Dikkatsizlikten Doğan Hazin Sonuçlar
Merhaba,
Bir anlık dikkatsizlikler yapılan işlerde can ve mal kaybına sebebiyet verdiği bilinen bir gerçek. Fakat bazı dikkatsizlikler vardır ki ne öldürür ne de mal kaybına neden olur. Bir emek, bir zaman kaybına neden olur ki… Ne olur!..
ERP teknolojilerini kullanan firmalar bilirler. Çok sayıda siber saldırı olmakta ve olduğu zaman kaybolan verileri genelde muhasebe, planlama, IK personelleri tüm kayıtları ve şirket verilerini geri getirmek için (ilgili kayıtları yeniden girerek.) artık sabahlamaya başlarlar. Karşılıksız mesailer artar. Ve personeller için ızdırap başlar…
Yine bir saldırı olayı oldu. Ve üst üste oldu. Müşterimiz aradı. Kendisi server bilgisayarda tuhaflık olduğunu ve programa giriş yapamadığını iletti. Baktığımızda bir malware ve bir “.txt” dosyası vardı. İçinde ise bir ip adresi, bir açıklama ve bilgisayarda ki tüm Windows dosyaları hariç şifrelenmiş olduğu görüldü.
Gerekli teknik çalışm yapıldı. Server bilgisayar yeniden kuruldu. Son alınan ve bulut sistemine gönderilen yedek SQL Server backup dosyalarından sistem geriye döndürüldü. Ancak 3 gün geçti geçmedi. Bir kez daha aynı durum olduğunu belirttiler. Bu durum 1-2 değil artık 3-4-5… devam etmeye başlayınca detaylı bir inceleme yapmam gerektiğini anladım.
Sorunun kaynağına inmeye karar verdiğim de bilgisayar dış ipde çalışma göstermiyor. Ve portlarda konfigure olarak çalıştığını gördüğümde gerçekten anlam veremedim.
Sonradan local ağdaki server ile iletişime geçen tüm bilgisayarları incelemeye koyulduğumda AppData klasörünün altında “mstsc.exe” isimli bir çalışan uygulama olduğunu farkettim muhasebe müdürünün. Toplamda çalışma gösterilen 14 bilgisayarda sadece muhasebe müdürünün bilgisayarında bu programcığın çalışma gösterdiği gerçekten ilginç idi. Ben emin olamadım. Ve “DotPeek” isimli JetBrains isimli bir firmanın Decompiler adı verilen C#, .Net programlarının decompile yani exe içinde ki kaynak kodların çıkarılmasını sağlayan bir araç ile açtım.
Ve bingo!.. IT personeli, muhasebe müdürünün isteği üzerine finansal raporlarını serverda tutmak için uzak masaüstünde yani RDP olarak giriş yapmasına izin verdiği anlaşıldı. Ve bu exe’de saldırgan için arka kapı açıp muhasebe müdürünün bilgisayarına erişim sağladığını saldırganda muhasebe müdürnün bilgisayarından da servera eriştiği anlaşıldı. Exe içinde ki kodlar arasında kullanıcı bilgilerini alıp bir tane proton mail adresine gönderdiğini görünce, IT ile görüştük. Ve 14 bilgisayarın formatlanmasını, Firewall ile güvenlik duvarlarının güçlendirilmesini, çalışanların bilgisayarlarını dış internete açılmaması gerektiği bilgisi verilince, çözüldü.
Tabi şimdilik…
Bol bilişimli günler 🙂
I may need your help. I’ve been doing research on gate io recently, and I’ve tried a lot of different things. Later, I read your article, and I think your way of writing has given me some innovative ideas, thank you very much.
Thank you very much for sharing, I learned a lot from your article. Very cool. Thanks. nimabi