Fidye İsteyen Zararlılar-2 (CryptoLockers-2)
İlginç örnek olaylar ile fidye yazılımlara müdahale...
Geçen haftaki yazımda fidye isteyen zararlıların (CryptoLockers) kurum ve kuruluşları nasıl hedef aldığını, bu saldırılarda kullanılan yöntem ve yaklaşımları anlatmıştım. Bu hafta ise, ülkemizde hemen hemen her gün karşılaştığımız siber olaylardan birisi hakındaki farkındalığı artırmak amacıyl aörnek bir olay üzerinde bu tür bir olaya nasıl müdahale edildiğine değineceğim. Konuyla ilgili ilk yazım aşağıdadır.
Kurum ve kuruluşlar sistemlerinin çalışmadığını ya bir personelden duyarlar ya da iş akışında yaşanan bir problemin tüm faaliyetleri etkilemesi nedeniyle haberdar olurlar. Şimdi aklınıza onlarca siber güvenlik çözümü geldiğini tahmin ediyorum: Anti-virüs, anti-malware, uç kullanıcı güvenlik sistemleri (EDR), SIEM, SOAR, IPS, IDS, DLP, firewall…
Tıpkı bir askeri birliğin savunma amacıyla sahip olduğu silahlar gibi, tank, top, uçaksavar, GTT, havan, roketatar, bomba atar, tüfek… Peki saldırgan kışlaya her gün gelen bir erzak arabasının içerisinde silahlı ve teçhizatlı olarak geliyor ve siz bu aracı nasıl olsa her gün geliyor diye girişte kontrol etmiyorsanız? Ya da saldırganlar kışlanın aracını ele geçirip nizam karakolundaki yetersiz güvenliği geçip içeri elini kolunu sallayarak girmiş ise?
Evet o kadar çok ve farklı senaryo anlatılabilir ki.
Pandemi nedeniyle son bir yılda fidye zararlısına maruz kalan şirket sayısı fark edilebilir oranda arttı. Hem de alınan onca siber güvenlik önlemlerine rağmen.
Bir Pazar sabahı kahvaltımı yaparken telefonum çaldı. Çok yakından tanıdığım bir arkadaşım arıyordu. Telefonda bahsettiğine göre bir yakının fabrikasındaki tüm bilgisayar sistemleri durmuş ve çalışamaz hale gelmiş. Önce sistemlerde bir hata ya da sorun olduğundan şüphelenmişler. Ancak bir süre sonra fabrikanın en önemli yazılım sistemi olan ERP’nin (Enterprise Resource Planning-Muhasebe, Lojistik, Sevkiyat, Satın Alma, Proje ve Risk Yönetimi… çalışmaları için hazırlanmış yazılım) çalışmadığını, ERP yazılımının tüm dosyalarının şifrelenmiş, uzantılarının değiştirilmiş olduğunu fark etmişler ayrıca masaüstüne bir not bırakılmış olduğunu da görmüşler. Notta, bir e-posta adresi belirtilmiş ve bu e-posta üzerinden iletişim kurulması isteniyormuş.
Bu haber üzerine, zaman geçirmeden hızlıca siber olay müdahale ekibimizle bir araya geldik, laboratuvardaki SOME kitlerimizi hızlıca hazırlayıp olay yerine hareket ettik. Firmanın BT yöneticisi ile kısa bir toplantı yaptıktan sonra sistem merkezine geçip siber saldırıya maruz kalan sunucu ve bilgisayarlardan olaya çözmemize imkan sağlayacak verileri toplamak için planlama yaptık.
Bu tür olaylarda en büyük sorun resmin tamamını görememek ve saldırıya uğramış ya da kirletilmiş bilgisayarları tespit etmektir.
Hele bir de şüpheli sistem sayısı 20’den fazla ise o zaman ciddi bir iş yükü ile karşı karşıya kalırsınız. Klasik adli bilişim yöntemleri artık devre dışı kalır, disk ya da RAM imajı almak, şüpheli sistemleri bu imajlar üzerinden tespit etmek hem zor hem de çok zaman alan bir sürece sizi zorlar.Bu vakaların her geçen gün artması bizleri siber olay müdahalesinde daha hızlı ve etkili çözümler kullanmaya zorlamaktadır.
İşte tam da bu noktada yardımımıza Binalyze firmasının geliştirdiği Binalyze AIR (Otomatik Siber Olay Müdahale Aracı) yetişti. Binalyze AIR yönetim konsolunu bir bilgisayara iki dakika içerisinde kurup, kurumsal ağdaki tüm bilgisayarların (170 adet) RAM imajı dahil toplam (150)’den fazla artifact ve delil dosyalarını hash değerleri hesaplanmış bir şekilde bir saatten daha az bir sürede otomatik oluşturulan bir rapor ile toplamayı başardık.
