#Petya #Ransomware Hakkında Bilinmesi Gereken 10 Önemli Nokta

1. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
#PETYA #RANSOMWARE
HAKKINDA BİLİNMESİ
GEREKEN
10 ÖNEMLİ NOKTA

2. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Geçtiğimiz ay #Wannacry saldırıları ile birçok ülkenin sağlık, finans ve enerji gibi önemli sektörleri kritik
duruma gelmiş ve büyük zararlara uğramıştı. Türkiye saati ile dün akşam üstü (27 Haziran 2017
itibariyle) yeni bir fidyecilik zararlı yazılımı karşımıza çıktı. Yapılan siber saldırı küresel olarak birçok
kurumu tehdit etmeye ve büyük zararlara yol açmaya başladı.
Görünen o ki, gerçekleştirilen siber saldırı #WannaCry’a göre daha tehlikeli ve daha
profesyonelce düşünülmüş.
Özellikle de Rusya ve Ukrayna’da etkili olan saldırı için analistler çözüm yolları aramaya ve saldırılara
karşı korunmak için önerilerde bulunmaya devam ediyorlar.
Son birkaç gündür tüm dünyayı tehdit eden ve büyük zararlara yol açan Petya fidyecilik saldırısı için
aşağıdaki gibi çözüm önerilerimizi ve Petya wormu hakkındaki tespitlerimizi sizlerle paylaşıyoruz.
Not: Geri bildirimleriniz için some@bga.com.tr adresimize e-posta gönderebilirsiniz.
1. Petya (#petrWrap) Nedir? Sistemlere Nasıl Bir Zarar Verir?
“TheShadowBrokers” isimli hacker grubu, Nisan ayında National Security Agency’in (NSA)
FUZZBUNCH isimli exploit kitini sızdırdı. Sızdırılan bu zafiyet kiti içerisinde bir çok exploit
bulunmaktaydı. İlgili exploitlerden EternalBlue exploiti yine exploit kiti içerisinde bulunan
DOUBLEPULSAR payloadı ile birlikte kullanıldığında Windows işletim sistemlerindeki SMB servisinin
zafiyetini kullanarak yönetici haklarında komut çalıştırılmasına olanak sağlamaktadır.
MS17-010 (CVE-2017-0144) kodu ile isimlendirilen bu zafiyet 27 Haziran 2017
itibariyle Petya(Win32/Diskcoder.Petya.C) adlı bir fidye yazılımı tarafından kullanılmaya başlandı.
Aynı zamanda, fidye yazılımı herhangi bir kullanıcı etkileşimi gerektirmeksizin bulaştığı ağda aynı
kullanıcı adı ve parola bilgisini kullanan sistemleri tarayarak bulmakta ve tespit ettiği sistemleri de
etkilemektedir.
Petya Zararlısının Wannacry’dan Farkları Nelerdir?
Wannacry zararlısının yayılmasında ilk çıkış noktası olarak SMB servisini etkileyen Windows açıklığı ön
plana çıkmıştı, Petya zararlı yazılımında ise birden fazla ilk yayılım vektörü söz konusu. Bunlardan bir
tanesi özellikle bahse değer, Ukrayna merkezli bir yazılım firmasının sistemlerinin hacklendiği ve yazılım
firmasının güncelleme dosyaları üzerinden sistemlere bulaştığı tespit edilmiş. “ME Doc” (My Electronic
Document) adlı yazılımın kullanıcıları 22 Haziran ve sonrası güncelleme geçtiyse doğrudan internete
açık herhangi bir zafiyet olmasa da sistemlere bulaşabiliyor ve yerel ağda bulaştığı sistem üzerindeki
açık parola bilgilerini alarak diğer sistemlere atlama yapabiliyor.
2. #Petya Fidye Zararlı Yazılımı Nasıl Yayılmaktadır, Neden
Kaynaklanmaktadır?
Petya wormu ağırlıklı Windows SMB (v1) protokolünü kullanarak yayılmaktadır. NSA tarafından bu
açıklığı barındıran sistemlere sızmak için kullanılan bir suistimal aracı (exploit), NSA’den bu bilgiler

3. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
sızdırıldığında internet üzerinden yayınlanmaya başladı. Açıklanan belgeler ve bilgiler ışığında biri ya da
birileri tarafından bu zafiyeti istismar eden fidye zararlı yazılımı geliştirilerek internete sunuldu.
Windows kullanıcı adı ve parola bilgilerini kullanarak yerel ağlarda yayılabildiği de bir çok güvenlik
uzmanı tarafından yapılan analizler sonucu ortaya çıktı.
Zararlı yazılımı incelemek isteyenler aşağıdaki adresten örnek dosyaları bulabilirler.
İndir: https://yadi.sk/d/QT0l_AYg3KXCqc
Not: Dosyaların parolası “virus” tür.
3. Kendi Sistemlerimize Bulaşıp Bulaşmadığını Nasıl Tespit Edebiliriz?
Siber Tehdit İstihbaratı destekli bir SIEM çözümü kullanıyorsanız aşağıda belirtilen IP adreslerine erişim
olup olmadığını geçmişe yönelik kontrol edebilirsiniz.
Petya zararlısının kullandığı bilinen IP adresleri:
• 185.165.29.78
• 84.200.16.242
• 111.90.139.247
• 95.141.115.108
Tehdit gözetleme sistemi olarak Snort veya Suricata veya bunların kural setini destekleyen bir saldırı
tespit ve engelleme sistemi (IDS/IPS) kullanıyorsanız Positive Tech tarafından yayınlanmış aşağıdaki
imzaları sisteminize yükleyebilirsiniz.
alert tcp any any -> $HOME_NET 445 (msg: “[PT Open] Unimplemented Trans2 Sub-Command code.
Possible ETERNALBLUE (WannaCry, Petya) tool”; flow: to_server, established; content: “|FF|SMB2|00 00 00
00|”; depth: 9; offset: 4; byte_test: 2, >, 0x0008, 52, relative, little; pcre:
“/xFFSMB2x00x00x00x00.{52}(?:x04|x09|x0A|x0B|x0C|x0E|x11)x00/”; flowbits: set,
SMB.Trans2.SubCommand.Unimplemented; reference: url, msdn.microsoft.com/en-
us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001254; rev: 2;)
alert tcp any any -> $HOME_NET 445 (msg: “[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS
Windows RCE”; flow: to_server, established; content: “|FF|SMB3|00 00 00 00|”; depth: 9; offset: 4; flowbits:
isset, SMB.Trans2.SubCommand.Unimplemented.Code0E; threshold: type limit, track by_src, seconds 60,
count 1; reference: cve, 2017-0144; classtype: attempted-admin; sid: 10001255; rev: 3;)
alert tcp any any -> $HOME_NET 445 (msg: “[PT Open] Trans2 Sub-Command 0x0E. Likely
ETERNALBLUE (WannaCry, Petya) tool”; flow: to_server, established; content: “|FF|SMB2|00 00 00 00|”;
depth: 9; offset: 4; content: “|0E 00|”; distance: 52; within: 2; flowbits: set,
SMB.Trans2.SubCommand.Unimplemented.Code0E; reference: url, msdn.microsoft.com/en-
us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001256; rev: 2;)

4. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
alert tcp any any -> $HOME_NET 445 (msg: “[PT Open] Petya ransomware perfc.dat component”; flow:
to_server, established, no_stream; content: “|fe 53 4d 42|”; offset: 4; depth: 4; content: “|05 00|”; offset: 16;
depth: 2; byte_jump: 2, 112, little, from_beginning, post_offset 4; content: “|70 00 65 00 72 00 66 00 63 00
2e 00 64 00 61 00 74 00|”; distance:0; classtype:suspicious-filename-detect; sid: 10001443; rev: 1;)
alert tcp any any -> $HOME_NET 445 (msg:”[PT Open] SMB2 Create PSEXESVC.EXE”; flow:to_server,
established, no_stream; content: “|fe 53 4d 42|”; offset: 4; depth: 4; content: “|05 00|”; offset: 16; depth: 2;
byte_jump: 2, 112, little, from_beginning, post_offset 4; content:”|50 00 53 00 45 00 58 00 45 00 53 00 56
00 43 00 2e 00 45 00 58 00 45|”; distance:0; classtype:suspicious-filename-detect; sid: 10001444; rev:1;)
Henüz sistemlerinize Pedya fidye yazılımı bulaşmadıysa internet üzerinden ip adreslerinizi (SMBv1
desteğine karşı ) taratarak açıklığın olup olmadığını tespit edebilirsiniz. Ek olarak MEDOC yazılımı
kullanıyorsanız ilgili sistemleri ağdan yalıtıp inceleme yapmanız gerekebilir.
4.Türkiye ve Dünyada Ne Kadar Sistem #Petya Saldırısından
Etkilendi?
Henüz ne kadar sistemin bu zararlı yazılımdan etkilendiği tam olarak bilinemiyor fakat Shodanhq’e
göre dünya üzerinde bu zafiyeti barındırma ihtimali olan bilgisayar sayısı 1.000.000, bu da zafiyetin
sonuçlarının nerelere gideceği hakkında bize bilgi veriyor.
Türkiye’de ise durum biraz daha iyi gibi, Petya zafiyetinden etkilenme durumu olan bilgisayar
sayısı 15.000 civarı gözüküyor. Kendi yaptığımız araştırmalar sonucu Türkiye’de doğrudan bu
zararlı yazılımdan etkilenecek sunucu sayısı yaklaşık olarak 2.000 [1] çıkmaktadır.
Yazıyı hazırladığımız tarihe kadar aşağıda ismi geçen büyük firmaların saldırıdan etkilendiği
doğrulanmış gözüküyor.
• Ukrposhta
• Boryspil International Airport in Kiev
• Maersk
• WPP
• ROSNEFT
• P. MOLLER-MAERSK
• MERCK & Co.
• RUSSIAN BANKS
• UKRAINIAN BANKS, POWER GRID
• UKRAINIAN INTERNATIONAL AIRPORT
• Germany’s Metro
• DEUTSCHE POST
• MONDELEZ INTERNATIONAL
• EVRAZ
• NORWAY
• MARS INC
• BEIERSDORF AG
• RECKITT BENCKISER
• Kyivenergo, Kiev power company

5. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
• Radiation monitoring system at Chernobyl
• Ukrainian bank Oschadbank
• Ukrainian delivery service company Nova Poshta
• Spanish global legal firm DLA Piper
5. Bazı Sistemlerimize Bulaştığını Tespit Ettik Ne Yapmalıyız?
Bulaştığı tespit edilen sistemin ağ bağlantısı acilen devre dışı bırakılmalı ve ağdan izole edilmelidir. Bu
şeklide diğer sistemlere yayılması önlenebilir.
• Varsa yedeklerinizden sistemi geri yükleyip, enfekte olmamış eski haline döndürebilirsiniz.
• Local admin ve sistemde üst seviyede yetkili hesapların parolaları değiştirilmeli.
• Bilgisayar kullanıcılarına minimum yetki prensibine dayalı haklar tanımlanmalı.
• GPO üzerinden veya local olarak psexec,wmi gibi diğer sistemlere yayılmak için kullanılabilecek
araçlar yasaklanmalı.
• Ek olarak bulaşmamış sistemlerde “C:Windowsperfc” dizininin oluşturulması da wormun etki
alanını kısıtlamaktadır.
6.Talep Edilen Fidye Ödendiği Durumda Dosyalar Geri Alınabilir mi?
Zararlı yazılım geliştiricisi ödemeleri wowsmith123456@posteo.net e-posta hesabı kullanarak bitcoin
üzerinden toplamaktadır. Saldırıda kullanılan e-postanın sağlayıcısı Posteo, Petya zararlısını yayan
crook’un e-posta hesabını kapattığını açıkladı: wowsmith123456@posteo.net
Dosyalarınızı geri almak için tüm iletişim yolları kapalı, bu durumdan dolayı fidye ödememenizi ve
danışmanlık firmanıza alternatif öneriler konusunda danışmanızı öneririz.
7. Kurumsal Bir Şirket Çalışanı Ne Yapmalıdır, Nasıl Önlem Alabilir?
Kullanılan Microsoft Windows işletim sistemlerinin güncellemelerini kontrol edip 14 Mart 2017 de
yayınlanan MS17-010 kodlu yamanın yüklendiğinden emin olunması gereklidir.
• Internete hizmet veren sistemlerden 445/TCP portu açık olan varsa bunları kapatılması.
• Antispam servisinizi oltalama saldırılarına karşı güçlendirin, SPF, DMARC,DKIM kontrolleri mutlaka
gerçekleştirin.
• Kullanıcı yetkilerini gözden geçirip, en düşük yetki prensibi ile çalışmalarını sağlayın. Ortak hesap
kullanımından kaçınıp her sisteme özgü hesap oluşturun.
• Kurumsal ağlardaki dosya paylaşımı erişim ve düzenleme yetkilerini gözden geçirin, kullanıcıların
okuma yetkisine ihtiyacı varsa dosyalara yazma yetkisi vermeyin.
• Çalışanlarınızı siber saldırılara karşı bilinçlendirecek bir eğitim programı uygulayın.
• Ağınızdaki güvenlik zafiyetlerini keşfedip erken önlem almak için sızma testi (penetrasyon) mutlaka
yaptırın.
• Düzenli olarak yedek almayı ihmal etmeyin.
• Ağda kullanılan local admin parolalarının her sistemde farklı olmasını sağlayın
• MEDOC yazılımı kullanıyorsanız acilen ilgili sistemlerin ağdan yalıtılması ve incelenmesini sağlayın.
• Kullandığınız kurumsal yazılımlar arasında güncelleme yapanları tekrardan incelenmeli ve şüpheli
durumlar konusunda mutlaka uzmanlara danışarak sistemlerin internete erişimleri kontrollü olarak
açılmalı.
8. Hangi İşletim Sistemleri Etkilenmektedir?

6. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Aktif kullanılan tüm Microsoft Windows işletim sistemleri Petya zararlı fidye yazılımından
etkilenmektedir.
• Windows XP
• Microsoft Windows Vista SP2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows 10
• Windows Server 2008 SP2 and R2 SP1
• Windows Server 2012 and R2
• Windows Server 2016
Microsoft tarafından MS17-010 SMB zafiyetine yönelik yayınladığı dokümanda etkilenen tüm işletim
sistemlerine bakabilirsiniz. [2]
9. E-posta Üzerinden Gelebilecek Tehditlere Karşı Sistemlerini Nasıl
Test Edebilirim?
E-posta üzerinden gelen siber saldırılar E-posta sunucunun eksik/hatalı yapılandırılması ve e-postayı
kullanan kişilerin bilgi güvenliği farkındalık eksikliğini istismar eder.
E-posta sunucunuzun zararlı yazılım veya link barındıran postaları geçirip geçirmediğini test etmek ve
hatalı yapılandırmaları düzeltmek için SinaraLabs tarafından ücretsiz sunulan ETS hizmetini
kullanabilirsiniz. ETS hizmeti e-posta servisinizin güncel siber saldırılar karşısındaki durumunu ve
iyileştirmelerini rapor olarak sunan etkili bir hizmettir.
ETS hizmetini ücretsiz kullanmak için: https://ets.sinaralabs.com/User/PRegister adresinden kayıt
olabilirsiniz.
10. Petya, Wannacry ve Benzeri Zararlı Yazılımlardan Erkenden
Haberdar Olmak ve Uzun Vadeli Korunmak İçin Neler Yapmalıyım?
Açık kaynak ya da kurumsal siber tehdit istihbaratı sağlayan yazılımlar kullanarak kurumunuzu hedef
alabilecek siber tehditlere karşı önceden haberdar olabilirsiniz.
• Kullanıcılarınıza düzenli olarak sosyal mühendislik denemeleri yaparak farkındalıklarını arttırın.
• NormShield ThreatIntel ücretsiz hizmetini [4] kullanarak sistemlerinize yönelik oluşabilecek
Wannacry, Petya veya benzeri siber tehditlerden saat farkıyla haberdar olup engelleyebilirsiniz.
Kaynaklar:
[1] https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-Ransomware-Infections-
Reported
[2] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

7. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
[3] https://www.sinaralabs.com
[4] https://reputation.normshield.com
[5] https://techcrunch.com/2017/06/27/petya-eternalblue-ransomware-microsoft-vulnerability-june-
2017
[6] http://blog.antiphish.ru/all/petya-iiv/
[7] https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
[8] https://www.theguardian.com/world/2017/jun/27/petya-ransomware-attack-strikes-companies-
across-europe
[9] http://fortune.com/2017/06/27/petya-ransomware-cyber-attack-targets/
[10] http://www.newindianexpress.com/world/2017/jun/27/heres-a-list-of-companies-attacked-by-
ransomware-petya-1621515.html
[11] https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-
adds-worm-capabilities/
Detaylı bilgi, analizler ve danışmanlık için some@bga.com.tr adresimiz ile iletişime geçebilirsiniz.
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil
Güvenlik Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.

8. [PETYA RANSOMWARE HAKKINDA BİLİNMESİ GEREKEN 10 ÖNEMLİ NOKTA]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu” , ”Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.