Fidye Virüslerinden Etkin Korunma Yolları (Ransomware — Kripto Virüs)
Bu yazımda sektörün başını çok ağrıtan fidye virüslerinden nasıl korunabileceğinize dair araştırmalarımı ve kendi deneyimlerimi anlatacağım. Uzun ama etkili bir makale olacak.
Yazıda ilk olarak bireysel kullanıcıları sonrada şirket içi ticari kullanımda ne gibi önlemler alınabileceğinden iki ana başlıkta bahsedeceğim.
İlk Olarak Son Kullanıcılar (Bireysel İş ve Ev Kullanıcıları) için Tavsiyeler
1- Güncel bir antivirüs yazılımı kullanın ve AV için şifre koyun
Veri tabanı eski antivirüsler güncel imzaları olmadığı için yeni tip virüsleri tanıyamaz. Bazı araçlar ise ileri düzey yöntemler kullandıkları için her antivirüs tanıyamayabilir ve sisteme erişim elde ederler. Bu durumda ilk deneyeceği şey antivirüsü devre dışı bırakmaktır. Eğer antivirüs şifreniz güçlü ise ayarları değiştirme yada devre dışı bırakma işlemlerini yapamayacağı için yine korunmuş olacaksanız çünkü şüpheli işlemler bloklanacaktır. Mutlaka Antivirüs yazılımınıza şifre koyun, şifre güçlü bir şifre olsun ki brute force ile kırana dek antivirüs onu yakalasın. Ancak ücretsiz Antivirüs sürümlerde bu durum geçerli olmayabilir dahası ücretsiz birçok antivirüs programının aktif tarama veya aktif güvenlik duvarı özelliği yok. İyi bir antivirüs yazılımı için ödeme yapmanız israf yada gereksiz değil, şarttır.
2- Güncel bir işletim sistemi kullanın ve güncellemeleri kapatmayın
Windows Xp ve Windows 7 kullanımı tamamen bitirilmeli yerine Windows 10 ve gelecekte çıkacak Windows 11 gibi sürümlere terfi edilmeli
Windows 7 Ocak 2020 itibarıyla desteği bitti. Bu şu anlama geliyor. Güvenlik güncellemeleri dahil herhangi bir güncelleme almayacak. Ocak 2020 itibarıyla artık Windows 10 gibi güncel bir sürümüne geçin.
MAC kullanıcıları da Apple tarafından verilen tüm güncellemeleri özellikle güvenlik amaçlı olanları yükleyin. Desteği bitmiş MAC sürümleri kullanmayın. Windows 10 kullanıyorsanız zaten güncellemeleri kapatmanız zor ama bir şekilde devre dışı bırakıp güncellemeleri kapatmışsanız başınıza gelecekleri hak etmişiniz demektir. Windows 10'da güncellemeleri denetlemek için Ayarlar > Güncelleştirme ve Güvenlik > “Güncelleştirmeleri Denetle” dedikten sonra güncellemeleri yüklemesine varsa sürüm yükseltmesine izin verin.
3- Gölge kopyayı etkinleştirme deneyimi
Windows 7'de gölge kopya etkinleştirmek için Sistem Özellikleri’ne gidip Yapılandır diyerek bölümlenmiş disklerde sizin için önemli olan bölümde gölge kopyayı açabilirsiniz. Windows 10'da ise gölge kopya için Ayarlar > Güncelleştirme ve Güvenlik > Yedekleme kısmında Dosyalarımı Otomatik Olarak Yedekle seçeniğini açın.
Not: Windows 10 gölge kopya işlemi için ikinci bir disk istiyor. Gölge kopya oluşturduktan sonra mutlaka Windows’unuzu ya admin yetkisi ile kullanmayın yada gölge kopya servisini (ileri düzey) yapılandırın. Tabi bu fidye virüslerini ve kazara silinmeleri engellemek için geçerli bir durum. Administator yetkisi ile ilgili detaylar için bir sonraki başlığa geçin.
