Geçtiğimiz günlerde 100'den fazla ülkeyi etkisi altına alan WannaCry siber saldırıyı, bu saldırının yöntemini, zararlarını ve korunma reflekslerini İlke Haber Ajansı (İLKHA) ARGE Birimi 5 soruda araştırdı.

Ransomware adlı zararlı yazılım ile gerçekleşen WannaCry siber saldırısı, dünya çapında, özellikle bilişim teknolojisine tam entegre olmuş ülkeleri derinden sarstı. Bu teolojinin tam etkisi altında olmayan ülkeler ise siber saldırıdan büyük ölçekte etkilenmedi.

Gerçekleşen saldırıda en fazla zararı gören İngiltere olurken, birçok banka ve sağlık sektörü büyük bir çöküş yaşadı. Rusya bankaları ve Avrupa otomobil fabrikalarının etkilediği belirtildi. Saldırının Türkiye`yi de etkisi altına aldığı BTK Başkanı Ömer Fatih Sayan tarafından açıklanmış ve bundan Türkiye dâhil 74 ülkenin etkilendiğini açıklamıştı.

WannaCry saldırısında kullanılan Ransomware adlı zararlı yazılımın birçok ülkede bulunan önemli verileri ele geçirerek şifrelediği, bankalar dâhil birçok resmi kurumun da bundan etkilendiği bildirildi.

Ransomware'in, şimdiye kadar tamamen saldırı amaçlı kullanıldığına rastlanmasa da genel itibariyle bu yazılım üzerinden ele geçirilip şifrelenen veriler için fidye talebinde bulunulduğu biliniyor

1-WannaCry (WCRY) nedir, zararları nelerdir, sistemlere ne tür zararlar verir?

Nisan ayında National Security Agency (NSA) FUZZBUNCH adında bir exploit kitini sızdırdı. Bu exploitin bir başka exploit içerisinde bulunan DOUBLEPULSAR payloadıyla beraber kullanıldığında Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak ilgili sistemin yönetici girişleri olmadan yönetici olarak komut satırlarını çalıştırılabilmesini sağlıyor.

Bu yöntemle bulaştığı bilgisayarlarda bulunan önemli verileri şifreleyerek, bu bilgilerin geri dönüşümü için fidye talep ediliyor. İstenilen yaklaşık 300 dolar fidyenin belirtilen zaman içerisinde ödenmesi halinde, ödenmeyen her gün için ayrıca fidye talebi artırılıyor.

Fidyenin ödenmesi durumunda ise karmaşık bir yapıya bürünen yazılım, ödenen fidyenin kim veya kimlere gittiğini belirleme ihtimalini de sıfırlıyor. Bunun nedeni ise sanal para olarak tabir edilen 'Bitcoin'in kullanılması olarak değerlendiriliyor.

Ödeme yapıldığı takdirde, şifrelenen bilgilerin tekrardan decode (çözümleme) edilip edilmeyeceği ise bilinmiyor.

2-Fidye yazılımı nasıl yayılır, nelerden kaynaklanır?

NSA tarafından sızdırılan bilgiler üzerinden, WannaCry saldırısında kullanılan Worm (solucan) virüsü, Windows SMB protokolünü kullanarak, var olan zafiyetten faydalanıp Windows işletim sistemlerinde sızmalar meydana geldi. Bu zafiyeti istismar ederek fidye yazılımları da geliştirilmeye başlandı.

3-Etkilenen işletim sistemleri nelerdir?

Aktif olarak kullanılan tüm Windows işletim sistemleri bu zafiyetten etkilenmektedirler.

Sırasıyla;

-Windows XP

-Microsoft Windows Vista SP2

-Windows 7

-Windows 8.1

-Windows RT 8.1

-Windows 10

-Windows Server 2008 SP2 / R2 SP1

-Windows Server 2016 / R2

-Windows Server 2016

4-İşletim sistemi nasıl güncellenir ve zafiyet nasıl kapatılır?

Microsoft tarafından daha önce Windows 8.1 altında olan tüm işletim sistemlerine destek verilmeyeceğini duyurulmuştu. Fakat bu zafiyetin ortaya çıkmasından sonra, aldığı sıra dışı karardan anlık da olsa vazgeçtiği, bu yüzden Windows XP dâhil Windows 8 ve Windows 7 İşletim Sistemlerinin bu zafiyeti ortadan kaldırması için destek vereceği belirtildi.

