@gungorguzel

    CryptoLocker

    Bana gelen bir maili konuyla ilgili detayli bilgi vermek icin paylaşiyorum.

    Malum bir çoğumuz son zamanlarda değişik varyosyonlarda CyrptoLocker vb tehditlere maruz kalabiliyoruz , belirtmeliyim ki saldırganlar her defasında daha zeki yöntemler kullanarak saldırı gerçekleştirmekte o yüzden savunma stratejilerinizi gözden geçirmenizde fayda olduğunu düşünüyorum.

    - Öncelikle şunu belirteyim , bu bir SPAM ya da Virüs içeren bir Mail değil o yüzden geleneksel Email GW çözümlerinden çok fazla beklentiniz olmamalı.

    - Diyelim mail geldi mail içerisindeki linke tıkladınız kormanıza gerek yok çünkü bu linkler sandığınız kadar zararlı değil

    - Siz sayfaya tıkladığınızda eğer 7/24 sizi koruyan bir çözüm yoksa kurum içerisinde belki bir takım çözümlerle bu sayfalara erişimi engelleyebilirsiniz ancak asıl tehlike Ofis dışında çalışan kişilerde.

    -Diyelim linklere müdahale edemiyorsunuz bu kez de saldırganlar sizi bilindik bir web sayfasına yönlendiriyor ve buradan bir exe almanızı sağlıyor üstelik bunu yaparken SSL kullanıyor. İşte bir başka tehlike burada yani SSL kurumların kör noktası o yüzden SSL noktasında SSL inspection yapan bir çözüm kullanılmıyorsa bu exe ya da dosyalar bilgisayara doğrudan download ediliyor.

    - Antivirüs yazılımları konusunda ekteki resim her şeyi açıklayacaktır kısaca Antivirüs vb imza tabanlı çözümlerden bir beklentiniz olmamasını tavsiye ederim.

    - Diceksiniz ki bu exe zararlı evet zararlı ama öyle bildiğimiz gibi değil bu exenin bir kaç rolu var ; önce bilgisayarınızda çalışıyor sonra bazı sunucularıla 443 portundan haberleşmeye çalışıyor işte bu olaya Call Home deniyor yani saldırganlara ait sunucularla iletişim kuruyor . Bu esnada dropper file dediğimiz hiç bir antivirüs sistemi tarafından tanınmayan bilinmeyen yine çalışabilir bazı dosyalar bilgisayarımıza alınıyor ve size sormadan aktif oluyor.

    -Sırada Botnet üyeliği var yani Dropper File dediğimiz aktivite başarılı olursa makine artık bir botnet ağının kölesi olmuş durumda ve bu yine SSL üzerinden gerçekleşiyor , sizin haberiniz olmadan bilgisayarınız Dos yapabilir isterse bilgisayarınızdan istediği dataları şifreyeleyip bir yerlere aktarabilir.

    Özetle bu basit bir saldırı değil bir çok aşamayı gerçekleştiren komplex bir saldırı ve durdurmak için aşağıdaki maddeleri göz önünde bulundurmalısınız.

    - Hibrid bir Web GW güvenliği yani 7/24 çözüm

    - SSL sayfalarının içeriğinin okunması ve yorumlanması

    - Birbiriyle konuşan web ve email çözümleri yani gelen mailin içerisindeki linki analiz edecek ve anlayacak bir Email GW

    - Insan faktorü çok önemli o yüzden kurum içerisindeki güvenlik bilinci yukarıya çekilmeli ve eğitim

    Ekte hazırlamış olduğum bir rapor mevcut inceledikten sonra sorularınız olursa buradan yazabilirsiniz.

    BeğenFavori PaylaşYorum yap
    Bu ürünle ilgili tüm incelemeler

    Son bir saat içinde 191 ziyaretçi, 12 kayıtlı kullanıcı giriş yaptı.