4- Mümkünse bilgisayarları “Adminisrator” yetkisi ile kullanmayın
Gölge kopya etkinleştirildikten sonra yapılan büyük bir hata var. Gölge kopya etkin iken dosyalar güvende algısı oluşuyor ama bu durum böyle değil çünkü virüsü yazan çoğu insan aptal değildir. Gölge kopya oluşturabileceğinizi tahmin ettikleri için kripto virüs dosyası kendi içerisinde gölge kopyaları silen bir araçla gelir. Eğer siz Administrator yetkisi ile bilgisayarınızı kullanırsanız virüsün kriptolamadan önce ilk yapacağı şey gölge kopyaları silmek olacaktır. Eğer gölge kopya açıksa bireysel kullanıcıların kesinlikle administrator yetkisinde bir hesap kullanmamasını tavsiye ediyorum. Bu çok önemli ve çok etkili bir korunma yöntemidir ve Antivirüs olmasa dahi güncel sistemlerde bilinen tehditlere karşı sizi koruma başarısı çok yüksektir.
Administrator olarak kullanmaya devam edenler için gölge kopya c:\Windows>System32 klasöründe vssvc.exe dosyasının adını değiştirin, mmc konsolda yeni bir konsol oluşturun. Gölge kopya bu servisi kullanır ancak bu ileri düzey bir ayarlama ve yapılandırma gerekir çünkü gölge kopya servisi otomatik çalışmayabilir bu durumda ek çaba sarf ederek deneyimlemeniz gerekiyor.
5- Mail güvenliği ve ekleri çok önemlidir. Antivirüs ile gelen Web ve Antispam filtresini etkinleştirin
Mail eklerinde dikkat edin, hiç kullanmadığınız bir ürünün yüksek fiyatlı faturası size gelmez! Ayrıca yıllardan beri aldığınız fatura maillerine dikkat edin gayet düzgün bir Türkçe ile yazılmış, düzgün bir şablona/tasarıma oturtulmuş ve genelde hatasızdır. Ama sahte mailler öyle değildir. Ek dosyası gönderen kişinin mail adresi uzantısına iyi bakın @turkcell.com.tr , @garanti.com.tr yada @vodafone.com.tr gibi düzgün bir uzantıya sahip değilse açmayın. Ek uzantılarıda bazen fatura.pdf.exe gibi uzantılar da olabilir, rar dosyası içerisinde gizlenmiş de olabilir. Windows kullanıcı iseniz dosya uzantılarını görerek çalışmayı tercih edin.
Eğer bilgisayarınızda kurulu bir antivirüs var ise Web Antivirüs ve Antispam özelliklerini destekliyorsa açın, ayrıca Outlook gibi mail programları kullanıyorsanız eklentilerini de kurmakta fayda var çünkü antivirüs yazılımları şifreli bağlantı olduğu zaman HTTPS trafiğini dinleyemez. Dosya bilgisayarınıza ulaşıp açıldığında bunları taramaya başlar. Bu durumda dosya çoktan açılmış olabileceği için, https decryption özelliği olan yada eklenti ile bunu sağlayan AV kullanmaya özen gösterin.
6- Mümkünse Bulut Servislerini Kullanın
Onedrive, Google Drive, Dropbox, Digital Ocean, Turkcell Depo vs.. bulut servislerini önemli datalarınız Excel, Word, PDF gibi 10–15 GB’ı aşmayan dosyalar için ücretsiz kullanabileceğiniz servislerdir.
Fotoğraflar ve Videolar veya iş verileri ile dolu datalarınız var ise bu servislerin ücretli paketlerini kullanabilirsiniz. Bu servislerdeki verileriniz şifrelense bile önceki sürümlere geri dönebiliyorsunuz. Yeterki bulut hesabınızı kaptırmayın. Şifrenizi korumak için 2FA/MFA yöntemi olan SMS yada doğrulama yazılımları kullanmanızda yarar var. Kullandığınız bulut servislerinde önceki sürümlere dönme özelliği olup olmadığını test etmelisiniz yurt içinde bir bir bulut servis ise telefonla bilgi alabilirsiniz. Onedrive’ın önceki sürümlere (gölge kopya gibi) geri dönme özelliği var. Uzun zamandır Microsoft 365 paketi ile kullanmaktayım ve memnunum ama maalesef pahalı bir servis.
ŞİRKETLERDE ÇALIŞAN SİSTEM YÖNETİCİLERİ İÇİN FİDYE YAZILIMLARINDAN KORUNMA TAVSİYELERİ
1- Gelişmiş Bir Yedekleme Yazılımı Kullanın
Şirketlerde yedekleme yapmanın birçok yolu vardır. Senaryolar eldeki imkanlara göre değişkenlik göstermektedir. Yedekleme prosedürlerini yoksa oluşturun var ise test edin.
