[HIDETHANKS][HIDETHANKS][HIDEREPLYTHANKS][HIDEREPLYTHANKS][/HIDEREPLYTHANKS][/HIDEREPLYTHANKS][/HIDETHANKS]
Kendimden zevk alan bir tropik adadayken Infosec Internet, İngiltere NHS'de ortaya çıkan ve 74 farklı ülkeye yayılan küresel WannaCry Ransomware tehdidi haberiyle yanıyordu
WannaCrypt Ransomware solucanı, yani WanaCrypt veya Wcry, bugün 74 ülkede patladı, hastanelere, Fedex dahil işletmelere, tren istasyonlarına, üniversitelere, en az bir ulusal telkoya ve daha fazla organizasyona bulaştı.
Buna cevaben, Microsoft, Windows, XP ve Server 2003 gibi desteklenmeyen sürümlerin yanı sıra modern sürümlerin kötü amaçlı yazılımlara karşı savunmak için acil durum güvenlik yamaları yayımladı.
Özetlemek için, WannaCrypt, Microsoft'un SMB dosya paylaşım hizmetlerinde bir güvenlik açığından yararlanarak ağlara yayılan bir solucan tarafından güvenlik açığı bulunan Windows bilgisayarlara yüklenir. Redmond'un Mart ayındaki modern Windows sürümleri ve bugünkü eski sürümleri için Mart ayında yattığı MS17-010 olarak adlandırılan bir hatayı kötüye kullanıyor - kalan tüm yamalı sistemler bu nedenle savunmasız ve saldırıya uğradı.
Bu hata, bir zamanlar NSA'nın hedeflerini kaçırmak ve casusluk yapmak için istismar edildi. Bunu yapmak için kullandığı dahili araç olan Eternalblue kodlu ajanstan çalındı ve Nisan ayında çevrimiçi olarak sızdırıldı - bu ABD hükümetinin siber silahını istekli herhangi bir yanlış davranışın eline bıraktı. Hemen hemen, internette binlerce makineyi kaçırmak için kullanıldı.
Şimdi birileri bu aracı aldı ve fidye yazılımına bağladı: sonuç SMB aracılığıyla yayılan ve bir bilgisayara indikten sonra bulabildiği kadar dosyayı şifreleyen bir WannaCrypt çeşididir. Dokümanları geri yüklemek için Bitcoin'den 300 dolar veya 600 dolar alır. Verileri kilitleyerek ofisleri ve evleri durdurma konusunda ustadır.
100.000'den fazla virüslü konukçu olduğu ve saldırganları 25.000 $ 'dan fazla netleştiren bir ödeme olduğu görülmüştür (ne kadar medya kapsamına sahip olduğunu düşünen bir maaş günü değil).
Ayrıca, alışılmadık bir hareketle Microsoft, kötü amaçlı yazılımda kullanılan SMB istismarına yönelik olarak Windows'un tüm sürümleri için (XP'ye kadarkiler de dahil) yamalar yayımlamıştır. Çoğu insan tarafından dövülmesini beklemiyorum, yamalar ya da İnternet üzerinden 445 numaralı bağlantı noktasına erişimi engelliyorlar ... ya da uzaktan mantıklı bir şey.
Adil olmak gerekirse, kazara söylemek oldukça alçakgönüllü, ancak yayılmasını engellemek istemedi. Kötü amaçlı yazılım, kaybolan olup olmadığını görmek için kayıtsız bir etki alanı denetledi, çıktıysa, büyük olasılıkla bir sanal alanda çalıştığı ve incelendiği ya da tersine çevrildiği anlamına geldiği için çıkıp çıkmadığını kontrol etti.
Sorun şu ki, bu adam etki alanını kaydettirdi, bu yüzden yayılmasından sonra her zaman çözüldü, yani WannaCry'nin yeni örnekleri başarısız oldu.[HIDETHANKS][/HIDETHANKS][/HIDETHANKS]
Kendimden zevk alan bir tropik adadayken Infosec Internet, İngiltere NHS'de ortaya çıkan ve 74 farklı ülkeye yayılan küresel WannaCry Ransomware tehdidi haberiyle yanıyordu
WannaCrypt Ransomware solucanı, yani WanaCrypt veya Wcry, bugün 74 ülkede patladı, hastanelere, Fedex dahil işletmelere, tren istasyonlarına, üniversitelere, en az bir ulusal telkoya ve daha fazla organizasyona bulaştı.
Buna cevaben, Microsoft, Windows, XP ve Server 2003 gibi desteklenmeyen sürümlerin yanı sıra modern sürümlerin kötü amaçlı yazılımlara karşı savunmak için acil durum güvenlik yamaları yayımladı.
