EternalBlue nedir?

NSA tarafından bir siber saldırı aracı olarak oluşturulan istismardır. EternalBlue istismarı ( resmi adı MS17-010 by Microsoft) olsa da, yalnızca Windows işletim sistemlerini etkiler, ancak SMBv1 (Sunucu İleti Bloğu sürüm 1) dosya paylaşım protokolünü kullanan her şey teknik olarak fidye yazılımları ve diğer siber saldırılar için hedeflenme riski altındadır.

EternalBlue, hem bir dizi Microsoft yazılım güvenlik açığına verilen ad hem de NSA tarafından bir siber saldırı aracı olarak oluşturulan istismardır. EternalBlue istismarı ( resmi adı MS17-010 by Microsoft) olsa da, yalnızca Windows işletim sistemlerini etkiler, ancak SMBv1 (Sunucu İleti Bloğu sürüm 1) dosya paylaşım protokolünü kullanan her şey teknik olarak fidye yazılımları ve diğer siber saldırılar için hedeflenme riski altındadır.

EternalBlue nasıl geliştirildi?

EternalBlue’u ilk kimin yarattığını merak ediyor olabilirsiniz. SMB güvenlik açığının kökenleri casus hikayelerinin yapıldığı şeydir – tehlikeli NSA hack araçları sızdırıldı, yaygın güvenlik açıkları ve maruz kalmalar için Shadow Brokers adlı kötü şöhretli bir grup ve dünya çapında bireyler, hükümetler ve şirketler tarafından kullanılan çok popüler bir işletim sistemi.

Microsoft tarafından yapılan kınama açıklamalarınagöre EternalBlue, Birleşik Devletler Ulusal Güvenlik Ajansı tarafından siber güvenlik açıklarını uygun satıcıya işaretlemek yerine stoklama ve silahlandırma konusundaki tartışmalı programlarının bir parçası olarak geliştirildi.

İlk sızıntı ve serpinti

İşte işler burada ilginçleşiyor – NSA hackleniyor ve farkında olmadan EternalBlue’nun ebedi tehdidini dünyaya salıyor. NSA’nın nasıl hacklendiğini resmi olarak çok az şey biliyor, ancak EternalBlue’nun nasıl sızdırıldığı hakkında bildiklerimiz.

Shadow Brokers, şimdi ünlü hack grubu, EternalBlue erişim kazandı ve NSA hacking aracını 14 Nisan 2017’de Twitter hesabındaki bir bağlantı aracılığıyla sızdırdı. Bu, Shadow Brokers bilgisayar korsanlarının ilk kez değil, hassas açıkları ve güvenlik açıklarını çevrimiçi olarak beşinci kez sızdırdıkları zamandı. “Lost in Translation” başlıklı bu özel sürüm, Windows işletim sistemlerini hedefleyen EternalBlue istismarını içeriyordu.

EternalBlue ilk olarak NSA tarafından geliştirildi ve daha sonra hacker grubu Shadow Brokers tarafından yayıldı. NSA bir Windows güvenlik açığı keşfetti ve eternalblue istismarını yarattı, daha sonra bilgisayar korsanı grubu Shadow Brokers tarafından çalındı ve sızdırıldı.

14 Mart 2017’de, Shadow Brokers sızıntısından tam bir ay önce, Microsoft Güvenlik Bülteni MS17-010‘u yayımladı. Zaman çizelgesi, Microsoft’un NSA ihlali hakkında bilgilendirildiğini ve milyonlarca savunmasız Windows sistemini korumak için ellerinden geleni yapmak için acele ettiğini göstermektedir.

MS17-010 düzeltme eki, Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 ve Windows Server 2016dahil olmak üzere desteklenen tüm Windows işletim sistemleri için SMBv1 yazılım kusurlarını düzeltmek üzere tasarlanmıştır. Microsoft ayrıca, varsayılan olarak Windows 10 ve Windows Servers 2012 ve 2016’nın en son sürümlerinde SMBv1’i otomatik olarak devre dışı bırakmaktadır.

