Petya Nedir ? Sistemlere Nasıl zarar verir?
“TheShadowBrokers” isimli hacker grubu tarafından Nisan ayında sızdırılan NSA’in zafiyet kiti EternalBlue bilgisayar sistemlerinin başına bela olmaya devam ediyor!
Wanna Cry ‘ı daha unutamamışken Petya isimli yeni bir fidyecilik zararlı yazılımı karşımıza çıktı. Yapılan siber saldırı küresel olarak birçok kurumu tehdit etmeye ve büyük zararlara yol açmaya başladı.
“EternalBlue” Windows işletim sistemlerindeki SMB servisinin zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamaktadır.
Bu zafiyet 27 Haziran 2017 itibariyle Petya(Win32/Diskcoder.Petya.C) adlı bir fidye yazılımı tarafından kullanılmaya başlandı. Bu fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmeksizin bulaştığı ağda aynı kullanıcı adı ve parola bilgisini kullanan sistemleri tarayarak bulmakta ve tespit ettiği sistemleri de etkilemektedir.
Petya zararlı yazılımının ilk olarak Ukrayna ‘da kullanılan “ME Doc” isimli bir muhasebe programının güncelleme dosyaları ile yayıldığı tespit edildi.
-Petya İnfeksiyon Diyagramı-
TrendMicro tarafından Petya ile ilgili yayınlanan yukarıdaki diyagrama biraz göz gezdirelim.
Kısaca özetlersek Petya saldırı yapılmak istenen kişi/kurumlara gönderilen CV, iş teklifi, yanıltıcı veya ilgi çekici e-postalar ile dosyayı açması sağlanıyor. Dosya açıldığı andan itibaren Petya virüsü aktifleşiyor ve sabit diskte yer alan tüm verileri şifreliyor.
Petya varyantının hem EternalBlue açığını hem de PsExec aracını enfeksiyonu yaymak için kullandığı biliniyor.
İçeriye sızdıktan sonra Petya varyantı kendisini çalıştırmak için rundll32.exe işlemini kullanır. Gerçek şifreleme daha sonra Windows klasöründe bulunan perfc.dat adlı bir dosya tarafından gerçekleştiriyor.
Bu fidye yazılımı, daha sonra sistemin 45dk-1 saat arası bir süre içersinde yeniden başlatılması için zamanlanmış bir görev ekliyor. Zararlı yazılım sistemde yönetici yetkisine ulaşıyor ve başarılı olduğunda da, bilgisayarın diskinin açılış kaydının (MBR) üzerine yazıyor.
Bilgisayar yeniden başladığında başlangıçta sahte bir CHKDSK uyarısı görüntülenir; ve hard diskteki diğer datalar şifrelenmeye başlar.
Ve Süpriz 🙂
Güvenlik şirketi Sophos Petya’dan etkilenmemek için alınması gereken önlemleri şu şekilde sıralamış.
- Sisteminizde tüm güncel yamaların, özellikle de Microsoft MS17-010 yamasının kurulu olduğundan emin olun.
- Kullanıcılarınızın bilgisayarlarında Microsoft PsExec aracının çalışmasını önleyin. Bu araç mevcut Petya varyantının yayılmak için kullandığı tekniklerde önemli bir görev üstlenmektedir. Bunu Sophos Endpoint Protection veya diğer güvenlik çözümleri yardımıyla yapabilirsiniz.
- Düzenli yedek alın ve güncel bir yedeğinizi çalışma alanınızın dışında tutun.
- Tanımadığınız kişilerden gelen e-posta eklerini açmayın. İnsan kaynakları gibi sürekli e-posta ekleriyle çalışmanız gereken bir pozisyonda olsanız bile dikkatli olun.
Bir sonraki yazımda atıl bir sistemde Sophos Enpoint Protection kurup Petya virüsünü test edeceğim.
Görüşmek üzere…
Kaynaklar
http://blog.trendmicro.com/
https://www.sophos.com/
Leave a Reply