Özetlemek için, WannaCrypt, Microsoft'un SMB dosya paylaşım hizmetlerinde bir güvenlik açığından yararlanarak ağlara yayılan bir solucan tarafından güvenlik açığı bulunan Windows bilgisayarlara yüklenir. Redmond'un Mart ayındaki modern Windows sürümleri ve bugünkü eski sürümleri için Mart ayında yattığı MS17-010 olarak adlandırılan bir hatayı kötüye kullanıyor - kalan tüm yamalı sistemler bu nedenle savunmasız ve saldırıya uğradı.
Bu hata, bir zamanlar NSA'nın hedeflerini kaçırmak ve casusluk yapmak için istismar edildi. Bunu yapmak için kullandığı dahili araç olan Eternalblue kodlu ajanstan çalındı ve Nisan ayında çevrimiçi olarak sızdırıldı - bu ABD hükümetinin siber silahını istekli herhangi bir yanlış davranışın eline bıraktı. Hemen hemen, internette binlerce makineyi kaçırmak için kullanıldı.
Şimdi birileri bu aracı aldı ve fidye yazılımına bağladı: sonuç SMB aracılığıyla yayılan ve bir bilgisayara indikten sonra bulabildiği kadar dosyayı şifreleyen bir WannaCrypt çeşididir. Dokümanları geri yüklemek için Bitcoin'den 300 dolar veya 600 dolar alır. Verileri kilitleyerek ofisleri ve evleri durdurma konusunda ustadır.
100.000'den fazla virüslü konukçu olduğu ve saldırganları 25.000 $ 'dan fazla netleştiren bir ödeme olduğu görülmüştür (ne kadar medya kapsamına sahip olduğunu düşünen bir maaş günü değil).
Ayrıca, alışılmadık bir hareketle Microsoft, kötü amaçlı yazılımda kullanılan SMB istismarına yönelik olarak Windows'un tüm sürümleri için (XP'ye kadarkiler de dahil) yamalar yayımlamıştır. Çoğu insan tarafından dövülmesini beklemiyorum, yamalar ya da İnternet üzerinden 445 numaralı bağlantı noktasına erişimi engelliyorlar ... ya da uzaktan mantıklı bir şey.
Ve makinenin uzaktan kontrol edilmesini sağlayan bir arka kapı olan Doublepulsar'ı kuruyor. Bu, bir başka çalınan NSA aracı, Eternalblue ile birlikte sızdırılmış. Kötü amaçlı yazılım, ayrıca, ana bilgisayarlarından daha fazla komut almak için gizli servislere bağlanarak anonimleştirme yapan Tor ağı üzerinden kontrol edilir.
Neyse ki, kodda bir kill anahtarı dahil edildi. Belirli bir web etki alanının var olduğunu tespit ettiğinde, başka enfeksiyonları durdurur. Bu etki alanı, daha önce nokta-com'u ters mühendislik ikili sisteminde tespit eden bir İngiliz infosec gövdesi tarafından yaratılmıştı; bu kayıt, dünya çapındaki yayılımını derhal durduran fidye yazılımı tarafından tespit edildi.
Sihirli etki alanı bağlantıları - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - California'daki bir sunucuya taşındı ve dot-com'a ulaşan virüslü sistemlerin yöneticilerine haber verilecek. Araştırmacı, “Çukurumuzdaki IP adresleri FBI ve ShadowServer'a gönderildi, bu nedenle etkilenen kuruluşların yakında bir bildirim alması gerekiyor” dedi. İnfosec, önce etki alanını kaydettiklerini itiraf etti, daha sonra bir ölüm anahtarı olduğunu fark etti. Yine de, iş bitti.
Benim için en ilginç kısım, bir Malware'in fidye yazılımının yayılmasını, bir killswitch olarak kullanılan bir alana tescil ettirerek kazara devre dışı bırakmasıydı.
Bu bağlantı ziyaretçiler için gizlenmiştir. Görmek için lütfen giriş yapın veya üye olun.
Adil olmak gerekirse, kazara söylemek oldukça alçakgönüllü, ancak yayılmasını engellemek istemedi. Kötü amaçlı yazılım, kaybolan olup olmadığını görmek için kayıtsız bir etki alanı denetledi, çıktıysa, büyük olasılıkla bir sanal alanda çalıştığı ve incelendiği ya da tersine çevrildiği anlamına geldiği için çıkıp çıkmadığını kontrol etti.
Sorun şu ki, bu adam etki alanını kaydettirdi, bu yüzden yayılmasından sonra her zaman çözüldü, yani WannaCry'nin yeni örnekleri başarısız oldu.[HIDETHANKS][/HIDETHANKS][/HIDETHANKS]