Zafiyeti kapatmak içinse yapılması gereken, güncellemeleri açmak, SMB adında güncellemenin yüklenmesini sağlamaktır. Microsoft bu zafiyetin ortadan kaldırılması için kullanıcılarına resmi web sitesi üzerinden de güncelleme için imkan sunmaya başladı.

5-WannaCry saldırısında kullanılan virüs nasıl bulaşır?

Dünyaca önde gelen teknoloji ve güvenlik firmalarının raporlarına göre, WannaCry saldırısında kullanılan virüs genel itibariyle E-Postalara gönderilen linklerin tıklanması sonucunda bilgisayara inen zararlı yazılımlarla bulaşıyor.

Kurumlara tavsiyeler

Bu tür saldırılarda en çok etkilenenlerin resmi kurumlar ile özel kuruluşlar olduğu gerçeği göz önünde bulundurularak şu öneri ve tavsiyeler dikkate alınmalıdır:

-Kullanılan Windows İşletim Sistemlerinde bulunan 445/TCP portunun kapatılması.

-İşletim sistemlerinde bulunan kullanıcılara ait yetkilendirilme işlemlerini en düşük yetki biçimine getirerek ortak hesap kullanılmasından kaçınılmalı, her sisteme özgü hesaplar açılmalı.

-Ağınızda güvenlik zafiyetlerini araştırıp bunun için penetrasyon testleri gerçekleştirilmeli.

-Çalışanlarınızı, sadece bu tür saldırılar için değil, aynı zamanda oltalama veya sosyal mühendislik kavramlarına ilişkin eğitim programları düzenleyip bilinçlendirmeli.

-Düzenli olarak yedekleme unutulmamalı, alınan yedekleri internet bağlantısı olmayan bir bilgisayarda bulundurulmalı.

-AntiSpam servisleri gözden geçirilerek DKIM, DMARC, SPF kontrolleri gerçekleştirilmeli.

Bireylere öneri ve tavsiyeler

-Önemli bilgilerinizin yedeklerini almayı unutmayın, yedeklerini aldığınız verilerinizi mutlaka harici  hard disk veya internet bağlantısı olmayan/olmayacak bilgisayarlarda tutun.

-Bilgisayarınızı bu zafiyetten korumak için, güncelleme yapmayı unutmayın, SMB adındaki güncellemenin yüklendiğini özellikle kontrol edin.

-Bilinmeyen, tanımlanmayan E-Postaları açmayın, linklere tıkmayın, dosyalar rasgele internetten indirmeyin.

-Crack, Warez gibi web sitelerde bulunan programları kullanmaktan kaçının.

-Virüslerin Pdf, Word, Excell gibi dosyalara gizlenebilecek yapıda olduğunu unutmayın

-Windows İşletim Sistemleri yerine Linux açık kaynak kodlu işletim sistemleri kullanarak virüslerden tamamen olmasa bile, Windows İşletim Sistemlerine oranla yüzde 80 oranında güvende olabilirsiniz.

-E-Postalardan gelen bilmediğiniz linkler ile aynı şekilde sosyal medyada yer alan bilmediğiniz, kısaltılmış URL`lere tıklamayın. Zararlı yazılımı yükleyen kişiler sosyal mühendislik kavramını kullanarak link kısaltma gibi işlevleri kullanıp, kullanıcılara bu yönde zarar verebildiğini de unutmayın.

Worm (Solucan): İnternet ortamında solucan olarak tabir edilen zararlı ufak çaptaki virüslerdir. Bu virüsler bulaştığı bilgisayarlarda kopyalanma özelliğine sahiplerdir. Ayrıca ağda yayılabilme özellikleri de vardır.

Exploit: Sistem açıklarına göre kodlanan kod parçacıklarıdır.

Payload: Kötü amaçlı eylemleri gerçekleştiren solucan veya virüsler gibi kötü amaçlı yazılımların bir parçasıdır. Veri silebilme, spam gönderebilme veya şifreleme amaçlarıyla kullanılır.

DKIM: RFC4871`de standartları belirlenmiş bir E-Mail kimlik denetleme yöntemidir.

DMARC: "Domain-based Message Authentication, Reporting, and Conformance" E-Mailleri sizin tanıdığınız veya alanınızdan biriymiş gibi gösteren yöntemdir.

SPF: Sunucu ile mail server bazında bağlantıyı kurmak için yapılandırılması gereken protokoldür. (Ömer Özbey - İLKHA)