Ayrıca, EternalBlue istismarının ciddiyetini göstermek için eşi görülmemiş bir hamleyle Microsoft, sızıntı halka açık hale getirildikten sonra desteklenmeyen işletim sistemleri için ikinci bir acil durum düzeltme eki yayımladı. Bu ikinci sürüm Windows XP, Windows 8 ve Windows Server 2003’üdestekledi.

EternalBlue nasıl çalışır?

EternalBlue yararlanma, Microsoft işletim sistemlerinin eski sürümlerinde bulunan SMBv1 güvenlik açıklarından yararlanarak çalışır. SMBv1 ilk olarak 1983’ün başlarında dosyalara, yazıcılara ve bağlantı noktalarına paylaşılan erişimi etkinleştirmek için bir ağ iletişim protokolü olarak geliştirilmiştir. Aslında Windows makinelerinin birbirleriyle ve uzak hizmetler için diğer cihazlarla konuşmalarının bir yoluydu.

EternalBlue takes advantage of SMBv1 vulnerabilities. EternalBlue, kötü amaçlı veri paketleri eklemek ve kötü amaçlı yazılımları ağ üzerinden yaymak için SMBv1 güvenlik açıklarından yararlanır.

Bu açık, Microsoft Windows’un kötü niyetli saldırganlardan gelen özel hazırlanmış paketleri işleme biçiminden yararlanır veya daha doğrusu yanlış kullanır. Saldırganın tek yapması gereken hedef sunucuya kötü amaçlı hazırlanmış bir paket göndermekve bum, kötü amaçlı yazılım yayılır ve bir siber saldırı meydana çıkar.

EternalBlue’nun Ortak Güvenlik Açıkları ve Etkilenme sayısı Ulusal Güvenlik Açığı Veritabanına CVE-2017-0144olarak kaydedilir.

Microsoft’un düzeltme eki güvenlik açığını tamamen kapatır, böylece EternalBlue istismarını kullanarak fidye yazılımı, kötü amaçlı yazılım, kripto hırsızlığıveya diğer solucan benzeri dijital sızma girişimlerini dağıtma girişimlerini önler. Ancak önemli bir sorun devam ediyor — Windows’un birçok sürümü için, yazılım güncellemesinin yüklenmesi gerekir koruma sağlamak için.

EternalBlue’ya bu kadar uzun bir raf ömrü veren bu önemli sorundur – birçok kişi ve hatta işletmeler yazılımlarını düzenli olarak güncelleyememektedir, işletim sistemlerini eternalBlue ve diğer saldırılara karşı savunmasız bırakır. Bugüne kadar, düzeltme eki yüklenmemiş savunmasız Windows sistemlerinin sayısı milyonlarda kalır.

EternalBlue siber saldırılarda nasıl kullanılır?

EternalBlue, WannaCry ve Petya fidye yazılımlarını yaymak için ünlü bir şekilde kullanılmıştır. Ancak istismar, kripto hırsızlığı ve solucan benzeri kötü amaçlı yazılımlar da dahil olmak üzere her türlü siber saldırıyı dağıtmak için kullanılabilir. NSA kesmek cve-2017-0144 düzeltmek için düzeltme eki uygulamamış savunmasız bir sunucuya kötü amaçlı bir paket göndermek için herhangi bir saldırgan için kapıyı açtı.

WannaCry

İsim her şeyi söylüyor. WannaCry, EternalBlue istismarı tarafından mümkün kılan dünya çapında bir fidye yazılımı saldırısınınadıdır. Bilgisayar korsanlarının bile komedi bir tarafı vardır.

WannaCry siber saldırısı 12 Mayıs 2017’de başladı ve hemen küresel bir etki yarattı. Fidye yazılımı saatte 10.000 cihaz oranında yayıldı ve tek bir günde 150 ülkede 230.000’den fazla Windows PC’ye bulaştı.

