Uzunca süredir takip ettiğim ve çeşitli forum ve bloglarda okuduğum Esxi sunucuları hedef alan birkaç ransomware yazılımlarına denk geldim. Bu konu aslında ilerleyen günlerde daha fazla dikkat çekmeye başlayacak öncesinde neler yapabiliriz bu yazımızda anlatmaya çalışacağım. Bu tarz yazılımlara karşı herhangi bir güvenlik önleminiz yok ise esxi hostlarınızda vcenter ‘inizda ve vmware ‘in kullanmış olduğunuz çözümlerinde ciddi derecede sorunlar yaşabilirsiniz.
Ransomware yazılımlarının esxi hostlarınızı hiç bir zaman bu durumdan etkilenmeyeceğini düşünüyorsanız yanılıyorsunuz diyebilirim. öncelikle esxi hostunuza erişen bu yazılım ayrıca sanal makinelerinizin yada cluster da yer alan diğer bileşenleri rahatlıkla etkileyebilir sisteminize ciddi ölçüde zararlar verebilir. Aslında bahsetmeye çalıştığım VMware teknolojileri ile çalışan ekiplerinizin bazen olması gerektiği gibi güvenlik ekipleriyle uyum içinde olmayabilir. Sonuçta, Clusterınızı yöneten admin :) ESXI virüs almaz ve VM’lerde başka birinin sorumluluğundadır değil mi?
Aksine VMware gibi kritik altyapıdan sorumlu olduğunuzda, bu gerçekten tüm ekibinizin sorumluluğundadır ve herkes bu durumun bir paydaşıdır. VMware ürünlerine yatkınsanız ve ortamınız için bir bu tarz sorunlara karşı bir müdahele planın yok ise kuruluşunuzun güvenlik politikalarınızı gözden geçirip güncellemenin vakti geldi ve geçiyor bile :)
Peki bu ransomware ‘dan nasıl kurtulurum ?
Kendi kendinize veya kurum kararı olarak biz bu şifrelenmiş ESXI hostun veya VM’lerin verilerini almak için şifrenin ücretini ödeyelim ve verilerimizi kurtaralım düşüncesi aklınıza gelebilir bunu yapsanızda artık veriler dışarıya sızdırılmış ve tekrar o şifreleri girip şifrelenen uygulamaları ve yazılımları kullanmak ne kadar doğru olur bu işten sorumlu tüm paydaşlarla görüşerek net kararlarınızı alabilirsiniz. Ayrıca VM ‘lerinizi kurtarmadan önce alt yapınızda çalışan VMware ürünlerini tekrardan yapılandırmak gerektiğinide unutmamak lazım.
VMware Güvenlik ekipleriniz ile bağlı bulunan tüm paydaşlar bir araya geldikten sonra olayın herkesin aynı dili konuşması adına neler yaşandığını ve nasıl devam edeceğinizi net bir şekilde ifade etmesi gerekmektedir. devamında Kapsamı ve etkiyi öğrendikten sonra, kurtarmaya başlayabilir veya başlamayabilirsiniz, öğrenemeyebilirsiniz.
Sonuç olarak mutlaka vakit kaybetmeden bu tarz acil önlem planlarınızı oluşturmalı ve gerekli önlemleri almalısınız.
ESXI hostumuzu bu durumdan hızlıca nasıl kurtarabilirim?
- Hostunuz şifrelendiyse mutlaka yeniden kurmanız gerekmektedir.
- Birden fazla hostunuz var ise mutlaka VMware ‘in dağıtım araçlarını kullanın. Oluşturacağınız Profiller ile hızlıca sonuca ulaşabilirsiniz.
- Düzenli olarak dışa aktardığınız yedekleriniz varsa mutlaka kullanın. ( distributed virtual switch config,host profiles for configuration)
Tabi yukardaki özelliklerin bir çoğu Enterprise License ile gelen özellikler yoksa ne yapacağız?
Aşağıdaki teknolojilerden yararlanabilirsin.
- PowerCLI script(s)
- Ansible
Ransomware li bir sanal makinayı kurtarma
Unutmayın, fidye yazılımı bir felakettir. Felaket kurtarma planı, güncel tutulursa ve yakın zamanda kapsamlı bir şekilde test edilirse bu tarz şeylerden korkmaya gerek yok. herhalde tüm kurumlar zaman zaman bu tarz tatbikatlar yapıyordur ve önlemlerini almıştır diye düşünüyorum.
ESXi hostlarınız tekrar çevrimiçi olduktan sonra, bir sonraki görev sanal makinelerinizi geri yüklemektir. Tabi geri dönmeden önce kontrol noktalarının belirlenmesi önemli bir konudur. örneğin fidye yazılımının ortama ne zaman girdiğini biliyor musunuz veya sanal makineleri geri yüklerken taramanız mı gerekiyor mu gerekli checklist ‘leri oluşturarak ilerlemenizi tavsiye ediyorum.
Diğer bir konu ise eğer bu tarz birşeyle karşılaştığınızda yatılmış bir network ve alt yapıya sahip iseniz makinalarınız burda kontrol edebilir sonrasında üretim ortamına alabilirsiniz.
Yazının başında da bahsetmiştim bur bir felaket olduğu için hızlıca bu ortamlarınızı DR site üzerinde de ayağa kaldırmayı test etmeniz ve planlarınızı güncel tutmanız gerekmektedir.
Yedeklerim şifrelenirse ne olur?
O zaman başımız büyük beleda demektedir. Bunun olmaması için herkesin yedeklerinin değişmez (Immutable) bir kopyasına sahip olması gerekir. backup yazılımlarının veya kullandığınız backup appliance ‘larının bu özelliğini kullanmayı unutmayın.
Lütfen VMware’in fidye yazılımı kaynaklarına bir göz atmayı unutmayın..
