SCCM ile BadRabbit Ransomware Virüsüne Karşı Önlem Alın

Merhabalar,

Bu yazımda BadRabbit fidye virüsüne karşı System Center Configuration Manager ile nasıl önlem alabileceğinize değiniyor olacağım. 23.10.2017 tarihinde yayılmaya başlayan bu yazılıma önlem almak için araştırmalar yapılmaktadır. Haziran ayında NotPetya virüsü şirket ağlarına bulaşarak işletme verilerini şifreleyerek dünya genelinde bir çok işletmeye maddi ve manevi bir çok hasar vermiştir.

Cybereason araştırmacılarından Amit Serper ve Mike Lacovacci yaptığı araştırmalar sonucunda BadRabbit virüsünün Client ve Server işletim sistemlerine bulaşmasını önlemek için bir çözüm bulmuştur. https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware

Kaynak olarak kullandığım bu makale çerçevesinde SCCM Compliant Settings ile bu çözümü ortamlarında nasıl uygulayacağınızı ve nasıl önlem alacağınıza değiniyor olacağım.

Bu işlem BadRabbit’ in bulaşmadığı ortamlar için uygulanmalıdır.

İlgili scriptlerimizi paylaşmadan önce bu scriptlerimizi Compliance Setting ile hazırlıyor olacağız. Configuration Item oluşturma sihirbazımız üzerinde Supported Platforms kısmında Windows XP ve Vistanın dışında bütün platformlara uygulayabileceğimizden dolayı ilgili platformları seçiyoruz.

Yeni Yapılandır oluşturulması gerekmektedir. Oluşturduğumuz Settings (Ayarlar) kısmında Keşif Script (Discovery Script) kısmında ilgi script’ imizi ekliyoruz. Hazırladığımız bu script ilgili protection dosyalarımızın olup olmadığını kontrol ederek True veya False olarak yanıt döndürüyor olacaktır.

2768-2

# Protection dosyalarının varlığını saptamak için PowerShell Configuration Item Algılama Scripti
# Uyumluysa $ true, aksi halde $ false döndürür
#
 
# Protection dosyaları için tam yolunu girin. Bu örnekte kullanılan BadRabbit ransomware
$files = "$env:SystemRoot\infpub.dat", "$env:SystemRoot\cscc.dat"
 
# Aksi ispatlanıncaya kadar 0 dosyanın uyumlu olduğunu varsayıyoruz.
$compliant = 0
foreach ($file in $files) {
    if ( (Test-Path -Path $file) -eq $true) {
        $compliant++
    }
    else {
        $compliant--
    }
}
 
 
# İzinlere uygun tüm dosyaların doğruluğunu doğrulayın
if ($compliant -eq $files.Count) {
    $obj = $true
}
else {
    $obj = $false
}
 
# Return compliance
Write-Output $obj

Keşif Script’ imizi ekledikten sonra Remediation Script (İyileştirme Script) imizi ekliyoruz. Keşif script’ inin döndüğü değer karşısında bu scriprt’ imiz ile ilgili protection dosyalarımızı oluşturarak NTFS yetkilendirmelerini uygun bir şekilde düzenleyecek ve Inheritance (Miras) devre dışı bırakacaktır.

2771-2

# Protection dosyalarının varlığını düzeltmek için PowerShell Configuration Item İyileştirme komut dosyası
# Protection dosyalarını oluşturur ve NTFS izinlerini kaldırır ve devralmayı devre dışı bırakır
#
 
# Protection dosyasının tam yolunu girin. Bu örnekte kullanılan BadRabbit ransomware protection.
$files = "$env:SystemRoot\infpub.dat", "$env:SystemRoot\cscc.dat"
 
foreach ($file in $files) {
    Write-Verbose "Creating file: $file"
    Write-Output "" | Out-File -FilePath $file
    $acl = Get-Acl -Path $file
    Write-Verbose "Devralmayi devre disi birakma ve dosya icin tum izinleri kaldirma: $file"
    $acl.SetAccessRuleProtection($true, $false)
    Set-Acl -Path $file -AclObject $acl
}

Compliance Rules kısmında New diyerek bir kural oluşturuyoruz. Bu kısımda Rule Type’ Value olarak belirlemelisiniz. The setting must comply with the following rule kısımında Equals ve True olarak belirtmeniz gerekmektedir. Yazdığımız script içerisinde bir keşif ve doğrulama mekanizması olduğundan dolayıdır. Run the specified remediation script when this setting is noncompliant kutucuğunu işaretliyoruz. Noncompliance severity for repost kısmında da Critical olarak belirtiyoruz. ki Noncompliant olan istemciler için critical seviye olarak raporda gözüksün.

Hazırlamış olduğumuz Configuration Item’ ımız için bir Configuration Baseline oluşturarak ilgili baseline’ ımız içerisine ekleyerek ilgili İstemci ve Sunucularımıza dağıtarak uyguluyoruz.

BadRabbit Ransomeware için hazırladığımız Configuration Item’ ımızı ortamımızda bulunan sunucu ve istemcilerimiz üzerinde uyguladıktan sonra ilgili protection dosyalarımızın (infpub.dat ve cscc.dat) oluşturulduğunu görüyor olacaksınız.

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Twitter Auto Publish Powered By : XYZScripts.com