Bir çoğunuzun haberi yoktur fakat geçtiğimiz hafta büyük bir kaç #ransomware vakası yaşandı. VmCenter açığından faydalanarak gerçekleştirilen bu saldırıdan 2 #datacenter etkilendi. Acilen olay yerine müdahale etmemiz istendi.
Saldırının analizini yapmak, zafiyete sebebiyet veren açığı tespit etmek, olası güvenlik tedbirleri vb çalışmaları yapmaya zaman yoktu. Yüzlerce sunucudan oluşan bir veri kaybının olduğu bir yerde önceliğin bu olması mantıklı da olmazdı zaten.
Birinci önceliğimiz tüm sistemi yeniden ayağa kaldırmak ve mağduriyeti gidermek olduğu için kolları sıvadık ve çalışmalara başladık. Öncesinde #hacker ile bazı iletişimler kurulduğunu ve bir miktar fidye ödendiğini olay yerine ulaştıktan sonra öğrendik.
Çokça aşina olduğumuz gibi bu vakada da hacker, ödeme almış olmasına rağmen dataları teslim etmediği gibi daha fazla ödeme almak için taciz ve şantaj mailleri ile datacenter müşterilerini rahatsız etmeye başlamış.
Olay yerine ulaştığımızda sadece lokal networkün çalıştığını, dışarıya çıkışın kapatıldığını gördük. Bir siber saldırıda önceliğin bu olması her zaman önemlidir.
Bazı ön hazırlıklardan sonra enfekte olan sunuculara ait şifrelenmiş vmdk dosyalarını kendi makinalarımıza çektik.
Bazı ön hazırlıklardan sonra enfekte olan sunuculara ait şifrelenmiş vmdk dosyalarını kendi makinalarımıza çektik.
Kullanılan şifreleme algoritmasının tespiti, şifrelemenin boyutu vb analizlerden sonra uzun sürecek bir mesai için kollarımızı sıvadık.
Bir yandan bu çalışmalar sürerken, diğer yandan sistem üzerinde hackera ait izlere ulaşmaya çalışıyoruz.
Bir yandan bu çalışmalar sürerken, diğer yandan sistem üzerinde hackera ait izlere ulaşmaya çalışıyoruz.
Şifreleme farkedildiği anda network bağlantısının kesilmesinden dolayı hacker izleri silemediği için sistem üzerinde çalıştırılan bazı tool ve komutlara ulaşıldı.
Enfekte olan makinalar üzerinde de çalışmalar aralıksız olarak devam ederken 2. günün sonuna doğru ilk sunucuyu ayağa kaldırmayı başardık.
Sunucuları ayağa kaldıracak yöntem belirlendikten sonra bir yandan enfekte olan makinalar ayağa kaldırılırken bir yandan bu makinalar üzerinden saldırının gerçekleştirilmiş olabileceği izlenimine kapıldım.
Windows kurulu bir makina üzerindeki log kayıtlarına baktığımda şifreleme saatinin başladığı 22:39’dan 5 dakika öncesine ait RDP bağlantısı tespit ettim. Bu araştırmalar devam ederken sunucuyu kiralayan müşteriden bir mail geldi.
Mail içeriğinde #hacker tarafından gönderilen ekran görüntüsünde müşteriye ait veritabanı bulunuyordu. Hizmet aldığı firmayı hacklediklerini, ödeme yapmaları gerektiği, aksi taktirde verilerinin #darkweb’de satışa sunulacağı yazıyordu.
Maili alan firma doğrudan datacenter’ı arayarak konu ile ilgili açıklama yapmasını verilerini koruyamadıkları için mağdur olduklarını belirten cümleler kurmaya başladı ve tüm bu sorunların #datacenter firmasından kaynaklandığını belirterek suçlamalarda bulunmaya başladı.
Bir yandan bu konuşmalara şahit olurken, bir yandan da ayağa kaldırılan sunucular üzerindeki araştırmalarım devam ediyordu.
Bahse konu sunucuların çoğunda RDP portlarının aktif olduğu, vpn olmadığı, basit parolalar kullanıldığı zaman geçtikçe daha da belirgin oluyordu.
Bahse konu sunucuların çoğunda RDP portlarının aktif olduğu, vpn olmadığı, basit parolalar kullanıldığı zaman geçtikçe daha da belirgin oluyordu.
SQL ve rdp logları incelendiğinde, bu sunuculara çok önceden sızıldığı, uzunca bir süre bruteforce atak yapıldığı anlaşılıyordu.
Linux sunuculara backdoor yerleştirildiği, Windows makinalarda ise bir çok exploit barındıran PDF dosyaları olduğu tespit edildi.
Linux sunuculara backdoor yerleştirildiği, Windows makinalarda ise bir çok exploit barındıran PDF dosyaları olduğu tespit edildi.
(Daha sonra bu backdoor’ları ve zararlı kod içeren PDF dosyalarını burdan paylaşırım.)
Yaklaşık 96 saatlik bir uykusuzluktan sonra zararlı kod barındıran sunucular temizlenip ayağa kaldırıldı. Diğer yandan #Vcenter’da barındırılan şifrelenmiş sunucular yeniden kuruldu.
Yaklaşık 96 saatlik bir uykusuzluktan sonra zararlı kod barındıran sunucular temizlenip ayağa kaldırıldı. Diğer yandan #Vcenter’da barındırılan şifrelenmiş sunucular yeniden kuruldu.
Hali hazırda üzerinde çalışılan 7 sunucu bulunuyor ve bunların bir kısmı şifreleme esnasında hasar gördüğü için ne yazık ki kurtarılamadı.
Yapılan analizler sonucunda ve veri trafiği incelendiğinde datacenter üzerinden sızdırılmış bir veri olmadığı, şantaj için kullanılmak üzere hackerlar tarafından ekran görüntülerinin alındığı anlaşılıyordu. Sistem yapısı gereği böyle bir verinin çalınmış olması muhtemel değildi.
Günlük, haftalık, aylık ve yıllık veri trafiğinde olağan dışı bir trafik görüntülenmediği için böyle bir kanaate vardık.
Son sunucu da bittiğine göre şunu şuraya bırakıp dinlenme moduna geçebilirim artık 😩 
Giriş, gelişme ve sonuç :)
İlk tepki böyle bir olay karşısında gayet doğaldır, o yüzden takılmayın :)
İlk tepki böyle bir olay karşısında gayet doğaldır, o yüzden takılmayın :)
• • •
Missing some Tweet in this thread? You can try to
force a refresh
