Genel, Güvenlik
Fortigate 5.4.0 WannaCry Önlemi

Fortigate 5.4.0 WannaCry Önlemi

Herkese Merhaba,

Gündemimize bomba gibi oturan televizyonlar da sosyal medyalarda her yerde görmeye başladığımız WannaCry virüsü ile ilgili birkaç not da ben eklemek istedim. Merak etmeyin çok detaya girmeyeceğim muhtemelen bu kadar yankı telaşdan dolayı siz benden daha bilgilisinizdir.

Öncelikle tüm sistemlerin güncel olduğundan emin olmalısınız. Kullandığınız antivirüs yazılımları, işletim sistemleri, Sandbox çözümleri, imza tabanları vs biliyorsunuz ki Wanna Cry ilk olarak 2016 da ortaya çıktı ve 2017 de beta sürümü ile tarihe geçti diyebiliriz.

Benim burada anlatağım çözüme gelirsek;

FortiGuard Database leri WannaCry virüs imzalarını varyasyonları ile güncellenmiş durumda. Muhakkak AntiVirüs ve IPS modüllerinizi güncelleyin.

System > FortiGuard > Update AV & IPS Definitions butonuna tıklayarak güncelleme yapabilirsiniz.

Güncellemelerinizi yaptıktan sonra alacağımız bir tedbir daha var.

Fortinetin güvenlik lab larında yaptığı incelemelere göre virüs C&C Serverlara (Command And Control) bağlanmak için Tor Proxy kullanıyor. Biliyorsunuz genç bir güvenlik uzmanının C&C domainin boşta olduğunu fark edip satın almasıyla yayılımı baya yavaşlatmıştı. Buradaki amaç ransomware in C&C serverlara ulaşmasını engellemek.

Bunun için Security Profiles > Application Control > Application Overrides a geliyoruz ve Add Signatures diyip Tor uygulamasını seçiyoruz.


Action kısmından Block seçeneğini seçip kaydediyoruz.

Bu birinci yöntemdi ikincisi ise daha güzel.

Policy & Objects tabında İnternet Service Database e tıklayıp TOR diye aratırsanız fortinetin 15 bin den fazla TOR zincirini belirleyip listelediğini göreceksiniz.

Network > Static Routes kısmına geliyoruz. Destination kısmında İnternet Service i seçip Tor Proxy i seçiyoruz. Device kısmına da LAN bacağımızı seçiyoruz bizde var olmayan bir gateway yazıp ve kaydediyoruz.

Bu sayede Database deki Tor zincirlerine giden herhangi bir paketi drop etmiş oluyoruz ve ransomware C&C Server lara ulaşamamış oluyor.

Hiçbir şekilde yukarda sayılanları da yapsanız yüzde yüz güvende olamazsınız. Cryptolocker saldırılarına karşı en iyi çözüm düzenli olarak backup almakdır. Sadece backup almakla tam güvende olamazsınız Offside ve Offline Backup larını da almanız gerekmektedir.

İşinize yaraması dileğiyle.

Share this Story

Related Posts

2 Comments

  1. Faruk Özgürsoy

    8 Ekim 2018 at 21:44

    Caner Bey selamlar. Elinize sağlık güzel bir çözümün tercümanı olmuşsunuz. Merak ettiğim geçtiğimiz yıldan bu güne fortinet tarafından geliştirilen ekstra bir çözüm var mıdır? Yoksa hala bu yöntemle mi kendimizi koruma altına almaya çalışacağız.

    Reply

    • Caner Aktaş

      8 Ekim 2018 at 23:40

      Faruk bey Selam, Öncelikle teşekkür ederim yorumunuz için. Fortinet tarafında aslında Security Fabric diye bir altyapı söz konusu bu tarz durumlar için gateway dan client ve network erişimlerine kadar geçmişe dönük ve anlık bir çözüm söz konusu. Fakat bu bütünüyle bir altyapı olmakla beraber Sadece fortigate değil fortisandbox Fortimail fortiAp FortiSwitch Forticlient gibi ürünler ile tamamlanacak bir altyapı kurmanız gerekir. Onun dışında bu tür tehditler için makale de de belirttiğim gibi Backup almanızı ve signature database’inizi olabildiğince güncel tutmalısınız. bir adım ilerisi için bu makaleyi de okuyabilirsiniz http://www.caneraktas.com/2017/06/01/fortigate-5-4-0-black-hole-routing-nedir/

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

The Hacker News

  • European Central Bank Shuts Down 'BIRD Portal' After Getting Hacked
    by [email protected] (Swati Khandelwal) on 16 Ağustos 2019 at 12:05

    The European Central Bank (ECB) confirmed Thursday that it had been hit by a cyberattack that involved attackers injecting malware into one of its websites and potentially stealing contact information of its newsletter subscribers. Headquartered in Germany, the European Central Bank (ECB) is the central bank of the 19 European Union countries which have adopted the euro and is itself […]

  • Patches for 2 Severe LibreOffice Flaws Bypassed — Update to Patch Again
    by [email protected] (Swati Khandelwal) on 16 Ağustos 2019 at 09:19

    If you are using LibreOffice, you need to update it once again. LibreOffice has released the latest version 6.2.6/6.3.0 of its open-source office software to address three new vulnerabilities that could allow attackers to bypass patches for two previously addressed vulnerabilities. LibreOffice is one of the most popular and open source alternatives to Microsoft Office suite and is availab […]

  • Bluetana App Quickly Detects Hidden Bluetooth Card Skimmers at Gas Pumps
    by [email protected] (Swati Khandelwal) on 16 Ağustos 2019 at 07:49

    In recent years, gas stations have become one of the favorite targets for thieves who are stealing customers' credit and debit card information by installing a Bluetooth-enabled payment card skimmers at gas stations across the nation. The media has also reported several recent crimes surrounding credit card skimmers, including: Gas pump skimmer found at a 7-Eleven in Pinellas County Credit […]

  • New Bluetooth Vulnerability Lets Attackers Spy On Encrypted Connections
    by [email protected] (Unknown) on 16 Ağustos 2019 at 07:35

    Over a billion Bluetooth-enabled devices, including smartphones, laptops, smart IoT devices, and industrial devices, have been found vulnerable to a high severity vulnerability that could allow attackers to spy on data transmitted between the two devices. The vulnerability, assigned as CVE-2019-9506, resides in the way 'encryption key negotiation protocol' lets two Bluetooth BR/EDR devices […]

  • Google Discloses 20-Year-Old Unpatched Flaw Affecting All Versions of Windows
    by [email protected] (Swati Khandelwal) on 15 Ağustos 2019 at 17:16

    Update — With this month's patch Tuesday updates, Microsoft has finally addressed this vulnerability, tracked as CVE-2019-1162, by correcting how the Windows operating system handles calls to Advanced Local Procedure Call (ALPC). A Google security researcher has just disclosed details of a 20-year-old unpatched high-severity vulnerability affecting all versions of Microsoft Windows, back […]