İnsan Tarafından Çalıştırılan Fidye Yazılım Saldırıları Nasıl Azaltılabilir: Bilgi Grafiği
Daha önceki günlerde, birinin bilgisayarınızı ele geçirmesi gerekiyorsa, bu genellikle ya fiziksel olarak orada bulunarak ya da uzaktan erişim kullanarak bilgisayarınızı ele geçirmekle mümkündü. Dünya otomasyonla ilerlerken, bilgisayar güvenliği sıkılaştı, değişmeyen tek şey insan hataları. İşte bu noktada İnsan Tarafından Çalıştırılan Fidye Yazılım Saldırıları(Human-operated Ransomware Attacks) devreye giriyor. Bunlar, bilgisayarda bir güvenlik açığı veya yanlış yapılandırılmış bir güvenlik bulan ve erişim sağlayan el yapımı saldırılardır. Microsoft , BT yöneticisinin insan tarafından işletilen bu (Microsoft)Fidye Yazılım saldırılarını(Ransomware attacks) önemli bir farkla azaltabileceği sonucuna varan kapsamlı bir vaka çalışması hazırladı .
İnsan Tarafından Yapılan Fidye Yazılım Saldırılarını(Human-operated Ransomware Attacks) Azaltma
Microsoft'a(Microsoft) göre , bu tür fidye yazılımlarını ve el yapımı kampanyaları azaltmanın en iyi yolu, uç noktalar arasındaki tüm gereksiz iletişimi engellemektir. Çok Faktörlü Kimlik Doğrulama(Multi-Factor Authentication) , kaba kuvvet denemelerini izleme, en son güvenlik güncellemelerini yükleme ve daha fazlası gibi kimlik bilgisi hijyeni için en iyi uygulamaları izlemek de aynı derecede önemlidir . İşte alınması gereken savunma önlemlerinin tam listesi:
- İnternete bağlı bilgisayarları korumak için Microsoft tarafından önerilen yapılandırma ayarlarını(recommended configuration settings) uyguladığınızdan emin olun .
- Defender ATP , tehdit ve güvenlik açığı yönetimi sunar(threat and vulnerability management) . Güvenlik açıkları, yanlış yapılandırmalar ve şüpheli etkinlikler için makineleri düzenli olarak denetlemek için kullanabilirsiniz.
- Azure Multi-Factor Authentication ( MFA ) gibi MFA ağ geçidini(MFA gateway) kullanın veya ağ düzeyinde kimlik doğrulamayı ( NLA ) etkinleştirin.
- Hesaplara en az ayrıcalık(least-privilege to accounts) sunun ve erişimi yalnızca gerektiğinde etkinleştirin. Alan genelinde yönetici düzeyinde erişime sahip tüm hesaplar minimumda veya sıfırda olmalıdır.
- Yerel Yönetici Parola Çözümü ( LAPS ) aracı gibi araçlar, yönetici hesapları için benzersiz rastgele parolalar yapılandırabilir. Bunları Active Directory'de (AD) saklayabilir ve (Active Directory)ACL kullanarak koruyabilirsiniz .
- Kaba kuvvet girişimleri için izleyin. Özellikle çok sayıda başarısız kimlik doğrulama girişimi(failed authentication attempts. ) varsa, alarma geçmelisiniz . Bu tür girişleri bulmak için olay kimliği 4625'i kullanarak (ID 4625)filtreleyin .(Filter)
- Saldırganlar, tüm ayak izlerini kaldırmak için genellikle Güvenlik Olayı günlüklerini ve PowerShell Operasyonel günlüğünü temizler. (Security Event logs and PowerShell Operational log)Bu gerçekleştiğinde Microsoft Defender ATP(Microsoft Defender ATP) , bir Olay Kimliği 1102(Event ID 1102) oluşturur .
- Saldırganların güvenlik özelliklerini kapatmasını önlemek için Dış Müdahale koruma(Tamper protection)(Tamper protection) özelliklerini açın .
- (Investigate)Yüksek ayrıcalıklara sahip hesapların nerede oturum açtığını bulmak için olay kimliği 4624'ü (ID 4624)araştırın . Güvenliği ihlal edilmiş bir ağa veya bilgisayara girerlerse, bu daha önemli bir tehdit olabilir.
