Microsoft ATA ve Azure Backup Kullanarak Ransomware – Cryptolocker Engelleme

Ransomware ya da ülkemizde yaygın adıyla bilinen cryptolocker zararlısı dünya genelinde 1 milyar dolar zarar nede oldu.

2016 yılı araştırma sonuçları için aşağıdaki linki kullanabilirsiniz

https://www.herjavecgroup.com/ransomware-damages-predicted-1-billion-annually-2016/

Peki bu yıl? Tabiki çok daha hızlı bir şekilde yayılmaya devam ediyor. Daha önce bulaştığı tek bir makineyi şifreleyen kötü içerikli kodlar zamanla network üzerinde de yayılmaya başladı. Şimdi ise yedek planlarımızı inceleyecek hatta DR site için bile erişim sağlayıp oradaki yedeklere kadar şifreleme, silme işlemi yapacak duruma gelmiş. Özetle biz kendimizi savunma için yaptığımız her bir iyileştirmeyi çok yakından takip eden ve buna karşı sürekli olarak ataklarını geliştiren bir topluluktan bahsediyoruz. Benzer araçlar ile farklı uzmanlık seviyelerine göre farklı ataklar yapıyorlar. Bazen çok kritik bir sisteme giren ancak işi çok iyi bilmediği için bir tek veri tabanı ile kurtaran müşteriler oluyorken bazen de müşteriler çok sağlam bir güvenlik ve yedekleme politikasına sahip olmasına karşın disaster site içerisindeki yedeklere kadar ( tape ünitesinde unutulan kartuş dahil) silinmiş bir senaryo ile haftaya başlayabiliyorlar. Özetle, durum her geçen gün kötüye gidiyor ve bizim aldığımız her bir önlem için onlar da bir adım ileriye gidiyorlar. Şu andaki en iyi yöntem yedek. Artık özellikle atak yiyen veya bundan korkan yada kişisel verileri koruma kanunu başta olmak üzere regülasyona tabi olan kurumsal bu konulara çok büyük önem veriyor. Durum böyle olunca da yedekleme politikaları bir daha gözden geçiriliyor ve olası bir saldırı olsa dahi yedekten dönerek hayatlarına devam edebiliyorlar. Bu durumun gelirlerinde düşüşe neden olmasından dolayı bu tür zararlıları ortama yayan kişiler bu sefer girdikleri ortamı önce inceleyerek NAS cihazındaki, uzak site içerisindeki hatta tape ünitesinde kalan kasetteki yedeği bile siliyor, şifreliyor ve para almayı garantiliyor.

Peki bizler ne yapmalıyız?

Tabiki her şirketin iş ihtiyacı farklı olduğu için ona uygun çözümler satın almış olabilir. Örneğin bu konuda çok etkili ve gerçekten başarılı anti virüs yazılımları var, müşterilerime önerince bazen mevcut anti virüs ürününün yeni yenilediğini ve bir daha bütçe ayıramayacağını söylüyor. Aslında bu hatayı ve riski baştan kabul etmek oluyor. O kadar ki bu sorunu yaşamış ve bu insanlara para vermiş firmalar dahi ürün önerisinde bulununca “bu çok pahalı” deyip almıyorlar ve aslında bir daha bu atağı yemeyi kabul etmiş oluyorlar. Ancak buradaki asıl sorun sadece verilerinizi kaptırmak değil bunların yarın ifşa edilmesi durumunda “Kişisel Verileri Koruma Kanunu” gereği firmanızın çok ciddi cezalar ödeme riskini de almış oluyorsunuz. Özetle bu işin çözümü uygun ürünleri almaktan geçiyor.

Peki elinizde hali hazırda Microsoft Advanced Threat Analytics (ATA) var ise neler yapabiliriz biz biraz bu konuya odaklanalım.

Kötü içerikli kod bir bilgisayara bulaştıktan sonra ilk yapacağı işlem Reconnaissance (looking around), yani network’ ü araştırarak etrafında neler var onu kontrol eder. Bu işlemde özellikle DNS tarafında bilinen iki atak türü sayesinde hemen hızlıca ATA ekranında bunu yakalayabilirsiniz;

Nslookup

SAMR (Security Account Manager Remote)

Bu işlemden sonra kötü niyetli kimse bulduğu kaynaklara encryption public keys kopyalar ve şifreleme işlemini başlatır. Buna lateral movement denmektedir, yani Türkçe karşılığı, “Yanal Hareket”. Bunu ise ATA, Machine Learning sayesinde öğrendiği Network içerisinde anormal bir hareket olarak algılamaktadır.

