Fortinet Türkiye’yi etkileyebilecek Bad Rabbit’e karşı kullanıcıları uyarıyor

marka Fortinet
27.10.2017
Bültene Ait Görseller


Bültene Ait Dosyalar
Fortinet Türkiye'yi etkileyebilecek Bad Rabbit'e karşı kullanıcıları uyarıyor
 
Yüksek performanslı siber güvenlik çözümlerinde küresel lider Fortinet® (NASDAQ: FTNT) Bad Rabbit (Kötü Tavşan) adında yeni bir fidye yazılıma karşı kullanıcıları uyardı. Bad Rabbit, Rusya ve Doğu Avrupa'daki yüksek profilli hedeflere zarar verdi. 24 Ekim'de tespit edilen Bad Rabbit ile ilk olarak Rusya ve Ukrayna'da karşılaşılırken Türkiye, Almanya ve Doğu Avrupa'nın küçük bir bölümünden de bulaşma raporlamaları alınmıştı. Güney Kore ve Amerika'dan gelen raporlar saldırının başka bölgelere de yayıldığını gösteriyor.
 
Aralarında Rus haber ajansı Interfax offline'ın da bulunduğu Rusya'daki birçok medya kurumu saldırıdan etkilendi. Ayrıca Odessa Uluslararası Havalimanı ve Ukrayna'daki Kiev metrosu gibi ulaşım merkezleri de saldırının etkisi altında kaldı. Halihazırda saldırının kim ya da kimler tarafından gerçekleştirildiğine dair bir bilgi bulunmuyor.
 
Öne çıkan ilk tehlike vektörü kullanıcıların Flash Player'ı kötücül yazılım bulaşmış sitelerden şüpheli kopyalarını indirmeleri veya watering hole (su kaynağı) saldırıları* ile gerçekleşiyor. Kullanıcıları kandırıp .exe uzantılı bir dosyanın açılmasıyla kötücül yazılımı çalıştırmayı hedefleyen saldırı Windows cache'sinde saklı kullanıcı bilgilerini (kullanıcı adı ve şifreler) çalıp kullanıcı dosyalarını şifreliyor. Diğer fidye yazılımların tersine bu kötü niyetli yazılım şifrelediği dosyaları yeniden adlandırmıyor ya da adlarını değiştirmiyor.
 
Petya'nın bir başka şekli olabilecek payload, yazılım etkisini göstermeye başladığında bilgisayarlardaki veri dosyalarını ve ağ paylaşımlarını şifreledikten sonra fidye notunu ekrana getiriyor. Fidye yazılım şifrelenmiş dosyaları eski haline getirmek için yaklaşık olarak 275 dolar değerinde 0,05 Bitcoin talep ediyor.
 
Bu kötü niyetli yazılım aşağıdaki dosyalardan herhangi birini karşınıza çıkarabilir:
  • %Windows%cscc.dat : Bir masaüstü şifreleme yardımcısı, ReactOS tarafından geliştirildi ve daha çok dcrypt.sys olarak biliniyor.
  • %Windows%dispci.exe : Bu dosya W32/Diskcoder.D!tr.ransom. olarak tespit edildi.
  • %Windows%infub.dat : Bu dosya W32/Diskcoder.D!tr.ransom. olarak tespit edildi.
  • %Desktop%DECRYPT.lnk : discpi.exe için bir kısayol dosyası.
  • %RootDir%Readme.txt : Bu dosya fidye notunu içeriyor.
 
Kötü niyetli yazılımın ayrıca aşağıdaki WebDav komutlarını uyguladığı görüldü:
  • OPTIONS /admin $
  • PROPFIND /admin$ 
FortiGuard Labs'te gerçekleştirdiğimiz testler sonucu bu fidye yazılımın aynı subnet içindeki farklı IP'leri sıralamaya çalıştığını gördük. Bu davranışın bir açıklaması ise kötü niyetli yazılımın geçerli bir web sunucusu olan dahili bir IP adresi bulmaya çalıştığı olabilir. Ek olarak payload diğer ağlar üzerinde hareket edip bulaşabileceği başka cihazlar da arıyor. 
 
Bu saldırı medyadan da büyük ilgi görürken WannaCry ve Petya gibi geçtiğimiz baharda ortalığı kasıp kavuran saldırılarla benzerlikleri olması da dikkatleri çekti.  Adı geçen fidye yazılımların aksine Bad Rabbit Eternal Blue veya DoublePulsar açıklarını hedeflemiyor.
 
Fortinet bu kötü niyetli yazılımın şu anda küçük boyutlarda yayıldığını tespit etti. Ancak daha fazla sayıda sanal sunucu ve araştırma sensör boğumları olan Avrupa ve Kuzey Amerika bölgelerinin de hedef haline gelmesi ile bu durum değişebilir.
 
Çözüm:
Fortinet'in AV/Malware motoru W32/Diskcoder.D!.tr.ransom imzası aracılığıyla bilinen bütün kötü niyetli yazılımları tespit edebilir. Buna ek olarak Fortinet Web Filtreleme özelliği ve DNS motorları ile bilinen C&C (komut ve kontrol) sunucularını da engelleyebilir.
 
IOC:
%Windows%cscc.dat                    Virüs
%Windows%dispci.exe                 Virüs
%Windows%infub.da                    Virüs
%Desktop%DECRYPT.lnk              dispci.exe kısa yolu
1dnsconrol[.].com                         muhtemel C&C sunucusu
 
*Su kaynağı saldırıları için bknz. https://www.mertsarica.com/su-kaynagi-saldirisi/

Fortinet hakkında
Fortinet (NASDAQ: FTNT) dünya genelinde büyük ölçekli şirketlere, servis sağlayıcılarına ve kamu kurumlarına güvenlik sunar. Fortinet, her geçen gün artan sanal saldırılara karşı müşterilerine akıllı ve sorunsuz koruma sağlar, sınırların ortadan kalktığı ağların artan performans ihtiyaçlarını karşılar. Ağlardaki uygulamaların, bulut sistemlerinin ve mobil cihazların karşılaştığı en kritik güvenlik sorunlarına karşı performanstan ödün vermeden güvenlik sunan tek çözüm sadece Fortinet'in Security Fabric mimarisidir. Fortinet global çapta sevkiyatı yapılan en güvenilir çözümler alanında dünyanın bir numarasıdır ve dünya genelinde 320 binden fazla müşteri ticari faaliyetlerini korumak için Fortinet'e güvenmektedir. Daha fazla bilgi için: http://www.fortinet.com, Fortinet Blog sayfası veya FortiGuard Labs.