… 

Ben bu işi 6 senedir yapıyorum. Bana yazdığınız türden mailler ile her gün karşılaşıyorum. Ne kadar ödeme talep edeceğime dair belli kriterlerim var, atarım belki tutar şeklinde miktar telaffuz etmiyorum. Size telaffuz ettiğim rakamın şirketinizi zor durumda bırakmayacağını düşündüğümden miktar konusunda müsterihim.

Eğer ödemeyi düşünürseniz bitcoin borsalarından bir tanesinin bekleme süresini kaldırdığını öğrendim şimdi sizi ona yönlendiririm."

firewall’ı ayarlayabilmek için saldırı tekniklerini bilmek lazım. Firewall satıp kuran kişilerin çok azı bunun farkında. Örneğin benim yaptığım sızma çalışmalarına karşı firewall’ı çok sofistike bir şekilde ayarlamak lazım ki daha sonraları sisteminiz üzerinde bir ayarlama için bile onu bir süreliğine devre dışı bırakmaları gerekiyor ki bu tür yerleri ben tespit edip otomatik ping yolu ile haftalarca o günü kolluyorum. O gün de multaka geliyor sistem belli bir zaman sonra güncellenmek zorunda kaldığından. Bu yüzden arkadaşlarınız bir noktaya kadar sorumlu bana göre. Klasik metodlara göre standart bir kurulumun adı genelde tüm ayarları yaptım oluyor bu piyasada.

Bu tip yazılan şeylere itibar edilmez konu doğru olup olmadıkları değildir, önemli olan sizin şirket yapınız, vakanın mevcut şeklidir. Bunu da deneyim sahibi değilseniz yerinde iyi bir firmaya inceleterek yapmalısınız. Bu kapsamda forumlardan çözüm bulmanız zor çünkü en yalın haliyle açık ortama firmanızın paylaşamadığınız bilgileri olur ancak sonra ki korunma tedbirleri noktasında fikir alabilirsiniz.

Phishing text; korkutma, aldatma, yanıltmaya yöneliktir o yüzden text'in içeriği değil vakanın gerçeği önemli. Bazı senaryolar da tehdit içeriğinin gerçekçi olmadığı, dataların kolayca geri alınabildiği durumlar olmuyor değil hani. Bunların tümü yerinde incelenmeli.

teşekkür ederim arkadaşlar.. Yedekten geri dönüyoruz ama günümüz gitti. 

Geçmiş olsun, harici bir yedek vardı o zaman.

Size önerim

1 - Acil Pentest yaptırın

2 - Pentest çıktılarını ciddiye alın ve bütçenizin yettiği ölçüde güvenlik sıkılaştırması yapın

3- Yedek senaryonuz çalışıyor muhtemel ki dönüyorsunuz ne olur ne olmaz cloud backup mutlaka alın.

Kolaylıklar.

YUSUG GÖÇMEN merhaba,

Öncelikle geçmiş olsun, umarım bu sorunu en kısa sürede hızlı ve kayıpsız bir şekilde çözebilmşsinizdir.

Dosyaları kurtarma bildiniz mi bilmiyorum, eğer kurtaramadıysanız kullanılan ransomware uygulamasının uzantısından hangi ransomware olduğunu araştırabilirsiniz. Zaman zaman kullanılan ransomware uygulaması zayıf şifreleme algoritmaları kullanıyor olması nedeni ile şifreleme kırılabiliyor.

Bu yöntem çok kolay ve her zaman mümkün olan bir durum değil ancak göz atmak faydalı olabilir.

Şifre kırılamıyor ise backup dan dönülebilir, güncel backup anladığım kadarı ile yok, eski yada kartuş vs. de kalmış bir backup varsa oradan dönmeyi düşünebilirsiniz. 

Dönülecek bir backup yoksa ödeme yapmayı veya verilerin geri döndürülemeyeceğini kabul edebilirsiniz.

ÖNEMLİ NOT 1: Zaman zaman bazı ransomware uygularında bir süre sonra zafiyetler çıkabiliyor, böyle bir durum olması durumunda elinizde hala şifreli dosyalar varsa dosyaları gelecekte kurtarma şansınız olabilir, bu nedenle elinizdeki şifreli dosyaları yedekleyin, ileride kurtarma şansınız olabilir.

ÖNEMLİ NOT 2: Ödeme yapılması her zaman verilerin kurtulacağı anlamına gelmiyor, zaman zaman ikinci kez ödeme talep edilebiliiyor veya saldırgan acemi olup veriyi şifrelerken veriyi bozmuş olabilir.

Saldırganın içeri nasıl girdiği oldukça önemli, çok farklı yöntemler söz konusu olabilir, bu nedenle adli bilişim incelemesi  yapılması ve giriş noktasının tespit edilmesini gerekir.

Mevcut sistemlerin yeniden kurulması ve AD deki bütün kullanıcı parolaların değiştirilmesini öneririm. Sadece AD hesapları değil, firewall, VPN vb. cihazların, e-postaların, kurum dışında kuruma ait hesaplar (e-mail marketing vb) içinde parolaların değiştirilmesi faydalı olacaktır.

VPN için 2FA/MFA kesinlikle kullanılmalı.

Kurumunuza saldırı gerçekleştirilebilecek birçok yöntem olabilir ve saldırgan sadece bunlardan birisini tespit etmiş olabilir. Diğer yöntemlerinde tespit edilebilmesi için Hakan Uzuner'in de belirttiği gibi Sızma Testi (Penetration Testing) çalışmasını yaptırmanız ve tespit edilen bulguları hızla kapatmanızı öneririm. Sızma testlerinin kapsamıda oldukça önemli, DMZ, İnternal, Web, Mobile, Sosyal mühendislik vb. gibi. Aynı zamanda testi yapacak sızma testi uzmanının yetkinliğide oldukça önemli.

Backup sorunu şüphesiz en kısa sürede çözmeniz gereken konuların başında geliyor, cloud yada offline backup çözümlerini en kısa sürede hayata geçirmeniz gerekir.

Sızma Testi (Penetration Testing) çalışması genel olarak sizin olgunluk seviyenizi belli bir seviyeye getirecektir, sonrasında, Sıkılaştırma (Hardening) çalışmaların yapılması siber güvenlik olgunluğunuzu ileri seviyeye taşıyacaktır. Özellikle Anti Spam Gateway, Firewall, Active Directory, Kritik sunucularınız ve en az birkaç client PC için sıkılaştırma çalışması yapmanız faydalı olacaktır.

İlk aşamada bu çalışmaların yapılması faydalı olur sonrasında daha ileri seviye (SOC vb) siber güvenlik çalışmaları yapılabilir ancak öncelikle yukarıdaki maddeleri tamamlamanız faydalı olacaktır.

Çok geçmiş olsun.