Konu siber güvenlik olunca konuya ilgisi olan her araştırmacının aklına öncelikle güvenlik testi araçları gelmektedir. Yapacağınız kısa bir araştırma ile pek çok güvenlik testi aracı olduğunu görebilirsiniz. Güvenlik testi araçlarından bazıları ticari ürünler olup ücretli ve test sonucunda bulunan açıkların ne şekilde kapatılması gerektiği hakkında açıklamalar yaparken, kimi araçların (tools) ise tamamen ücretsiz ve yalnızca açık keşfi yapma amacıyla geliştirildiğinden bahsedebiliriz.
Resim-1
Yazı serimizde beyaz şapkalı hacker modüllerinde olduğu gibi savunma amacıyla bu araçlara tek tek değineceğiz. Bu bölümde bilgisayarlardaki güvenlik açıklarını taramakta kullanılan ücretsiz ve oldukça basit olan Eternal Blues yazılımını inceleyeceğiz. Aslında incelenecek çok bir şey olduğunu söyleyemeyiz. Yazılımı kurduktan sonra keşfedilecek IP aralığını ilgili kutucuklara girdikten sonra SCAN butonuna basılması ile tarama başlıyor ve herhangi bir bilgisayarda zafiyet var ise gösteriyor.
Eternal Blues yazılımını kısa bir Google’lama yaparak temin edebilirsiniz. İndirip kurduktan sonra karşınıza gelen ekranda da bu aracın ücretsiz bir araç olduğundan ve WannaCry, NotPetya veya diğer eternal blues tabanlı saldırılara karşı sistemdeki savunmasız bilgisayarları göstereceğini söyleyen bir tanım görülür.
Eternal Blues tarama yazılımına bir not daha eklemek gerekirse tarama sonrasında bulunan savunmasız bilgisayar açığından doğrudan yararlanabilen bir yazılım değildir. Ancak saldırganlar için bulunacak bir açığın yararlanılabilir olup olmadığı hakkında elbette fikir verecektir. Çeşitli (genellikle ücretli) profesyonel tarama yazılımlarında olduğu gibi bir açığın ne şekilde kapatılacağı hakkında fikir de vermez. Yalnızca Vlunerable? Başlığı altında ne tür bir zafiyet yakaladığını, bilgisayar ile iletişim kurup kuramadığını gösterir.
Eternal Blues çalıştırmadan önce sistemde güvenlik amacıyla çalışan IPS, IDS sistemleri çeşitli güvenlik kuralları veya antivirüs sistemleri tarafından atak gibi algılanabilir. Bu yüzden tarama gerçekleştirirken özellikle antivirüs yazılımlarından uyarılar gelebilir.
Eternal Blues kullanırken karşımıza en çok çıkacak olan üç şeyi açıklamak istiyorum.
- EternalBlue: Windows tabanlı işletim sistemlerini hedef alarak SMBv1 kullanan sistemlerde açık olması durumunda gerçekleşen saldırı türüdür.
- WannaCry: Windows tabanlı işletim sistemine sahip bilgisayarlarda bulunan Eternal Blue açıklarını kullanarak sisteme bulaşan ve tüm dosyaları şifreleyen zararlı yazılımdır. Bu yazılım bulaştığı sistemdeki şifrelenen dosyaların geri erişime açılabilmesi için genelde bitcoin üzerinden ödeme istediği için fidye yazılımı olarak da bilinmektedir.
- NotPetya- Diğer Petya: Eternal Blues açıklarını kullanarak sistemlerde kendisine ayrıcalık tanıyan, arka kapı açan veya yönetici yetkisine yükselerek işlemler yapan ve sonrasında dosyaları şifrelemek veya bilgisayarları boot edilemez hale getirmek gibi tümüyle zararlı işler gerçekleştiren bir WannaCry türüdür.
Eternal blues tabanlı açıklardan korunmak için yapılacak olan ilk işlem elbette Windows güncellemelerini takip etmek gerekli güncellemeleri yapmaktan geçiyor. Bunun dışında güncel veri tabanına sahip antivirüs yazılımı kullanmakta önemli.
SMB açıklarına maruz kalmamak için SMBv1 protokolünün kapatılması da fayda sağlamaktadır.
Windows 10 ile birlikte gelen Credential Guard modülü Petya türevi zararlı yazılımlardaki şifre çalma, yetki yükseltme gibi arka kapı işlemlerini geri çevirmektedir. Bu yüzden de özellikle Windows 7 olan bilgisayarların Windows 10 ile güncellenmesi çok önemlidir.
Yönettiğiniz ağda bulunan bilgisayarların 137,138,139 ve 445 portlarının internet erişimlerinin olmaması mücbir sebeplerden ötürü olması gerektiğinde de hangi bilgisayarlarda açık olduğunun bilinmesi takip edilmesi gereklidir.
Fidye yazılımı bulaşması riskine karşı veri yedekleme politikalarının olması, belki biraz takıntı seviyesinde farklı farklı lokasyonlarda yedeklerin tutulmasının sağlanması gibi korunma çalışmaları yapılmalıdır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: eternal blue, wannacry,petya,siber güvenlik