1. Ana Sayfa
  2. Microsoft Azure
  3. Solarigate Saldırısından Nasıl Korunurum?

Solarigate Saldırısından Nasıl Korunurum?

solarwinds-hacking-min
DMC Teknoloji

Bildiğimiz üzere son zamanlarda Solarwinds Orion üzerinde yer alan zafiyet güvenil dünyasının tam ortasına bomba gibi düştü. ürünü Network ve bilgisayar yönetim aracıdır diyebiliriz. Aslında şu anlama gelmektedir, yapı içerisinde yer alan nerdeyse tüm envantere (PC,Printer,Server vs.) dokunan bir yönetim aracıdır desek yanlış olmaz. Gelelim işin heyecanlı kısmına!

Mart 2020′ de saldırganlar bir şekilde ilgili yazılımı build işlemi sırasında değiştirmeyi başardılar ve SolarWinds Orion içerisine Truva atı yerleştirdiler. Müşterilerde ilgili son güncellemeyi yapılarına yüklediklerinde truva atı gizli şekilde arka planda çalışmaya başlamış oldu. Saldırganlar; Bluteam, güvenlik takımları, SoC analistlerini atlatmak için ilk olarak zararlının yaklaşık iki hafta sistemde uyuması için programladılar ve Command Center ile iletişimi sırasında sanki normal web trafiği gibi gözükmesi sağladılar. Bundan sonrası zaten filmin final kısmı oluyor, saldırganlar sistemlere istedikleri yazılımları yükleyerek ilgili sistemler üzerinde tam denetimi ele geçirmeyi hedeflediler ve yaklaşık olarak 18000 müşterinin etkilendiği tahmin edilmekte.

Detay Bilgi için;

https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/

https://www.cadosecurity.com/post/responding-to-solarigate

Alınabilecek Koruyu Önlemler;

Eğer yapınızda kullanıyorsanız Microsoft aşağıdaki kuralları aktif hale getirmenizi tavsiye etmektedir.

Resim-1

Eğer yapınız içerisinde System Center Endpoint Protection ürünü kullanıyorsanız,

Asset and Compliance> Endpoint Protection > Antimalware Policies > Theat Overrides sekmesine gelip aşağıdaki ayarı yapmanız tavsiye edilmektedir.

Resim-2

Eğer yapınızda ürünü kullanıyorsanız GPO yardımı ile ilgili kuralı oluşturabiliyoruz.

Computer Configuration > Administrative Templates > Windows Components  Windows Defender Antivirus > Threats > Specify threats upon which default action should not be taken when detected.

Value Name Value
2147771206 6 (Ignore)

Not : Monitor etme açısından ilk olarak bu modda eklemenizi tavsiye ederim. Daha sonra karantina moduna alınabilir.

Resim-3

Son olarak ise Defender Security Portalına eriştiğimizde Threat Analytics sekmesi içerisinde Solarigate supply chain attack ın geldiğini göreceksiniz. Analyst Report kısmı aslında bize detaylı olarak almamız gereken aksiyonları detaylı şekilde bize anlatıyor.

Resim-4

Resim-5

Bilgi amaçlı aşağıda bir kaçtane ekran görüntüsünü sizlerle paylaşıyorum. Tam detaylı bir koruma için Mitigation adımlarının tamamının uygulanmasını tavsiye ediyorum.

Resim-6

Resim-7

Umuyorum sizler içinde faydalı olur.

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

https://www.microsoft.com/security/blog/2020/12/15/ensuring-customers-are-protected-from-solorigate/

https://www.lawfareblog.com/solarwinds-breach-why-your-work-computers-are-down-today

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/indicator-file

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/indicator-ip-domain

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/indicator-certificates

https://docs.microsoft.com/tr-tr/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction#block-executable-files-from-running-unless-they-meet-a-prevalence-age-or-trusted-list-criterion

TAGs: , , , ,azure sentinel,Microsoft defender,solarwinds orion

DMC Teknoloji
Yorum Yap

Yazar Hakkında

2008 yılından itibaren bilişim camiasının içerisindeyim. 11 Yıllık dönem içerisinde teknikerlikten başlayarak bir çok farklı pozisyonda çalıştım. Dünyanın en büyük sigorta şirketleri arasında yer alan Allianz Türkiye’ de Kıdemli Sistem Uzmanı olarak çalıştıktan sonra kariyerimde değişiklik yaparak UAE’ nin en büyük bankası Emirates NBD bankasında kıdemli teknoloji mühendisi olarak devam etmektiyim. Profesyonel iş yaşantımın dışında yönetim kadrosunda yer aldığım www.mshowto.org sitesinde gönüllü yazarlık ve yöneticilik yapmaktayım. 15+ konferansda konuşmacı olarak yer aldım. 150+ makale ve 7 E-Kitap yayınladım. İki defa TRT Kent Radyosunda söyleşi yapma deneyimini yaşadım. MCSE, MCPS, MS ve Tenable Certificate of Proficiency ünvanlarına sahibim. Aynı zamanda 2 yıl Microsoft Enterprise Mobility MVP ünvanına layık görüldükten sonra uzmanlık alanı değiştirerek Cloud and Datacenter MVP olarak devam etmekteyim.

Yorum Yap