Genel Bakış
Firestarter, Cisco Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) çalıştıran cihazlarda kalıcılık sağlayan karmaşık bir zararlı yazılımdır. Bu yazılım, standart güvenlik güncellemeleri ve yama süreçlerinden etkilenmemesiyle bilinir. Bu makale, sistem yöneticilerinin bu tehdidi nasıl tanımlayacaklarını ve cihazlarını nasıl temizleyeceklerini açıklar.
Tehdit Analizi
Firestarter, Cisco cihazlarının firmware veya konfigürasyon katmanlarına yerleşerek, işletim sistemi güncellemeleri sırasında bile varlığını korur. Bu durum, cihazın ele geçirildiğini fark etmeyi zorlaştırır ve gelişmiş bir siber güvenlik müdahalesi gerektirir.
Tespit ve Müdahale Adımları
- Sistem Günlüklerini İnceleyin: Cihaz üzerindeki olağandışı trafik akışlarını ve yetkisiz erişim denemelerini incelemek için syslog kayıtlarını denetleyin.
- Konfigürasyon Doğrulama: Mevcut konfigürasyonunuzu, bilinen temiz bir yedeğinizle karşılaştırın.
- Cihazı İzole Edin: Şüpheli bir durum tespit edildiğinde cihazı ağdan izole ederek daha fazla veri sızıntısını engelleyin.
- Fabrika Ayarlarına Dönüş: Zararlı yazılımın kalıcılığı nedeniyle, cihazın tamamen yeniden imajlanması önerilir.
Uyarı: Sadece yama yapmak, Firestarter'ın silinmesini sağlamaz. Cihazın tamamen yeniden kurulması (re-imaging) zorunludur.
İnceleme Komutları
Cihazınızda şüpheli süreçleri ve bağlantıları kontrol etmek için aşağıdaki komutları kullanabilirsiniz:
show processes cpu sorted
show conn all
show running-config | include cryptoEğer cihazda yetkisiz bir değişiklik tespit edilirse, Cisco'nun resmi güvenlik bültenlerini takip ederek cihazı güncel firmware sürümüne yükseltin ve tüm yönetici parolalarını değiştirin.
Önleyici Tedbirler
Cisco cihazlarınızı korumak için 'Secure Boot' özelliğinin aktif olduğundan emin olun ve yönetim arayüzlerine erişimi sadece güvenilir IP adresleriyle sınırlandırın. Düzenli olarak yapılandırma yedekleri alın ve bu yedekleri çevrimdışı bir ortamda saklayın.
