Genel Bakış
Microsoft tarafından tanımlanan Storm-1175, Çin merkezli, finansal motivasyonlu bir siber suç grubudur. Bu grup, özellikle Medusa fidye yazılımı yüklerini dağıtmak için yüksek hızda zero-day (sıfırıncı gün) ve n-day açıklarını istismar etmesiyle bilinir. Bu makale, söz konusu tehdit aktörüne karşı sistemlerin nasıl korunacağını ve olası bir ihlal durumunda atılması gereken adımları açıklamaktadır.
Tehdit Analizi
Storm-1175, genellikle savunmasız web uygulamalarını ve güncellenmemiş kurumsal yazılımları hedef alır. İstismar sonrası, sistemde kalıcılık sağlamak ve yanal hareket (lateral movement) gerçekleştirmek için PowerShell ve çeşitli script dilleri kullanırlar.
Savunma ve Müdahale Adımları
- Yama Yönetimi: Kritik sistemlerdeki tüm yazılımların güncel olduğundan emin olun. Özellikle internete açık servisler için yamalar önceliklendirilmelidir.
- Erişim Kontrolü: En az yetki prensibini (PoLP) uygulayın. Yönetici hesaplarının internete doğrudan erişimini kısıtlayın.
- İzleme ve Tespit: Şüpheli PowerShell komutlarını ve ağ trafiğini izlemek için EDR (Endpoint Detection and Response) çözümlerinizi optimize edin.
Komut Satırı Kontrolleri
Uyarı: Aşağıdaki komutlar sistem yöneticisi yetkisi gerektirir.
Sistemdeki şüpheli süreçleri listelemek için:
Get-Process | Where-Object {$_.Path -like '*temp*'} | Select-Object Name, Id, PathAğ bağlantılarını denetlemek için:
netstat -ano | findstr ESTABLISHEDGüvenlik İpuçları
Fidye yazılımı saldırılarına karşı en etkili koruma, 3-2-1 kuralına uygun çevrimdışı yedekleme stratejisidir.
Sisteminizi korumak için sadece yazılımsal önlemler yeterli değildir. Düzenli güvenlik taramaları yapmalı ve zafiyet yönetimini bir kurum kültürü haline getirmelisiniz. Storm-1175 gibi gruplar, özellikle yamalanmamış 'n-day' açıklarını kullanarak sistemlere sızdığı için, yama döngülerinizi (patch management) hızlandırmanız hayati önem taşır. Ayrıca, MFA (Çok Faktörlü Kimlik Doğrulama) kullanımını tüm kullanıcı hesapları için zorunlu kılın.
