S
Zararlı Yazılım Uyarısı (TR-17-141 (BadRabbit Ransomware)
Genel Bilgi
Dünya genelinde kendisini Adobe Flash güncellemesi olarak göstererek Bad Rabbit adlı ransomware zararlı yazılımı sistemlere bulaşmaktadır.
USOM tarafından hazırlanan detaylı raporu buraya tıklayarak indirebilirsiniz.
Etki
İlgili zararlı yazılım, sisteme indirilen zararlı bir dosya ile bulaşıp tüm dosyaları şifreleyerek açılması için ücret talep etmektedir.
Çözüm
Zararlı Yazılım Bulaşmasına Karşı Alınacak Önlemler
- Güvenli olmayan kaynaklardan dosya indirilmemesi ve çalıştırılmaması
- Son kullanıcılarda ‘local admin’ yetkisine sahip kullanıcıların kullanılmaması
- Basit parola ve jenerik kullanıcı isimlerinin kullanılmaması
- Sistemlerin yama yönetiminin düzenli uygulanması
- Antivirüs yazılımı kullanımı (Çeşitli antivirüs yazılımlarının söz konusu zararlı yazılımı engellediği bilindiğinden, son kullanıcı makinaları ve sunucularda antivirüs yazılımlarının aktif ve tanımlarının güncel tutulması)
- WMIC (Windows Management Instrumentation Command-line) kullanımının engellenmesi
Not: Bazı sistemlerde WMI farklı amaçlarla kullanılmaktadır ve kapatılması farklı sorunlara neden olabilir.
Zararlı Yazılımın Hedef Sistemde Çalışmasına Karşı Alınacak Önlemler
- “C:Windowsinfpub.dat” ve “C:Windowscscc.dat” dosyalarının çalışmasını engellemek için, ilgili dosyaların oluşturulması ve yetkilerinin kısıtlanması(ref:https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware)
- Düzenli yedek alınması
- Shadow dosyaların incelemesi; son kullanıcının zararlı yazılıma ‘local admin’ yetkisi vermediği durumlarda, son kullanıcı verilerinin kurtarılması için shadow dosyaları kontrol edilebilir.
Zararlı Yazılımın Bulaştığı Hedef Sistemden Yayılmasına Karşı Alınacak Önlemler
- Mimikatz gibi RAM’deki açık tutulan parolaları çıkartan yazılımlara önlem olarak, parolaların açık şekilde tutulmasının engellenmesi
- Farklı sunucu ve son kullanıcı bilgisayarlarında aynı yetkili hesapların (local admin) aynı kullanıcı adı ve parola ile kullanılmaması
Kaynaklar
https://www.usom.gov.tr/tehdit/231.html
https://securelist.com/bad-rabbit-ransomware/82851/
https://www.usom.gov.tr/tehdit/209.html