Fidye zararlısına maruz kalan ilk sunucuyu tespit ettiğimizde, şifrelenen dosyaların uzantılarını diğer bilgisayarlar üzerinde aramak suretiyle toplam (6) sunucu ve (3) bilgisayarın saldırgan tarafından ele geçirildiğini ve bu bilgisayar ve sunucular ile bunlara bağlı veri yedekleme aygıtlarının tamamının sabit disklerinin şifrelenmiş olduğunu tespit ettik.
Enfekte olan (6) sunucu ve (3) bilgisayar derhal ağdan izole edildi, akabinde registry ve olay günlüğü analizi, artifact analizini tamamlayıp tüm olayları bir zaman çizgisi üzerinde sıraladık. Bu çaptaki bir vakada Binalyze AIR sayesinde yaklaşık bir saat içerisinde sonucu görebilmek muazzam bir deneyim olmuştu.
Yaptığımız tespite göre saldırgan fabrikanın sistemine yaklaşık (2) ay önce sızmış;
- Bu iki ay içerisinde fabrikanın sistemlerini anlamak, fabrikadaki cari işleri tespit etmek ve fabrikayı fidye ödemeye zorlayacak en can alıcı noktayı tespit etmek amacıyla çeşitli çalışmalar yapmış.
- Bu çalışmaları yaparken ilk ele geçirdiği sisteme bilgi toplama yazılım setlerini kopyalamış ve tek tek çalıştırarak ağdaki bilgisayar ve diğer sistemlerin envanterini tespit etmiş.
- İlk etapta muhasebe ve lojistik sevkiyat bilgilerinin yönetildiği ERP yazılımının olduğu sunucuya girmiş, bu sunucudaki tüm dosyaları şifrelemiş, sonrasında sunucunun yedeğinin alındığı NAS yedekleme ünitesini şifrelemiş.
- Sunucudaki daha önceki uzak masaüstü erişim kayıtlarını kontrol ederek uzak masaüstü bağlantıları tek tek denemiş, otomatik olarak eriştiği (kullanıcı adı ve parola tanımlı) sistemleri tek tek ele geçirerek tüm dosyalarını şifrelemiş.
- Ağda tüm sistemleri yedekleme amacıyla kullanılan (8) disklik bir NAS cihazı tespit etmiş, ancak çeşitli sistem açıklıklarını zorlamasına rağmen içindeki verilere erişememiş. Ancak, NAS cihazının çok eski bir firmware’e sahip olduğunu görmüş ve internet üzerinde yaptığı araştırmada tespit ettiği bir zafiyeti kullanarak NAS cihazının RAID 5 yapısını bozup, RAID 0 haline getirerek sistem yedeklerini kullanılmaz hale getirip fidye notunu bırakıp bağlantıyı kesmiş.
Peki, saldırgan fabrikanın ERP yazılım sunucusuna nasıl girmişti?
Hangi yöntemi kullanmıştı?
Saldırganın ele geçirdiği sunucunun tüm kayıtlarını hızlı bir şekilde inceledik ve soruların cevaplarını bulmaya başladık. Aslında saldırgan fabrikanın sunucusunu hacklememiş, sunucuya yasal olarak erişme hakkı bulunan ve firewall’dan giriş izni verilmiş IP adresini kullanan ERP yazılımını üreten firmanın teknik destek biriminin kullandığı IP adresi ile fabrikanın ERP sunucusuna giriş yapmış. (NOT: ERP yazılımı üretici firma pek çok müşterisinin kendi üzerinden hacklendiğini öğrenir öğrenmez, olayda kullanılan sunucuyu formatlamış olması nedeniyle saldırganların IP adresi tespit edilemedi. Bu durum da gösteriyor ki siber olaya müdahale ancak ve ancak yetkili ve bilgili uzmanlarca yapılmalıdır. Aksi halde bir çuvar incirin berbat edilmesi çok basittir!)
Bu durum net olarak gösteriyor ki, saldırgan öncelikle ERP yazılım firmasını hacklemiş ve firmadaki teknik destek olarak kullanılan bir sistem üzerinden fabrikanın ERP sunucusuna çok rahatça erişmiş ve bu sunucu üzerinden uzak masaüstü yetkisi otomatik tanımlı olan diğer sunucu ve bilgisayarları da hackeleyerek fabrikanın tüm BT altyapısını çalışmaz hale getirmişti. Bu rahatlık sayesinde yaklaşık (2) ay fabrikanın keşfini yapmış ve fabrikayı fidye ödemeye zorlayacak tüm işlemleri yaparak ele geçirdiği sisteme not bırakıp ayrılmış.
Gelecek hafta, bu fabrikanın verilerini (10) Bitcoin talep eden saldırgana 5 kuruş ödemeden nasıl kurtardığımızı ve bu olaydan çıkarılması gereken dersleri sıra ile anlatacağım. Haftaya görüşmek üzere esen kalın dostlar…