Belirli bir hedef belli olmasa da, FedEx, Montreal Üniversitesi, LATAM Havayolları, Deutsche Bahn ve özellikle İngiltere’nin Ulusal Sağlık Servisi (NHS) dahil olmak üzere bazı büyük isimler ve kuruluşlar vuruldu. NHS, binlerce randevu ve operasyonun iptal edildiğini ve güvenlik ihlali nedeniyle hastaların kaza ve acil servislere daha fazla seyahat etmek zorunda kaldığını bildirdi.

Petya

Petya, EternalBlue istismarını tahribat yaratmak için kullanan başka bir fidye yazılımı siber saldırısıdır.

Petya teknik olarak 2016’nın başlarında, WannaCry’den önce piyasaya sürüldü, ancak çok az fanfare ve hasara. Petya’nın ilk sürümü kötü amaçlı bir e-posta eki yoluyla yayıldı ve oldukça basit bir fidye yazılımı biçimiydi – bilgisayarınız enfekte olur ve şifre çözme anahtarı satın almak için 300 $ değerinde Bitcoin ödeyene kadar dosyalarınız şifrelenir (veya fidye tutulur).

Petya is another strain of ransomware that used the EternalBlue exploit. Petya fidye dosyaları şifreler ve onları serbest bırakmak için Bitcoin bir fidye talep eder.

EternalBlue ve WannaCry’ın talihsiz başarısı sayesinde, Petya fidye yazılımına ikinci bir yıkım şansı verildi. Haziran 2017’de NotPetya, EternalBlue istismarı kullanılarak dağıtıldıve bu sefer insanlar fark etti.

Petya’nın birinci ve ikinci sürümleri arasındaki temel fark, NotPetya’nın (Petya V2) bir sistemi tamamen devre dışı bırakmayı hedeflemesiydi. Fidye ödense de ödenmese de tedavisi yoktu. Siber saldırı, bir bilgisayarın ana dosya tablosunu (MFT) ve ana önyükleme kaydını (MBR) kalıcı olarak şifreledi.

EternalBlue ne kadar maddi hasara neden oldu?

EternalBlue’nun faturası ne ve kim dayanıyor? Cevap, milyarlarda olduğu gibi bir B ile başlar ve bunun için ödeme yapan insanlar sizin gibi bireylerden, hem doğrudan hem de vergiler yoluyla çok uluslu şirketlere kadar değişir.

Tahminler NotPetya’nın maliyetini 10 milyar doların üzerinde, WannaCry’nin maliyetini ise yaklaşık 4 milyar dolar zararakoydu.

Bazı büyük isimlere çok sert darbe vuruldu. Dünyanın en büyük nakliye firması Maersk 300 milyon dolar kaybetti; teslimat şirketi FedEx 400 milyon dolar kaybetti; ve Merck Pharmaceuticals (Kuzey Amerika dışında MSD olarak bilinir), 15.000 Windows makinesinin sadece 90 saniyede NotPetya’ya yenik düşmesinin ardından 870 milyon dolar kaybetti.

USD olarak ölçülebilir olmayan daha derin bir kayıp, hastaneler ve sağlık kuruluşları için veri ve erişim kaybıydı.

Bir hastanede bir ağ çöktüğinde, doktorlar gerçekleşmesi gereken potansiyel hayat kurtaran ameliyatlar hakkında bilgi göremezler. İlaç değişikliklerini de kaydedemez veya bunlara erişemezler. Hastaneler, NotPetya siber saldırısı sırasında Ukrayna’da olduğu gibi ambulansları bulmak için GPS sinyallerini bile kaybedebilir.

Siber saldırıları toplum için bu kadar tehlikeli hale getiren bu tür parasal olmayan kayıplardır.

EternalBlue hala dışarıda mı?