- (Turn on cloud-delivered protection)Windows Defender Antivirus üzerinde bulut tarafından sağlanan korumayı ve otomatik numune gönderimini açın . Sizi bilinmeyen tehditlerden korur.
- Saldırı yüzeyi azaltma kurallarını açın. Bununla birlikte, kimlik bilgisi hırsızlığını, fidye yazılımı etkinliğini ve PsExec ile WMI'nin(WMI) şüpheli kullanımını engelleyen kuralları etkinleştirin .
- Office 365'iniz varsa Office VBA için AMSI'yi(AMSI) açın .
- (Prevent RPC)Mümkün olduğunda uç noktalar arasında RPC ve SMB iletişimini önleyin.(SMB)
Okuyun(Read) : Windows 10'da fidye yazılımı koruması(Ransomware protection in Windows 10) .
Microsoft , Wadhrama , Doppelpaymer , Ryuk , Samas , REvil için bir vaka çalışması hazırladı
- Wadhrama , Uzak Masaüstü'ne(Remote Desktop) sahip sunuculara kaba kuvvetler kullanılarak teslim edilir . Genellikle yama uygulanmamış sistemleri keşfederler ve ilk erişim elde etmek veya ayrıcalıkları yükseltmek için açıklanan güvenlik açıklarını kullanırlar.
- Doppelpaymer , ayrıcalıklı hesaplar için çalınan kimlik bilgilerini kullanarak güvenliği ihlal edilmiş ağlar aracılığıyla manuel olarak yayılır. Bu nedenle, tüm bilgisayarlar için önerilen yapılandırma ayarlarını takip etmek önemlidir.
- Ryuk , son kullanıcıyı başka bir şey hakkında kandırarak yükü e-posta ( Trickboat ) üzerinden dağıtır. (Trickboat)Son zamanlarda bilgisayar korsanları , son kullanıcıyı kandırmak için Coronavirus korkusunu kullandı. İçlerinden biri de Emotet yükünü teslim edebildi .
Her biri hakkında ortak olan şey(common thing about each of them) , durumlara göre inşa edilmiş olmalarıdır. Yükü teslim etmek için bir makineden başka bir makineye geçtikleri goril taktikleri uyguluyor gibi görünüyorlar. BT yöneticilerinin, küçük ölçekte olsa bile devam eden saldırıyı takip etmeleri ve çalışanları ağın korunmasına nasıl yardımcı olabilecekleri konusunda eğitmeleri önemlidir.
Umarım tüm BT yöneticileri öneriyi takip edebilir ve insan tarafından işletilen Fidye Yazılım(Ransomware) saldırılarını azalttığından emin olabilir .
İlgili okuma(Related read) : Windows bilgisayarınıza bir Fidye Yazılımı saldırısından sonra ne yapmalısınız?(What to do after a Ransomware attack on your Windows computer?)
Related posts
Ransomware Attacks, Definition, Examples, Protection, Removal
Windows Bilgisayarları için ücretsiz Anti-Ransomware software
Create email kurallar Microsoft 365 İş Ransomware önlemek için
Windows Defender'te Ransomware Protection'ü etkinleştirin ve yapılandırın
Ransomware protection içinde Windows 10
CyberGhost Immunizer Ransomware saldırılarını önlemeye yardımcı olacak
Ransomware'i rapor etmeli miyim? Ransomware'i nerede bildiririm?
Fileless Malware Attacks, Protection and Detection
McAfee Ransomware Recover (Mr2) dosyalarını şifresinin çözülmesinde yardımcı olabilir
Brute Force Attacks - Definition and Prevention
Phishing Scams and Attacks Nasıl Kaçınılır?
Kilit açma dosyalarına serbest Ransomware Decryption Tools Listesi
Ransomware saldırılarını ve enfeksiyonlarına karşı nasıl korunur ve önlenir
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Ransomware Response Playbook kötü amaçlı yazılımlarla nasıl başa çıkacağını göstermektedir
Ransom Denial Service (RDoS) nedir? Prevention and precautions
Cyber Attacks - Tanım, Types, Önleme
senin Windows computer bir Ransomware attack sonra ne yapmalı?
Service Attacks'ün DDoS Distributed Denial: Koruma, Prevention