Tabiki siz ATA kullanıcıları için mail gönderimi önemli, malum ekranı sürekli takip etmek pek pratik bir yöntem değildir. Hele ki ATA’ yı bir SIEM ürünü ile entegre ederseniz bu durumda olası bu uyarıların gelmesi sonucunda anında örneğin o makine veya kullanıcı hesabını da ortamdan izole edebilirsiniz.

ATA tarafı için anlatacaklarım bu kadar. Peki ATA yakaladı ama siz geç kaldınız, SIEM entegrasyonu yoktu, mail geldi ama görmediniz, yani ATA yakalamasına rağmen bir şekilde sisteme bu kötü içerikli kod bulaştı ve verileriniz şifrelendi. Bu durumda yapacağınız en iyi şey yedekten dönmek. Ancak ne yazık ki verdiğim örneklerde ve yine müşterilerimizden gördüğümüz kadar artık kötü niyetli kişiler ilk olarak yedekleri hedef alıyor. Bu nedenle off-site Backup çok önemli. Eğer tape üniteniz var ise kaseti mutlaka ünite dışında bırakın çünkü onlara kadar şifreliyor veya siliyorlar.

Peki bu konuda bir çözüm önerimiz var mı? Evet, malum herkesin bir tape ünitesi yok, olanlar için ise kaseti günü gününe çıkarma zor, malum auto-loader var ise o da risk altında. Benim önerim burada erişim güvenliği sağlayan bir alt yapı kullanmanız. Microsoft Azure üzerindeki yedeklere erişmek veya kritik işlemleri yapmak için mutlaka SMS doğrulaması gerekli, aslında MFA. Bu sayede sisteminize sızan, basit bir SMB zaafiyeti ile admin şifrelerini ala, hatta belki azure şifresinin bile çalınması senaryosunda kalan son kaleniz bulut üzerindeki yedekleriniz olacaktır. Ancak bu kişilerin oraya erişmesi için mutlaka MFA gerektiğinden bu size ek bir koruma sağlayacak ve bu kişilerin sizin yedeklerinize ulaşmasını engelleyecektir.

Koruma: Bulut tabanlı yedekleme modelin de bulut üzerindeki yedeklerinizin silinmesi veya şifre değiştirilmesi gibi kritik eylemlerin gerçekleştirilmesi için ekstra bir önlem olarak, sadece güvendiğiniz BT çalışanlarının bileceği Güvenlik PIN’ ini girmek gerekir.

Uyarma: Yedeklenen veriye erişimi etkileyecek herhangi bir kritik komut verildiğinde size e-mail yoluyla anında haber verilir. Böylece olası saldırılardan hemen haberdar olup önlem alabilirsiniz.

Kurtarma: Saldırganlar yedeklenen verilerinizi silmeyi başarsa bile silinen veriler bulut yedekleme platformunda 14 gün süreyle saklanır ve geri getirilebilir.

Yukarıdaki özellikler gerçekten bir şirket organizasyonunun yedeklerinin ne kadar önemli ve onun korumanın da ne kadar gerekli olduğunu bizlere gösteriyor.

Gelelim en önemli konuya, malum herkesin bir çözüm önerisi vardır ancak bunların maliyetleri çok önemli. Evet ATA ucuz bir ürün değil, ancak şu ana kadar gördüğüm çoğu müşteri yaptığı kurumsal lisans anlaşması ile bu ürüne sahip, hatta farkında olmayan müşteriler var, bu nedenle bu ürünün kullanımı son derece yararlı olacaktır. Ama mevcut lisansınız içerisinde yok ise ayrı almak biraz maliyetli olabilir.

Ancak Azure Backup için aynı şeyi söyleyemiyorum, çünkü ürün gerçekten ucuz. Örnek bir liste fiyatını paylaşmak istiyorum sizlerle.

1 Sunucu (150Gb Yedekleme) = 12$ /Aylık*

1 Sunucu (500GB Yedekleme) = 20$/Aylık*

*= Servislerin tahmini fiyatlarını göstermektedir. Kullanıma göre farklılık gösterebilir.

Umarım faydalı bir makale olmuştur. Piyasada pek çok ürün bu konuda çözüm üretmektedir, ancak gördüğüm doğru ürünleri doğru şirket organizasyonları için kullanmaktır. Eğer elinizde ATA var ise zaten boş akmasın, mutlaka kullanın. Azure Backup yoksa en azından kritik verileriniz için denemeyi ihmal etmeyin.

Kaynak: https://blogs.technet.microsoft.com/enterprisemobility/2017/02/20/ransomware-lateral-movement-and-how-microsoft-advanced-threat-analytics-can-help/

Bu tür durumlarda ürün hakkında profesyonel destek ve teklif için ITSTACK Bilgi Sistemleri ile görüşebilirsiniz.