Artık sanal makine ve data boyutları büyük, metro internet hızları ise pahalı. Bütçeleme yapmak ve onu tutturmak bir cambazlık gerektiriyor ama en azından veri tabanı yedeklerinizi mümkünse bulutta bir yerde ikinci bir yedek olarak tutun. En kötü haftada bir (verinin büyüklüğüne göre) üçüncü bir yedek olarak taşınabilir bir diske yada kasete yedek alın ve ağ ortamının dışında tutun. Hatta şirket binası dışında tutun. Şirket dışında tutma sebebiniz felaket senaryolarına karşı koymak için ve aynı zamanda erişilemez olması.
Sanalda çalışan makineleri veya hipervizör’ün komple yedeğini sadece domain admin’in erişebileceği bir noktada ve bir kopyasını network dışında tutun. Son kullanıcı bilgisayarlarına domain admin şifresini asla kaydetmeyin. Network segmentasyonu ve data izolasyonu çok önemlidir. Domain Admin şifresini kaptırırsanız bu önlemlerin hepsinin boşa gideceğini unutmayın. Ekip halinde çalışıyorsanız bakınız : Just Enough Administration ve Just In Time Administration
SQL Server, Oracle, Exchange Server, File Server, Domain Controller gibi iş kritik sunucuların sadece kendisini değil yedeklerini de iyi korumanız gerekiyor. Tabiri caiz ise yedekleriniz kurşun geçirmez olmalıdır. Şimdi burada Windows mu? Linux mu? polemiği yaratmayayım ama ister Windows tabanlı Hyper-V Server, ister Vmware kullanın güncel ve güvenli bir yapı kurgulamaz ve uygulamaz iseniz tüm sanal makinelerin diskleri şifrelenebilir. Güvenlik kurduğunuz yapıya,bütçeyeve tecrübenize bağlı bir konudur.
2- Sunucularda Gölge Kopyayı Etkinleştirin
Gölge kopya (sahdow copy) oldukça işe yarayan bir yöntemdir. Disk alanınız göre optimize edin. Neticede en fazla 1 hafta gölge kopya tutsanız işinizi çözer. Gölge kopya IOPS değerlerini arttırır ve performansa olumsuz etki edebilir. Dosya sunucularda (file server) herkese açık paylaşımlar olduğundan client tarafından gelecek virüs sadece onun erişeceği ağ yolundaki alanı şifreleyeceği için yedekten yada daha pratik olarak gölge kopyadan dönüş her zaman hızlı bir çözüm üretir. Aynı zamanda paylaşımı herkese açık olan bir klasörü biri yanlışlıkla silebilir yada değiştirebilir. Örneğin Puantaj, Arşiv kaynakları yada kaynak klasörleri gibi… En önemlisi kriptolanmış bir klasörü belirlediğiniz zamana geri döndürebilirsiniz. Sunucuda gölge kopya açmak IOPS değerlerinizi yükseltir demiştik ama aynı zamanda SSD disklerin ömrünü de kısaltabilir. Disklerde uygun RAID yapılandırma, gölge kopya için uygun saatlerin ve miktarın seçimi performansı ve toleransını arttırır.
3- Firewall (Güvenlik Duvarı) Kullanın ve Dışarıya Açık Servisleri Kapatın
Fidye virüsleri dışarıya uzak bağlantı RDP (3389) ve SQL portlarını çok sever. Örneğin dışarıya açık SQL kurduğunuz an dakikalar içerisinde yüzlerce port taraması ve brute force saldırısı yersiniz. Oturum sanallaştırma platformlarının güvenliği sağlamak zordur. Ayrıca veri tabanlarında 1433 (SQL) veya 1521 (Oracle) portunun da dışarıya açık olan ortamlarda 1 milyon kadar kullanıcı adı veya şifre denemesi yapabilirler (danışmanlık verdiğim şirketlerden biliyorum). Veri tabanı ve RDP bağlantısı buna rağmen açıksa default portları değiştirmek günü kurtarabilir ama değiştirilmiş portun da keşfi çok sürmüyor. Zaten bazı sızma testlerinde de orta seviye risk olarak default portların kullanılma sebepleri bulgular arasında gösterilmektedir. Sabit bir IP adresiniz varsa IP adresini belirli aralıklarla değiştirmek de artık pek bi fayda sağlamıyor. 3 — 5 dakika içerisinde açık portlar ve yeni IP adresleri siber uzayda keşfedilmiş oluyor. Shodan üzerinden siz bile bu taramayı yapabilirsiniz.
