Exchange Sunucuları “Epsilon Red” Zararlı Yazılımının Hedefinde

Turizm sektöründe faaliyet gösteren ABD merkezli bir şirkete “Epsilon Red” adında yeni bir fidye yazılımı ile saldırı yapıldığı açıklandı. Siber güvenlik araştırmacılarının yayımladığı rapora göre, bilgisayar korsanları, şifreleme yapmak için geliştirilmiş bir dizi PowerShell scriptinin arkasına yeni fidye yazılımları yerleştirdi ve yama uygulanmamış Exchange sunucularındaki zafiyetlerden yararlanarak şirket ağına saldırdı.


Saldırının ilk giriş noktası, saldırganların Windows ekosistemindeki eylemleri otomatikleştirmek için bir komut dosyası oluşturma aracı olan Windows Yönetim Araçları (WMI) kullandığı, yama uygulanmamış bir kurumsal Microsoft Exchange sunucusuydu. Burada amaç Exchange sunucusu üzerinden ulaşabilecekleri ağ içindeki diğer makinelere farklı yazılımlar yüklemekti. Yüklenen bu fidye yazılımı, her bir alt klasörü ayrı ayrı şifreleyen yeni bir alt süreç oluşturdu, bu da kısa bir süre sonra fidye yazılımı sürecinin aynı anda çalışan birçok kopyasına neden oldu. Araştırmacılar, dosyanın kendisinin küçük bir dosya ve “basit bir program” olduğunu, ağ bağlantıları yapmadan veya PowerShell komut dosyalarına dış kaynaklı olan herhangi bir kritik işleve sahip olmadan yalnızca hedeflenen sistemdeki dosyaların şifrelenmesini gerçekleştirmek için kullanıldığını belirtti.


Microsoft Exchange Server, Microsoft tarafından üretilen bir haberleşme yazılımıdır. Sunucu ürünlerinden Microsoft Servers'ın bir parçası olup Microsoft altyapısına sahip sistemlerde sıkça kullanılmaktadır. Exchange'in öne çıkan özellikleri e-posta, takvim, kişiler ve işlenen bilgiye web tabanlı erişim olanağı ve veri depolama desteğidir.

Exchange sunucularının güvenliğinde alınabilecek önlemlere gelirsek;

  • Kurumumuzda gelen ve giden trafiği denetleyecek güvenlik ürünleri kullanılmalı,

  • Sunucuları korumaya yönelik üretilen uç nokta güvenlik ürünleri kullanmalı,

  • MS Exchange hizmeti bulut üzerinden alınıyorsa, bulut tarafında da Office365 güvenliği sağlayan güvenlik ürünleri kullanılmalı,

  • MS Exchange sunucuların en güncel sürümde olmasına dikkat edilmeli,

  • Ağ segmantasyonu ile kritik öneme sahip sunucuların farklı ağlar üzerinden haberleşmesi sağlanmalı.






Detaylı bilgi için ticket@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Son yazılar
Arşiv