Yazılım & İşletim SistemiOrta

Gentlemen Ransomware ve EDR Sistemlerini Devre Dışı Bırakma Yöntemleri

Gentlemen ransomware, EDR sistemlerini devre dışı bırakmak için çoklu yöntemler kullanmaktadır. Bu makalede saldırı yöntemleri ve savunma stratejileri detaylandırılmaktadır.

B
Bleeping Computer Tutorials
8 görüntülenme
Gentlemen Ransomware ve EDR Sistemlerini Devre Dışı Bırakma Yöntemleri

Giriş

Gentlemen ransomware, Ransomware-as-a-Service (RaaS) modeli üzerinden faaliyet gösteren ve siber saldırganlara yönelik bir tehdit aracıdır. Bu zararlı yazılım, saldırganların hedef sistemlerdeki savunma mekanizmalarını bypass etmelerine olanak tanıyan Endpoint Detection and Response (EDR) sistemlerini devre dışı bırakmak için özel olarak tasarlanmış bir dizi araçla donatılmıştır. EDR sistemleri, kurumsal ağlardaki tehditleri tespit etmek ve yanıtlamak için kritik bir rol oynarken, Gentlemen ransomware bu sistemleri hedef alarak saldırılarını daha etkili hale getirmektedir.

Sorun Tanımı

Gentlemen ransomware'in en tehlikeli özelliklerinden biri, çoklu EDR öldürücü (EDR killers) adı verilen araçları kullanarak savunma sistemlerini devre dışı bırakmasıdır. Bu araçlar, aşağıdaki EDR sistemlerine karşı etkili olmaktadır:

  • CrowdStrike Falcon
  • SentinelOne
  • Microsoft Defender for Endpoint
  • Kaspersky Endpoint Security
  • Carbon Black

Saldırganlar, bu araçları kullanarak hedef sistemlerdeki güvenlik yazılımlarını kapatarak ransomware'in yayılmasını ve sistemdeki dosyaları şifrelemesini kolaylaştırmaktadır. Bu durum, özellikle kurumsal ağlarda ciddi veri kayıplarına ve operasyonel aksaklıklara yol açabilmektedir.

Çözüm Adımları

1. EDR Sistemlerinin Güvenliğinin Sağlanması

  1. EDR Yazılımlarının Güncel Tutulması: EDR sistemlerinin en son güvenlik yamaları ve imza veritabanlarıyla güncel tutulması, Gentlemen ransomware gibi tehditlere karşı ilk savunma hattını oluşturur.

    # CrowdStrike Falcon'un güncellenmesi
sudo /opt/CrowdStrike/falconctl -s --cid=YOUR_CID

  2. Çok Faktörlü Kimlik Doğrulama (MFA) Uygulanması: EDR sistemlerine erişimde MFA kullanılması, yetkisiz kullanıcıların sistemleri devre dışı bırakmasını engeller.

    # Microsoft Defender for Endpoint'a MFA ekleme
Set-MpPreference -EnableControlledFolderAccess Enabled

  3. EDR Yönetim Konsolunun Korunması: EDR sistemlerinin yönetim konsollarına erişim, sadece yetkili personel tarafından yapılmalıdır. Konsollar, ağ izolasyonu ve VPN gereksinimleriyle korunmalıdır.

2. Ağ Segmentasyonu ve İzolasyonu

  1. Ağ Segmentasyonu: Kritik sistemler ve EDR yönetim sunucuları, diğer ağ bölümlerinden izole edilmelidir. Bu, Gentlemen ransomware'in yayılmasını sınırlar.

    # Windows Defender Firewall'da segmentasyon
netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

  2. EDR Sunucularının Ayrı VLAN'da Konumlandırılması: EDR yönetim sunucuları, saldırganların erişimini zorlaştırmak için ayrı bir VLAN'a yerleştirilmelidir.

  3. Segmentasyon Testleri: Düzenli olarak ağ segmentasyonunun etkinliği test edilmelidir. Bu, saldırı senaryoları sırasında EDR sistemlerinin korunmasını sağlar.

3. Saldırı Tespit ve Müdahale Stratejileri

  1. EDR Loglarının Sürekli İzlenmesi: EDR sistemlerinin logları, anormal aktiviteler (örneğin, sistem hizmetlerinin ani kapatılması) için sürekli izlenmelidir.

    # CrowdStrike Falcon loglarının izlenmesi
falconctl -g --aid=YOUR_AID

  2. Otomatik Yanıt Mekanizmaları: EDR sistemlerinde otomatik yanıt kuralları oluşturulmalıdır. Örneğin, belirli bir süre içinde birden fazla EDR hizmetinin kapatılması durumunda otomatik olarak alarm verilmelidir.

  3. Yedekleme ve Kurtarma Planları: Kritik verilerin düzenli olarak yedeklenmesi ve kurtarma planlarının hazırlanması, ransomware saldırılarından sonra sistemlerin hızlıca eski haline getirilmesini sağlar.

    # Windows Server Backup kullanarak yedekleme
wbadmin start backup -backupTarget:E: -include:C: -allCritical -quiet

EDR Sistemlerini Etkileyen Diğer Tehditler

Gentlemen ransomware'in yanı sıra, aşağıdaki tehditler de EDR sistemlerini hedef almaktadır:

  • Zero-day saldırıları: Henüz yaması yayınlanmamış güvenlik açıkları kullanılarak EDR sistemlerine sızılabilir.
  • İç tehditler: Yetkili kullanıcıların kötü niyetli eylemleri, EDR sistemlerini devre dışı bırakabilir.
  • Sosyal mühendislik: Kullanıcıların EDR sistemlerini kapatmalarını sağlayan sahte uyarılar veya talimatlar.

Uyarılar ve En İyi Uygulamalar

⚠️ Uyarı: EDR sistemlerini devre dışı bırakmak için kullanılan araçlar, saldırganlar tarafından da kullanılabilmektedir. Bu araçların sistemlere yüklenmesi, saldırıların tespit edilmesini zorlaştırabilir. Bu nedenle, EDR sistemlerinin güvenliği sürekli olarak gözden geçirilmelidir.

🔹 İpucu: EDR sistemlerinin yanı sıra, SIEM (Security Information and Event Management) sistemleri kullanarak saldırıların erken tespiti sağlanabilir. SIEM sistemleri, farklı güvenlik araçlarından gelen logları birleştirerek tehditleri daha hızlı tanımlar.

Sonuç

Gentlemen ransomware, EDR sistemlerini devre dışı bırakarak saldırılarını gerçekleştiren sofistike bir tehdittir. Kurumlar, bu tür saldırılara karşı savunma stratejilerini sürekli olarak güncellemeli ve EDR sistemlerinin güvenliğini sağlamalıdır. Ağ segmentasyonu, güncel güvenlik yamaları, otomatik yanıt mekanizmaları ve düzenli yedeklemeler, Gentlemen ransomware gibi tehditlere karşı etkili bir savunma oluşturur. Bu makalede sunulan adımlar, EDR sistemlerinin korunmasına yönelik pratik bir rehber niteliğindedir.

Ek Kaynaklar

İlgili Makaleler