Güvenlik duvarınız var ise dışarıya açık tüm servisleri kapatın ve gerekmedikçe açmayın. Şirket dışı bağlantılar için VPN gibi servisler kullanın. Windows sunucuların varsayılan “Administrator” kullanıcı adını değiştirin. Son kullanıcılar için Local Administrator Password Solution (LAPS) aracı merkezi olarak lokal hesapları yönetebildiğiniz için tavsiyedir. SQL Server gibi veri tabanlarında “sa” kullanıcısını mümkünse disable duruma getirin. Özellikle güvenlik duvarı olmayan yerlerde “Windows Güvenlik Loglarında” Event ID 4625 olarak kontrol ederseniz SQL’e sık sık “sa” kullanıcısı ile deneme yapıldığını görebilirsiniz.
4- İş-kritik sunucuları birbirinden ayırın. Bütün yumurtaları aynı sepete koymayın.
Kafanızda canlandırın, veri tabanı ile CRM/ERP gibi uygulamalar aynı sunucuda çalışırsa olursa neler olur? Tabi ki bütün yumurtalar aynı sepette olur. Bu genel bir örnek çünkü yapıya göre değişmektedir ama sistem tasarımını hep bu mantıkta yapın. Bir kritik sunucu tek bir işi yapsın ki atak yüzeyini siz de düşürmüş olursunuz. Ek olarak veri tabanı kullanıcısının izni (yani ERP veya CRM için girdiğiniz kullanıcı) sadece veri okuma ve yazma olsun. Ver yetkiyi gör etkiyi :)
Tabiki bu durum işletmenin büyüklüğüne ve kesinti süresinin esnekliğine göre değişir. Ben temel olarak kritik sunucuların tek bir işi yapmasını dikkate alaraktan yazıyorum. Yedekli çalışma olaylarını hesaba katmıyorum bile. Sistem tasarımı önemlidir ve ilk başta düzgün yapılırsa uzun süre sağlıklı şekilde çalışacaktır.
5- Şirket Maili Kullanıyorsanız Güçlü Bir Anti-Spam Filtresi Kullanın
Maillerden ve eklerinden gelecek belalardan korunmak için Microsoft Exchange için Exchange Online Protection’ı kullanmanızı tavsiye ederim kullanıcı başı aylık ücretlendiriliyor. Şirketinizde kurulu bir mail server var ve güçlü bir firewall kullanıyorsanız iyi bir koruma yöntemi olabilir. Antispam paketini satın aldığınızdan emin olun. Yapılandırma dokümanlarını ve güncellemeleri takip ederek sistemi güncel tutun. Mail eklerinde filtreleme yapın. Exe uzantılı bir ek maili sistemden geçmesin. Emeğiniz heba olmasın.
6- Yetki Matrisi Kullanın, Lokal Admin Yetkisi Gerekmedikçe Kimseye Vermeyin
Genelde iş arkadaşlarınız bu durumu yanlış anlıyor. “Bana da mı güvenmiyorsun?” Yani mesele güven değil, siz lokal admin yetkisini herkesten aldığınız zaman risk yüzeyini ciddi derecede azaltmış oluyorsunuz. Son kullanıcı bilgisayarına bilerek yada bilmeyerek abuk subuk programlar kuramıyor, arkapılana çalışan kötü niyetli bir servis ekleyemiyor ve yönetici işlemleri yapamıyor. Böylece uç nokta güvenliğinde güncel bir sistem kullanıyorsanız çığır açmış oluyorsunuz :)
7- Son Kullanıcıları Eğitin
Eğitim şart çünkü mail ekleri, flash bellekleri ve internet de bilinmeyen tehditlerle yüz yüze kalacaklar yine şirket çalışanları olacağı için periyodik olarak yılda 1 kez de olsa temel bilgi güvenliği ve teknoloji eğitimi verin.
8- Client Bilgisayarlarında PowerShell, AutoPlay ve Windows Script Host’u Kapatın
Çalıştığım bir şirkette benden önce bir vaka yaşanmış, vakanın yaşandığı bilgisayarın imaj dosyasını tesadüfen sunucuda bulmuştum. Yaptığım analizde saldırgan tuzak mailini açtırdıktan sonra arkaplandaki süreci powershell ile yürütüyordu ve kripto sürecinde de başarılı olmuş. Son kullanıcılarda özel amaçlarla kullanılmıyorsa Group Policy gibi merkezi yönetim araçları ile toplu şekilde güvenlik sıkılaştırması uygulayın. Powershell bellekte çalıştığı için çoğu antivirüs algılamadan iş işten geçebilir.
