Genel, Güvenlik
Fortigate 5.4.0 WannaCry Önlemi

Fortigate 5.4.0 WannaCry Önlemi

Herkese Merhaba,

Gündemimize bomba gibi oturan televizyonlar da sosyal medyalarda her yerde görmeye başladığımız WannaCry virüsü ile ilgili birkaç not da ben eklemek istedim. Merak etmeyin çok detaya girmeyeceğim muhtemelen bu kadar yankı telaşdan dolayı siz benden daha bilgilisinizdir.

Öncelikle tüm sistemlerin güncel olduğundan emin olmalısınız. Kullandığınız antivirüs yazılımları, işletim sistemleri, Sandbox çözümleri, imza tabanları vs biliyorsunuz ki Wanna Cry ilk olarak 2016 da ortaya çıktı ve 2017 de beta sürümü ile tarihe geçti diyebiliriz.

Benim burada anlatağım çözüme gelirsek;

FortiGuard Database leri WannaCry virüs imzalarını varyasyonları ile güncellenmiş durumda. Muhakkak AntiVirüs ve IPS modüllerinizi güncelleyin.

System > FortiGuard > Update AV & IPS Definitions butonuna tıklayarak güncelleme yapabilirsiniz.

Güncellemelerinizi yaptıktan sonra alacağımız bir tedbir daha var.

Fortinetin güvenlik lab larında yaptığı incelemelere göre virüs C&C Serverlara (Command And Control) bağlanmak için Tor Proxy kullanıyor. Biliyorsunuz genç bir güvenlik uzmanının C&C domainin boşta olduğunu fark edip satın almasıyla yayılımı baya yavaşlatmıştı. Buradaki amaç ransomware in C&C serverlara ulaşmasını engellemek.

Bunun için Security Profiles > Application Control > Application Overrides a geliyoruz ve Add Signatures diyip Tor uygulamasını seçiyoruz.


Action kısmından Block seçeneğini seçip kaydediyoruz.

Bu birinci yöntemdi ikincisi ise daha güzel.

Policy & Objects tabında İnternet Service Database e tıklayıp TOR diye aratırsanız fortinetin 15 bin den fazla TOR zincirini belirleyip listelediğini göreceksiniz.

Network > Static Routes kısmına geliyoruz. Destination kısmında İnternet Service i seçip Tor Proxy i seçiyoruz. Device kısmına da LAN bacağımızı seçiyoruz bizde var olmayan bir gateway yazıp ve kaydediyoruz.

Bu sayede Database deki Tor zincirlerine giden herhangi bir paketi drop etmiş oluyoruz ve ransomware C&C Server lara ulaşamamış oluyor.

Hiçbir şekilde yukarda sayılanları da yapsanız yüzde yüz güvende olamazsınız. Cryptolocker saldırılarına karşı en iyi çözüm düzenli olarak backup almakdır. Sadece backup almakla tam güvende olamazsınız Offside ve Offline Backup larını da almanız gerekmektedir.

İşinize yaraması dileğiyle.

Share this Story

Related Posts

2 Comments

  1. Faruk Özgürsoy

    8 Ekim 2018 at 21:44

    Caner Bey selamlar. Elinize sağlık güzel bir çözümün tercümanı olmuşsunuz. Merak ettiğim geçtiğimiz yıldan bu güne fortinet tarafından geliştirilen ekstra bir çözüm var mıdır? Yoksa hala bu yöntemle mi kendimizi koruma altına almaya çalışacağız.

    Reply

    • Caner Aktaş

      8 Ekim 2018 at 23:40

      Faruk bey Selam, Öncelikle teşekkür ederim yorumunuz için. Fortinet tarafında aslında Security Fabric diye bir altyapı söz konusu bu tarz durumlar için gateway dan client ve network erişimlerine kadar geçmişe dönük ve anlık bir çözüm söz konusu. Fakat bu bütünüyle bir altyapı olmakla beraber Sadece fortigate değil fortisandbox Fortimail fortiAp FortiSwitch Forticlient gibi ürünler ile tamamlanacak bir altyapı kurmanız gerekir. Onun dışında bu tür tehditler için makale de de belirttiğim gibi Backup almanızı ve signature database’inizi olabildiğince güncel tutmalısınız. bir adım ilerisi için bu makaleyi de okuyabilirsiniz http://www.caneraktas.com/2017/06/01/fortigate-5-4-0-black-hole-routing-nedir/

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

The Hacker News

  • Lazarus APT Hackers are now using BMP images to hide RAT malware
    by [email protected] (Ravie Lakshmanan) on 20 Nisan 2021 at 05:33

    A spear-phishing attack operated by a North Korean threat actor targeting its southern counterpart has been found to conceal its malicious code within a bitmap (.BMP) image file to drop a remote access trojan (RAT) capable of stealing sensitive information. Attributing the attack to the Lazarus Group based on similarities to prior tactics adopted by the adversary, researchers from Malwarebytes […]

  • Malware That Spreads Via Xcode Projects Now Targeting Apple's M1-based Macs
    by [email protected] (Ravie Lakshmanan) on 19 Nisan 2021 at 11:58

    A Mac malware campaign targeting Xcode developers has been retooled to add support for Apple's new M1 chips and expand its features to steal confidential information from cryptocurrency apps. XCSSET came into the spotlight in August 2020 after it was found to spread via modified Xcode IDE projects, which, upon the building, were configured to execute the payload. The malware repackages payload […]

  • Passwordless: More Mirage Than Reality
    by [email protected] (The Hacker News) on 19 Nisan 2021 at 11:20

    The concept of "passwordless" authentication has been gaining significant industry and media attention. And for a good reason. Our digital lives are demanding an ever-increasing number of online accounts and services, with security best practices dictating that each requires a strong, unique password in order to ensure data stays safe. Who wouldn't want an easier way? That's the premise behind […]

  • SysAdmin of Billion-Dollar Hacking Group Gets 10-Year Sentence
    by [email protected] (Ravie Lakshmanan) on 17 Nisan 2021 at 09:44

    A high-level manager and systems administrator associated with the FIN7 threat actor has been sentenced to 10 years in prison, the U.S. Department of Justice announced Friday. Fedir Hladyr, a 35-year-old Ukrainian national, is said to have played a crucial role in a criminal scheme that compromised tens of millions of debit and credit cards, in addition to aggregating the stolen information, […]

  • What are the different roles within cybersecurity?
    by [email protected] (The Hacker News) on 17 Nisan 2021 at 09:13

    People talk about the cybersecurity job market like it's a monolith, but there are a number of different roles within cybersecurity, depending not only on your skill level and experience but on what you like to do. In fact, Cybercrime Magazine came up with a list of 50 cybersecurity job titles, while CyberSN, a recruiting organization, came up with its own list of 45 cybersecurity job categories […]