Genel, Güvenlik
Fortigate 5.4.0 WannaCry Önlemi

Fortigate 5.4.0 WannaCry Önlemi

Herkese Merhaba,

Gündemimize bomba gibi oturan televizyonlar da sosyal medyalarda her yerde görmeye başladığımız WannaCry virüsü ile ilgili birkaç not da ben eklemek istedim. Merak etmeyin çok detaya girmeyeceğim muhtemelen bu kadar yankı telaşdan dolayı siz benden daha bilgilisinizdir.

Öncelikle tüm sistemlerin güncel olduğundan emin olmalısınız. Kullandığınız antivirüs yazılımları, işletim sistemleri, Sandbox çözümleri, imza tabanları vs biliyorsunuz ki Wanna Cry ilk olarak 2016 da ortaya çıktı ve 2017 de beta sürümü ile tarihe geçti diyebiliriz.

Benim burada anlatağım çözüme gelirsek;

FortiGuard Database leri WannaCry virüs imzalarını varyasyonları ile güncellenmiş durumda. Muhakkak AntiVirüs ve IPS modüllerinizi güncelleyin.

System > FortiGuard > Update AV & IPS Definitions butonuna tıklayarak güncelleme yapabilirsiniz.

Güncellemelerinizi yaptıktan sonra alacağımız bir tedbir daha var.

Fortinetin güvenlik lab larında yaptığı incelemelere göre virüs C&C Serverlara (Command And Control) bağlanmak için Tor Proxy kullanıyor. Biliyorsunuz genç bir güvenlik uzmanının C&C domainin boşta olduğunu fark edip satın almasıyla yayılımı baya yavaşlatmıştı. Buradaki amaç ransomware in C&C serverlara ulaşmasını engellemek.

Bunun için Security Profiles > Application Control > Application Overrides a geliyoruz ve Add Signatures diyip Tor uygulamasını seçiyoruz.


Action kısmından Block seçeneğini seçip kaydediyoruz.

Bu birinci yöntemdi ikincisi ise daha güzel.

Policy & Objects tabında İnternet Service Database e tıklayıp TOR diye aratırsanız fortinetin 15 bin den fazla TOR zincirini belirleyip listelediğini göreceksiniz.

Network > Static Routes kısmına geliyoruz. Destination kısmında İnternet Service i seçip Tor Proxy i seçiyoruz. Device kısmına da LAN bacağımızı seçiyoruz bizde var olmayan bir gateway yazıp ve kaydediyoruz.

Bu sayede Database deki Tor zincirlerine giden herhangi bir paketi drop etmiş oluyoruz ve ransomware C&C Server lara ulaşamamış oluyor.

Hiçbir şekilde yukarda sayılanları da yapsanız yüzde yüz güvende olamazsınız. Cryptolocker saldırılarına karşı en iyi çözüm düzenli olarak backup almakdır. Sadece backup almakla tam güvende olamazsınız Offside ve Offline Backup larını da almanız gerekmektedir.

İşinize yaraması dileğiyle.

Share this Story

Related Posts

2 Comments

  1. Faruk Özgürsoy

    8 Ekim 2018 at 21:44

    Caner Bey selamlar. Elinize sağlık güzel bir çözümün tercümanı olmuşsunuz. Merak ettiğim geçtiğimiz yıldan bu güne fortinet tarafından geliştirilen ekstra bir çözüm var mıdır? Yoksa hala bu yöntemle mi kendimizi koruma altına almaya çalışacağız.

    Reply

    • Caner Aktaş

      8 Ekim 2018 at 23:40

      Faruk bey Selam, Öncelikle teşekkür ederim yorumunuz için. Fortinet tarafında aslında Security Fabric diye bir altyapı söz konusu bu tarz durumlar için gateway dan client ve network erişimlerine kadar geçmişe dönük ve anlık bir çözüm söz konusu. Fakat bu bütünüyle bir altyapı olmakla beraber Sadece fortigate değil fortisandbox Fortimail fortiAp FortiSwitch Forticlient gibi ürünler ile tamamlanacak bir altyapı kurmanız gerekir. Onun dışında bu tür tehditler için makale de de belirttiğim gibi Backup almanızı ve signature database’inizi olabildiğince güncel tutmalısınız. bir adım ilerisi için bu makaleyi de okuyabilirsiniz http://www.caneraktas.com/2017/06/01/fortigate-5-4-0-black-hole-routing-nedir/

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

The Hacker News

  • GhostCat: New High-Risk Vulnerability Affects Servers Running Apache Tomcat
    by [email protected] (Swati Khandelwal) on 28 Şubat 2020 at 18:37

    If your web server is running on Apache Tomcat, you should immediately install the latest available version of the server application to prevent hackers from taking unauthorized control over it. Yes, that's possible because all versions (9.x/8.x/7.x/6.x) of the Apache Tomcat released in the past 13 years have been found vulnerable to a new high-severity (CVSS 9.8) 'file read and inclusion bug' […]

  • Let's Encrypt Issued A Billion Free SSL Certificates in the Last 4 Years
    by [email protected] (Ravie Lakshmanan) on 28 Şubat 2020 at 12:26

    Let's Encrypt, a free, automated, and open certificate signing authority (CA) from the nonprofit Internet Security Research Group (ISRG), has said it's issued a billion certificates since its launch in 2015. The CA issued its first certificate in September 2015, before eventually reaching 100 million in June 2017. Since late last year, Let's Encrypt has issued at least 1.2 million […]

  • Why Businesses Should Consider Managed Cloud-Based WAF Protection
    by [email protected] (The Hacker News) on 28 Şubat 2020 at 10:24

    The City of Baltimore was under cyber-attack last year, with hackers demanding $76,000 in ransom. Though the city chose not to pay the ransom, the attack still cost them nearly $18 million in damages, and then the city signed up for a $20 million cyber insurance policy. It's very evident that cyber-attacks are not only costly in terms of time and money but also bring extensive legal liability […]

  • New LTE Network Flaw Could Let Attackers Impersonate 4G Mobile Users
    by [email protected] (Ravie Lakshmanan) on 28 Şubat 2020 at 10:13

    A group of academics from Ruhr University Bochum and New York University Abu Dhabi have uncovered security flaws in 4G LTE and 5G networks that could potentially allow hackers to impersonate users on the network and even sign up for paid subscriptions on their behalf. The impersonation attack — named "IMPersonation Attacks in 4G NeTworks" (or IMP4GT) — exploits the mutual authentication […]

  • New Wi-Fi Encryption Vulnerability Affects Over A Billion Devices
    by [email protected] (Unknown) on 26 Şubat 2020 at 18:15

    Cybersecurity researchers today uncovered a new high-severity hardware vulnerability residing in the widely-used Wi-Fi chips manufactured by Broadcom and Cypress—apparently powering over a billion devices, including smartphones, tablets, laptops, routers, and IoT gadgets. Dubbed 'Kr00k' and tracked as CVE-2019-15126, the flaw could let nearby remote attackers intercept and decrypt som […]