9- File Server — Dosya Sunucusu Üzerinde Yapılacaklar
Paylaşımlarınızı bir Windows Server rolü olan File Server üzerinden File Server Resource Manager aracı ile belirlediğiniz dosyaların dışında dosya eklenmemesine veya kripto uzantıların bloklanmasını sağlayabilirsiniz. File Server Resource Manager’ı doğru yapılandırdığınız takdirde bilinen kripto fidye virüslerine karşı oldukça etkilidir. Bunun için uzun uzun nasıl yapılır ekran görüntüleri atmayacağım çünkü birçok kaynak var ve benden daha iyi anlatıyorlar. En kısa yoldan Github üzerinden bir powershell script dosyası bile var. Ama nasıl yapıldığına test ortamında uygulayarak görmenizi şiddetle tavsiye ederim. Ek olarak Audit özelliği olan yazılımlar kullanın ki bu değişikliklerin logunu tutun. Windows Server Core, Internet Explorer motoruna sahip olmadığı için bu eklenti Core mimaride güncelleme yapamıyor. Periyodik olarak elle güncelleme yapabilirsiniz.
10- Buluta Entegre Yedekleme Yapın
İzole edilmemiş yedek, yedek değildir.
Bu söz aslında tam olarak fidye virüsleri için geçerli. VEEAM, NAKIVO gibi yedekleme yazılımları ile ister on-prem ister bulutta yedeklerinizi gelişmiş bir şekilde tutabilirsiniz. Buluta yedek sayesinde bireysel bir hack saldırısında hacker bulut yedeğinize ulaşıp silse dahi bulut servis sağlayıcınız o yedeklerin en kötü ihtimalle 1 gün öncesine döndürüp size ulaştırabilir. Tabi bulut sağlayıcısının gölge kopya özelliği paketinizde aktif olduğuna emin olun.
Herşeye rağmen Sistemime Fidye Virüsü (RansomWare) Bulaştı Ne Yapmalıyım?
Virüs bulaşan makineleri kapatmamanızı tavsiye ediyorum. Bazı durumlarda ram üzerinde kriptolanmış verinin decryption bilgisine ulaşılabiliyor. Adli merciler de kapatılmamasını tavsiye ediyor. Ancak mutlaka network bağlantısını kesin ve bir uzmandan destek alın!
Daha sonra bir hasar raporu oluşturun. Acele ederseniz hata yapabilirsiniz. Bu yüzden bu tip durumlara karşı bir hazırlığınız olmalı. Sisteminizdeki tüm sunucu ve istemci bilgisayarlarını güncel bir antivirüs ile taratın ve yukarıdaki adımlarda neleri yapabildiyseniz kontrol edin. Mümkünse logları kontrol ederek virüsün nasıl bulaştığını anlamaya çalışın. Shadow Explorer ile dosya geçmişlerini sürücü bazında siz yine de kontrol edin. Daha sonra yapacağınız şey şifrelenen verinin “decyrptor” programı var mı yok mu ona bakmak olsun. Yedekler ulaşılamıyor durumda ise artık profesyonel bir veri kurtarma firması ile görüşmeye çalışın. Umarım bu durumlar kimsenin başına gelmez.
11- Sistem Özelinde Güvenlik Sıkılaştırmaları Yapın
Genelde es geçilen kritik bir konudur. Active Directory kurulu, güvenlik duvarı var, antivirüs var, var da var. Ama bilin bakalım ne eksik? Active Directory üzerinde güvenlik sıkılaştırması yapılmamış, SQL Server, IIS ya da Oracle için yapılmamış, Windows sunucu ve client için de böyle bir aksiyon yok. güvenlik duvarı default kurulumlarla bırakılmış, antivirüs düzgün yapılandırılmamış ise harcadığınız binlerce dolar yatırım sizi koruyamaz. Güvenlik sıkılaştırması bu işin en temelini oluşturmaktadır ve geri kalan her şey araçtır.
Önerilere son olarak sakın şüpheli ya da vaka yaşanmış makinelere Domain Admin gibi yetkili hesaplarla erişmeyin. Erişirseniz tam olarak aşağıdaki durumu temsili olarak yaşarsınız :) Gülüyorum ama komik değil!
