Konu : Linux İşletim Sistemi Kullanan Müşterimizin Dikkatine

Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından yapılan tehdit istihbarat çalışmaları çerçevesinde, son zamanlarda görülen Drovorub zararlı yazılım araç setinin kritik kurum/kuruluşlara yapılan sızma girişimlerinde kullanılabileceği tespit edilmiştir.

Linux işletim sistemleri üzerinde etkin olan zararlı yazılım; komut çalıştırma, trafik yönlendirme ve dosya indirme özelliklerine sahiptir. Ayrıca sisteme yüklediği kernel modülü aracılığıyla kalıcılık sağlamakta, kendini gizlemekte, tespit yöntemlerini kısıtlamaktadır.

Zararlı yazılımın bileşenleri sunucu, istemci, kernel ve aracı yazılımlardan oluşmaktadır. İstemci, sunucu ve aracı arasındaki iletişim WebSocket teknolojisi üzerinden JSON ile yapılmaktadır. Bu iletişimin güvenlik cihazlarında tespiti mümkündür.

Tespit için kullanılabilecek iki Snort kuralı aşağıdaki gibidir:

Kural 1:
alert tcp any any -> any any (msg: "Drovorub WebSocket JSON Comms"; content:"{|22|children|22|:[{|22|name|22|:"; pcre: "/\x81.{1,4}\{\x22children\x22:\[\{\x22name\x22:\x22[a-z0- 9_]{1,32}\x22,\x22value\x22:\x22[a-zA-Z0-9+\/]{1,256}={0,2}\x22\}/"; sid: 1; rev: 1;)

Kural 2:
alert tcp any any -> any any (msg:"Drovorub WebSocket Ping"; flow:established,from_server; dsize:18; content:"|89 10 7b 22 70 69 6e 67 22 3a 22 70 69 6e 67 22 7d 0a|";depth:18; sid: 2; rev: 1;)

Ayrıca aşağıdaki komutun gerekli izinlerin bulunduğu bir dizinde çalıştırılması sonucunda "testfile" isimli dosyanın görülememesi durumunda zararlı yazılımın mevcut olduğu doğrulanabilir (dosyanın bulunması zararlının mevcut olmadığı anlamına gelmemektedir):
touch testfile; echo “ASDFZXCV:hf:testfile” > /dev/zero; ls

Önlemler:

1. Sunucu ve son kullanıcı bilgisayarlarında gerekli sıkılaştırmalar yapılmalı, mevcut bulunan en son güvenlik güncellemeleri yapılmalıdır.
2. Sistemlerin güvenilmeyen kernel modüllerinin çalıştırılamayacağı şekilde ayarlanması gerekmektedir. Sadece geçerli dijital imzaya sahip modüllere izin verilmeli, UEFI Secure Boot özelliği aktif hale getirilmelidir.
3. Zararlı tarafından oluşturulabilecek saldırı/tarama trafiğini tespit edebilecek veya engelleyebilecek güvenlik duvarı veya IPS/IDS ürünü kullanılmalıdır. Duyuru içeriğinde belirtilen kurallar bu sistemlerde tanımlanmalıdır.
4. Olası bir enfeksiyon durumunda, eğer zararlı yazılım tespit edildiyse, ağda bulunan diğer bilgisayarlara bulaşmış olabileceği varsayılmalıdır. Gerekli olay müdahale adımları başlatılmalı ve USOM ile irtibata geçilmelidir.

Kaynak:

https://media.defense.gov/2020/Aug/13/2002476465/-1/1/0/CSA_DROVORUB_RUSSIAN_GRU_MALWARE_AUG_2020.PDF

Bilgilerinize sunarız.

Saygılarımızla.

Değerli Müşterilerimiz,

Microsoft, Windows DNS Sunucuları için kritik öneme sahip güvenlik açığı (CVE-2020-1350) bildirimi yayınlamıştır. Windows DNS Sunucusu kullanan müşterilerimizin ivedilikle sunucuları üzerinde gerekli kontrolleri sağlayıp, güncellemeyi yapması gerekmektedir. Windows Sunucuların tüm sürümleri güvenlik açığına karşı tehdit altındadır, farklı işletim sistemi üzerinde DNS Sunucusu kullanan müşterilerimizin endişelenmesine gerek yoktur.

Detaylı bilgi için aşağıda yayınladığımız kaynak adreslerini ziyaret edebilirsiniz:

https://www.usom.gov.tr/tehdit/1373.html
https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

Bilgilerinize sunarız,

Saygılarımızla.

Değerli Kullanıcılarımız,

17.06.2020 tarihinde (Salı gününü Çarşamba gününe bağlayan gece) saat 01:00’da dns1.doruk.net.tr (IP:212.58.4.2)  ve dns2.doruk.net.tr (IP:212.58.3.2) DNS’lerimizde güvenlik güncellemesi işlemi yapılacaktır. Çalışma sırasında sistem yöneticilerimiz herhangi bir kesinti beklememektedir.

Sizlere daha iyi hizmet verebilmek adına gerçekleştireceğimiz bu çalışmayı anlayışla karşılayacağınızı umar, DorukNet'i tercih ettiğiniz için teşekkür ederiz.

Bilgilerinize sunarız,

Saygılarımızla.

Değerli Kullanıcılarımız,

Plesk, myLittleAdmin ile ilgili bir güvenlik açığı yayımlamıştır, myLittleAdmin kullanmaya devam etmek isteyen veya myLittleAdmin kullanmak istemeyen müşterilerimizin aşağıdaki linkten gerekli işlemleri sağlamasını önemle rica ederiz.

https://support.plesk.com/hc/en-us/articles/360013996240-CVE-2020-13166-myLittleAdmin-vulnerability

bilgilerinize sunarız,

Saygılarımızla.

Değerli Kullanıcımız,

https://mailhost01.doruk.net.tr/webmail/ adresi üzerinden kullandığınız mail hizmetinizde tarayıcı kaynaklı giriş sorunu yaşandığı tespit edilmiştir. İlgili problem Google Chrome / Microsoft Edge (Version 83) tarayıcılarında yaşanmaktadır. Webmail adresinize giriş esnasında herhangi bir sorun yaşamamak için farklı bir tarayıcı tercih etmenizi rica ederiz. Problemin giderilmesi adına gerekli çalışmanın tarafımıca takip edildiğini bilgilerinize sunar, iyi çalışmalar dileriz.

Saygılarımızla,
DorukNet