Kısa cevap, evet, EternalBlue hayatta ve iyi. WannaCry ve NotPetya hasarlarının çoğunu 2017’nin başlarında yapsa da, EternalBlue’yu sömüren diğer saldırılar ne yazık ki hala güçlü gidiyor. Mayıs 2019 itibariyle, her gün yüz binlerce EternalBlue saldırı girişimivardı.

Aslında, Haziran 2020 itibariyle, Avast hala her ay yaklaşık 20 milyon EternalBlue saldırı girişimini engelliyor.

Neredeyse bir milyon makine hala savunmasız SMBv1 protokolünü kullanıyor ve çevrimiçi kalıyor. Bu gerçek tek başına EternalBlue’nun kalıcılığını sağlar. Bilgisayarlar düzeltme eki yüklenmeden ve çevrimiçi kaldığı sürece korunmasız kalırlar.

Bununla birlikte, daha derin tehdit, Shadow Brokers tarafından NSA hack’i sırasında da yayınlanan kullanılmamış istismarlarda olabilir. EternalBlue birçoğundan sadece biriydi.

Ufukta beliren en tehlikeli tehdit EternalRocks olarak adlandırıldı ve geliştirilmenin eşiğinde. NSA hack’inde ortaya çıkan iki istismardan yararlanan WannaCry’ın aksine, EternalRocks’unEternalBlue, EternalRomance, EternalSynergy, EternalChampion, ArchiTouch ve SMBTouch dahil olmak üzere yedi istismar kullandığı söyleniyor. Potansiyel tehditler, DoublePulsar gibi Eternal istismarlarından hemen sonra yürütülen kabuk kodunu içerir.

Sistemim tehdit altında mı?

Belki.

Ama iyi haber, kendinizi korumanıza yardımcı olacak güçlü araçlar var. EternalBlue tehdidi devam ederken, MS17-010 gibi güvenlik yamalarını ve ücretsiz antivirüs yazılımınıkullanarak karşı koyabilirsiniz.

Tüm Windows kullanıcılarının MS17-010’da Microsoft’tan edinilebilecek güvenlik düzeltme ekini dağıtmalarını öneririz. Tek yapmanız gereken yazılımınızı Windows’un en son sürümüne güncellemektir. Bunu yapmadan, geçmişteki araçlarla şimdiki zaman sorunlarıyla mücadele etmeye çalışırdınız. SMBv1 protokolünün eski hale getirilmelidir, bu nedenle tüm Windows kullanıcılarının düzeltme ekini uygulaması gerekir.

Bilgisayarınızı en son yazılım güncellemeleriyle güncelleyerek rolünüzü yapın ve nihai çevrimiçi güvenlik ve gizlilik için bu beş ipucunuizleyin.

Bilgisayarınızın EternalBlue siber saldırısına karşı savunmasız olup olmadığını görmek ister misiniz? Wi-Fi Denetçimiz şu anda sizin için kontrol edebilir.

Gelecekteki istismarlara karşı kendinizi savunun

Siber saldırganlar iş demek, ama biz de öyle. Bu nedenle Avast, WannaCry ve Petya gibi zararlı fidye yazılımı saldırılarını engellemek için güçlü bir antivirüs yazılımı oluşturdu. SMBv1 güvenlik açığından yararlananlar da dahil olmak üzere kötü amaçlı yazılımlara ve diğer tehditlere karşı altı koruma katmanı sağlamak için bulut tabanlı yapay zeka kullanıyoruz. Ayrıca, Wi-Fi Inspector özelliğimiz, EternalBlue saldırılarına karşı savunmasız olup olmadığınızı kontrol edecektir.

[KAYNAK1] WEB

Arif Akyüz
Kıdemli Bilgi Teknolojileri Sistem Network ve
Siber Güvenlik Uzmanı
M: [email protected]

Arif Akyüz Sistem Network Yöneticisi ve Siber Güvenlik Uzmanı

Arif Akyüz
Bilgi Teknolojileri
Sistem Network Yöneticisi
ve Siber Güvenlik Uzmanı
[email protected]