Genel, Güvenlik
Fortigate 5.4.0 WannaCry Önlemi

Fortigate 5.4.0 WannaCry Önlemi

Herkese Merhaba,

Gündemimize bomba gibi oturan televizyonlar da sosyal medyalarda her yerde görmeye başladığımız WannaCry virüsü ile ilgili birkaç not da ben eklemek istedim. Merak etmeyin çok detaya girmeyeceğim muhtemelen bu kadar yankı telaşdan dolayı siz benden daha bilgilisinizdir.

Öncelikle tüm sistemlerin güncel olduğundan emin olmalısınız. Kullandığınız antivirüs yazılımları, işletim sistemleri, Sandbox çözümleri, imza tabanları vs biliyorsunuz ki Wanna Cry ilk olarak 2016 da ortaya çıktı ve 2017 de beta sürümü ile tarihe geçti diyebiliriz.

Benim burada anlatağım çözüme gelirsek;

FortiGuard Database leri WannaCry virüs imzalarını varyasyonları ile güncellenmiş durumda. Muhakkak AntiVirüs ve IPS modüllerinizi güncelleyin.

System > FortiGuard > Update AV & IPS Definitions butonuna tıklayarak güncelleme yapabilirsiniz.

Güncellemelerinizi yaptıktan sonra alacağımız bir tedbir daha var.

Fortinetin güvenlik lab larında yaptığı incelemelere göre virüs C&C Serverlara (Command And Control) bağlanmak için Tor Proxy kullanıyor. Biliyorsunuz genç bir güvenlik uzmanının C&C domainin boşta olduğunu fark edip satın almasıyla yayılımı baya yavaşlatmıştı. Buradaki amaç ransomware in C&C serverlara ulaşmasını engellemek.

Bunun için Security Profiles > Application Control > Application Overrides a geliyoruz ve Add Signatures diyip Tor uygulamasını seçiyoruz.


Action kısmından Block seçeneğini seçip kaydediyoruz.

Bu birinci yöntemdi ikincisi ise daha güzel.

Policy & Objects tabında İnternet Service Database e tıklayıp TOR diye aratırsanız fortinetin 15 bin den fazla TOR zincirini belirleyip listelediğini göreceksiniz.

Network > Static Routes kısmına geliyoruz. Destination kısmında İnternet Service i seçip Tor Proxy i seçiyoruz. Device kısmına da LAN bacağımızı seçiyoruz bizde var olmayan bir gateway yazıp ve kaydediyoruz.

Bu sayede Database deki Tor zincirlerine giden herhangi bir paketi drop etmiş oluyoruz ve ransomware C&C Server lara ulaşamamış oluyor.

Hiçbir şekilde yukarda sayılanları da yapsanız yüzde yüz güvende olamazsınız. Cryptolocker saldırılarına karşı en iyi çözüm düzenli olarak backup almakdır. Sadece backup almakla tam güvende olamazsınız Offside ve Offline Backup larını da almanız gerekmektedir.

İşinize yaraması dileğiyle.

Share this Story

Related Posts

2 Comments

  1. Faruk Özgürsoy

    8 Ekim 2018 at 21:44

    Caner Bey selamlar. Elinize sağlık güzel bir çözümün tercümanı olmuşsunuz. Merak ettiğim geçtiğimiz yıldan bu güne fortinet tarafından geliştirilen ekstra bir çözüm var mıdır? Yoksa hala bu yöntemle mi kendimizi koruma altına almaya çalışacağız.

    Reply

    • Caner Aktaş

      8 Ekim 2018 at 23:40

      Faruk bey Selam, Öncelikle teşekkür ederim yorumunuz için. Fortinet tarafında aslında Security Fabric diye bir altyapı söz konusu bu tarz durumlar için gateway dan client ve network erişimlerine kadar geçmişe dönük ve anlık bir çözüm söz konusu. Fakat bu bütünüyle bir altyapı olmakla beraber Sadece fortigate değil fortisandbox Fortimail fortiAp FortiSwitch Forticlient gibi ürünler ile tamamlanacak bir altyapı kurmanız gerekir. Onun dışında bu tür tehditler için makale de de belirttiğim gibi Backup almanızı ve signature database’inizi olabildiğince güncel tutmalısınız. bir adım ilerisi için bu makaleyi de okuyabilirsiniz http://www.caneraktas.com/2017/06/01/fortigate-5-4-0-black-hole-routing-nedir/

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

The Hacker News

  • SolarWinds Hackers Also Breached Malwarebytes Cybersecurity Firm
    by [email protected] (Ravie Lakshmanan) on 20 Ocak 2021 at 11:27

    Malwarebytes on Tuesday said it was breached by the same group who broke into SolarWinds to access some of its internal emails, making it the fourth major cybersecurity vendor to be targeted after FireEye, Microsoft, and CrowdStrike. The company said its intrusion was not the result of a SolarWinds compromise, but rather due to a separate initial access vector that works by "abusing applications […]

  • Google Discloses Flaws in Signal, FB Messenger, JioChat Messaging Apps
    by [email protected] (Ravie Lakshmanan) on 20 Ocak 2021 at 11:16

    In January 2019, a critical flaw was reported in Apple's FaceTime group chats feature that made it possible for users to initiate a FaceTime video call and eavesdrop on targets by adding their own number as a third person in a group chat even before the person on the other end accepted the incoming call. The vulnerability was deemed so severe that the iPhone maker removed the FaceTime grou […]

  • Researchers Discover Raindrop — 4th Malware Linked to the SolarWinds Attack
    by [email protected]blogger.com (Ravie Lakshmanan) on 19 Ocak 2021 at 15:04

    Cybersecurity researchers have unearthed a fourth new malware strain—designed to spread the malware onto other computers in victims' networks—which was deployed as part of the SolarWinds supply chain attack disclosed late last year. Dubbed "Raindrop" by Broadcom-owned Symantec, the malware joins the likes of other malicious implants such as Sunspot, Sunburst (or Solorigate), and Teardrop that […]

  • A Set of Severe Flaws Affect Popular DNSMasq DNS Forwarder
    by [email protected] (Ravie Lakshmanan) on 19 Ocak 2021 at 13:43

    Cybersecurity researchers have uncovered multiple vulnerabilities in Dnsmasq, a popular open-source software used for caching Domain Name System (DNS) responses, thereby potentially allowing an adversary to mount DNS cache poisoning attacks and remotely execute malicious code. The seven flaws, collectively called "DNSpooq" by Israeli research firm JSOF, echoes previously disclosed weaknesses in […]

  • FreakOut! Ongoing Botnet Attack Exploiting Recent Linux Vulnerabilities
    by [email protected] (Ravie Lakshmanan) on 19 Ocak 2021 at 13:40

    An ongoing malware campaign has been found exploiting recently disclosed vulnerabilities in network-attached storage (NAS) devices running on Linux systems to co-opt the machines into an IRC botnet for launching distributed denial-of-service (DDoS) attacks and mining Monero cryptocurrency. The attacks deploy a new  malware variant called "FreakOut" by leveraging critical flaws fixed in Laminas […]