Konuyu Değerlendir
  • 0 Oy - 0 Ortalama
  • 1
  • 2
  • 3
  • 4
  • 5
Ransomware
#1
Ransomware ( Fidye yazılımı ) , Türkiye’de ve dünyada 2016 ilk çeyrek için tespit edilen verilere göre 209 milyon dolar fidye ödenmesine neden olan bir çeşit zararlı. Yine tespit edilen verilere göre Türkiye fidye ataklarına maruz kalma bakımından ilk sıralarda. Yaşadığımız çağda en değerli varlık olan BİLGİ ve BİLGİNİN GİZLİLİĞİNİ ve ERİŞİLEBİLİRLİĞİNİ tehdit eden ve yine sizi size ait olan bir şey ile maddi ve manevi zarara uğratan bu zararlıya karşı neler yapabiliriz. 

Bu yazımızda TrendMicro ürün ailesi içinde bulunan 2 ürün ( OfficeScan & IMSVA ) açısından Ransomware’e karşı alınan tedbirlerden ve teknik olarak kısaca konfigürasyondan bahsediyor olacağız. 

1. InterScan Messaging Security Virtual Appliance (IMSVA) 
Tespit edilen verilere göre Ransomware %60 oranında e-mail kanalıyla bulaşan yada mail üzerinden çeşitli sosyal mühendislik yöntemleri kullanılarak sizi zararlı URL’e yönlendiren bir yöntem kullanıyor. 
Bilinen ransomware varyasyonları için IMSVA üzerinde bulunan Virus Scan Engine (VSAPI)’i kullanıyoruz ayrıca Ransomware URL’lerini Web Raputation Services (WRS)  üzerinden kontrol ediyor ve engelliyoruz.Yine tehditler yoğun olarak Spam mail olarak geldiğinden IMSVA üzerindeki AntiSpam Engine (TMASE)  kullanarak spam üzerinden gelecek tehditleri engelliyoruz. 
Ransomware tehditleri yaygın olarak exe yada makro içeren dökümanlar olarak geldiğinden bu tür içerikleri IMSVA üzerinde durdurarak bilinmeyen tehditlere karşı önlem alabiliyoruz, yada ortamda mevcut bir Deep Discovery Analyzer (DDAn) var ise bu tür dosyaları analiz için buraya yönlendirebiliyoruz. 

Aşağıda IMSVA 9.1 versiyonu ve sonrası için dikkat edilmesi gereken hususları paylaşıyorum. 

a. Öncelikle updateleri kontrol ederek tüm engine’lerin güncel olduğundan emin olmak gerekir.
b. Web Reputation Services (WRS) açılmalı. 

Web konsol üzerinden Policy > Policy List’de Default Spam Rule > Scanning Conditions altında; 

c. Makro içeren dosyalar yönetilmeli. 
IMSVA üzerinde yapacağınız bir ayar ile makro içeriği ilgili dosyadan ayırabilirsiniz. Bunu yapabilmek için /opt/trend/imss/config/imss.ini dosyasına aşağıdaki ifade eklenmeli  
 [virus] 
 EnableMacroStrip=1 
akabinde servis yeniden başlatılmalı. 
 # /opt/trend/imss/script/imssctl.sh restart  

2. OfficeScan ( Endpoint Protection ) 
Size ait olan datalarınızı kurtarabilmek için para ödemek zorunda olmadan önce doğru ürünü doğru şekilde konumlandırarak endişelerinizi en aza indirin. Bu konuda OfficeScan konsol üzerinde kontrol edilmesi , açılması gereken özelikler aşağıdaki gibidir. 

a. Web Reputation Service 
TrendMicro WRS sayesinde kullanıcı bilinçli yada bilinçsiz olarak zararlı içeriğe sahip olan URL’lere erişim açısından denetlenir ve engellenir. Bilinen Ransomware URL’leri bu özellik sayesinde bloklanacak ve kullanıcıya ilgili zararlının bulaşması engellenecektir. 
Default kurulumda Windows Server işletim sistemleri dışında açık olarak gelir, Server işletim sistemlerinde özelikle açmanız beklenir. 
Agents > Agent Management > Settings > Web Reputation Settings 

b. Behaviour Monitoring 
OfficeScan, işletim sisteminde yada yüklü olan uygulamalarda olağan dışı hareketleri sürekli olarak izler ve engeller , Aynı zamanda Certified Safe Software Service ile güvenilen sertifika ile imzalı uygulamalara müdale etmeyerek false positive’lerin önüne geçilir.  
Agents > Agent Management > Settings > Behavior Monitoring Settings 

c. Browser Exploit Solution 

Bu özellik Web Browserların bilinen zafiyetleri için istismar edilmesini engeller. Bu çözümü kullanabilmek için Advanced Protection Services açık olmalı.
Agents > Agent Management > Settings > Web Reputation Settings

Agents > Agent Management > Additional Services Settings 

d. Suspicious Connection Settings 

Bu özelik sayesinde bilgisayarınızın bilinen C&C sunucular ile irtiabat kurmasının önüne geçiyoruz. Yine bu özelliği kullanabilmek için Suspicious Connection Service açık olmalı.
Agents > Agent Management > Additional Services Settings

Agents > Agent Management > Suspicious Connection Settings
Bul
Alıntı


Foruma Git:


Bu konuyu görüntüleyen kullanıcı(lar): 1 Ziyaretçi