Wannacry Tespit Ve Korunma Yöntemleri

 

 

12 Mayıs’ta dünya çapında birçok kuruluşu etkileyen büyük çapta bir fidye yazılımı saldırısı gerçekleştirilmiştir. Bu konudaki çeşitli istatistik sonuçlarına göre en çok Rusya’da olmak üzere 74 ülkede en az 45.000 fidye yazılımı bulaştırma teşebbüsü saptanmıştır.

 

Bu siber saldırının baş rolü olan WannaCry fidye yazılımı, kurbanlarına Microsoft Windows’un SMBv1 sisteminde bulunan ve Microsoft Güvenlik Bülteni MS17-010 (CVE-‎2017-0144) kapsamında tanımlanıp-kapatılmış olan bir güvenlik açığından faydalanarak bulaşmaktadır. Kullanılan “Eternal Blue” adlı exploit, 14 Nisan 2017’de Shadow Brokers hacker grubu tarafından NSA’in hacking araçlarını ifşa etmesiyle ortaya çıkmıştı.

 

Diğer yandan, Türkiye’deki SMB (445) portu internete açık olup ve MS17-010 zafiyetini barındırma potansiyeli olan sistemlerin sayısı 15,497’dir. (Tespit tarihi: 22.05.2017)

 

 

 

MS17-010 ZAFİYETİ NASIL TESPİT EDİLİR?

 

Ağınızda bu kritik seviyeli zafiyeti barındıran makineleri tespit etmek için Nmap programı kullanacağız. Ancak bu taramada bize “smb-vuln-ms17-010.nse” isimli Nmap scripti yardımcı olacaktır.

 

Scripti buradan https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse indirebilirsiniz.

 

İndirilen scripti Linux sistemlerde;

/usr/share/nmap/scripts/ veya /usr/local/share/nmap/scripts/

 

 

Windows sistemlerde;

C:\Program Files (x86)\Nmap\scripts\

 

OSX sistemlerde ise;

/opt/local/share/nmap/scripts/

 

dizinlerinin altına kopyalamalısınız.

 

Scriptin Zenmap/Nmap ile örnek kullanımı aşağıdaki gibidir:

 

 

KORUNMA YÖNTEMLERİ

 

Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017’de yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir. (https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/)

 

İnternete hizmet veren sistemlerinizdeki 445/TCP portunun kapatılması gerekmektedir.

 

Tüm ağ noktalarında güvenlik çözümlerinin aktif olduğundan emin olun.

 

Davranışsal proaktif bir tespit bileşeni olan ve güncel imza veritabanına sahip güvenlik yazılımı kullanın. Böylece bir virüs taraması gerçekleştirin.

 

İnternete açık sunucularınızda MS17-010 zafiyetinin olup olmadığını http://ms17-10.com üzerinden de online olarak ücretsiz bir şekilde test edebilirsiniz.

 

 

YAMA DOĞRULAMA

 

İşletim sistemleriniz üzerinde (XP-7, 8, 8.1-2K8, 2K8R2, 2012, 2012R2, 10) ilgili güvenlik güncellemelerinin kurulu olup olmadığını test etmek amacıyla aşağıdaki vbscript kodunu kullanabilirsiniz.

 

Yeni bir metin belgesi oluşturup içerisine aşağıdaki kodları yapıştırıp *.vbs ismiyle kaydediniz.

Kaydedilen script’i çift tıklayıp çalıştırdığınızda arka planda gerekli güncellemelerin kurulu olup olmadığı kontrol edecek ve size bilgi verecektir.

 

‘———————–

 

Dim KBList

Set KBList = CreateObject(“System.Collections.ArrayList”)

KBList.Add “4012212”

KBList.Add “4012213”

KBList.Add “4012214”

KBList.Add “4012215”

KBList.Add “4012216”

KBList.Add “4012217”

KBList.Add “4012598”

KBList.Add “4012606”

KBList.Add “4013198”

KBList.Add “4013429”

KBList.Add “4019474”

KBList.Add “4015221”

KBList.Add “4016637”

KBList.Add “4015219”

KBList.Add “4016636”

KBList.Add “4019473”

KBList.Add “4019472”

KBList.Add “4015217”

KBList.Add “4015438”

KBList.Add “4016635”

KBList.Add “4015549”

KBList.Add “4015550”

KBList.Add “4015551”

KBList.Add “4019215”

KBList.Add “4019216”

KBList.Add “4019264”

 

Set WshShell = CreateObject(“WScript.Shell”)

 

WshShell.Run “cmd /c wmic qfe list | clip”, 0, True

 

For Each kb In KBList

 If InStr(CreateObject(“htmlfile”).ParentWindow.ClipboardData.GetData(“text”), “KB” + kb) > 0 Then

  MsgBox(“Sisteminiz gerekli guncellemeleri almis ve guvenli! (KB” + kb + “)”)

  WScript.Quit

 End If

Next

 

MsgBox(“Sisteminize gerekli guncellemeler yuklenmemistir! Windows Update calistirmalisiniz!”)

 

 

 

 

Teşekkürler.

Exit mobile version