সাইমনলোডার ম্যালওয়্যার ব্যবহার করে টিক অ্যাটাকিং এয়ারগ্যাপ মেশিন | কমোডো

পড়ার সময়: 4 মিনিট

একটি এয়ারগ্যাপড মেশিন এমন একটি কম্পিউটার যা এত বেশি সুরক্ষিত যে এটির কোনও নেটওয়ার্কের সাথে কোনও শারীরিক বা ডিজিটাল সংযোগ নেই। এগুলি সাধারণত ডেটাসেন্টার এবং সার্ভার রুমগুলিতে খুব বেশি শারীরিকভাবে সুরক্ষিত থাকে যাতে সাবধানে নিরীক্ষণ করা শারীরিক অ্যাক্সেস থাকে। একটি এয়ারগ্যাপড মেশিনে নতুন ডেটা রাখার জন্য, সাধারণত একজন সাইবার অপরাধীকে শারীরিকভাবে যে সুবিধাটি রয়েছে তা লঙ্ঘন করতে হবে এবং তাদের আক্রমণের জন্য কিছু ধরণের বহিরাগত বা অপসারণযোগ্য মিডিয়া ব্যবহার করতে হবে, যেমন একটি অপটিক্যাল ডিস্ক, একটি USB ড্রাইভ বা একটি বাহ্যিক হার্ড ডিস্ক। . এয়ারগ্যাপড মেশিনগুলি ব্যবহার করা সত্যিই অসুবিধাজনক, তাই কম্পিউটারগুলি সাধারণত কেবলমাত্র এয়ারগ্যাপ করা হয় যদি তারা খুব, খুব সংবেদনশীল ডেটা পরিচালনা করে। এটি তাদের আক্রমণকারীদের জন্য বিশেষভাবে আকর্ষণীয় লক্ষ্য করে তোলে। একটি এয়ারগ্যাপড মেশিন একটি পার্স হলে, এটি একটি হবে হার্মিস সাদা হিমালয় কুমিরের হীরা বার্কিন ব্যাগ যেখানে একটি সাধারণ ক্লায়েন্ট মেশিন হবে আমার প্রিয় Tokidoki ব্যাগ এক. (আমি যাইহোক, আমার টোকিডোকি ব্যাগগুলি পছন্দ করি।)

পালো অল্টো নেটওয়ার্ক ইউনিট 42 এয়ারগ্যাপড মেশিনের জন্য একটি নতুন আক্রমণের লক্ষণ আবিষ্কৃত হয়েছে। টিক হল একটি সাইবার গুপ্তচর গোষ্ঠী যারা দক্ষিণ কোরিয়া এবং জাপানের সত্তাকে লক্ষ্য করে। একটি কোরিয়ান প্রতিরক্ষা ঠিকাদার আছে যা খুব কুলুঙ্গি অনুযায়ী USB ড্রাইভ তৈরি করে আইটি নিরাপত্তা শংসাপত্র কেন্দ্র কোরিয়ান পাবলিক সেক্টর এবং প্রাইভেট সেক্টর এন্টারপ্রাইজ ক্লায়েন্টদের জন্য নির্দেশিকা। ইউনিট 42 আবিষ্কার করেছে যে অন্তত একটি ইউএসবি ড্রাইভ খুব সাবধানে ম্যালওয়্যার তৈরি করেছে। কিন্তু ইউনিট 42 গবেষকদের শারীরিকভাবে কোনো আপস করা USB ড্রাইভ নেই। একটি বাহ্যিক পক্ষের জন্য প্রথমে এই ডিভাইসগুলির একটিতে ম্যালওয়্যার পাওয়া কঠিন হওয়া উচিত৷ ইউনিট 42 ম্যালওয়্যারকে সাইমনলোডার বলে, এবং এটি একচেটিয়াভাবে উইন্ডোজ এক্সপি এবং উইন্ডোজ সার্ভার 2003 দুর্বলতাগুলিকে কাজে লাগায়।

তাই টিক উইন্ডোজের সংস্করণগুলির সাথে এয়ারগ্যাপড মেশিনগুলিতে আক্রমণ করার চেষ্টা করছে যা দীর্ঘদিন ধরে সমর্থিত নয়। এই এয়ারগ্যাপড মেশিনগুলির অনেকগুলি কি লিগ্যাসি অপারেটিং সিস্টেম চালায়? এটা খুবই সম্ভব যে টিক তাদের সাইমনলোডার ডেভেলপ করা শুরু করার আগে তাদের লক্ষ্যগুলিকে সাবধানে আঙ্গুলের ছাপ দিয়েছিল।

এখানে আক্রমণের পরিস্থিতি যা ইউনিট 42 অনুমান করে। এই ভারী সুরক্ষিত ইউএসবি ড্রাইভগুলির মধ্যে কিছু অর্জিত এবং আপস করে টিক দিন৷ তারা যখনই তাদের অ্যাক্সেস অর্জন করতে পারে তখন তারা তাদের সাইমনলোডার ম্যালওয়্যার তাদের উপর রাখে। একবার একটি আপস করা ড্রাইভকে লক্ষ্যযুক্ত এয়ারগ্যাপড Windows XP বা Windows Server 2003 মেশিনে মাউন্ট করা হলে, SymonLoader দুর্বলতাগুলিকে কাজে লাগায় যা শুধুমাত্র সেই অপারেটিং সিস্টেমগুলির সাথে সম্পর্কিত। SymonLoader মেমরিতে থাকাকালীন, যদি আরও বেশি সুরক্ষিত USB ড্রাইভগুলি ফাইল সিস্টেমে মাউন্ট করা হিসাবে সনাক্ত করা হয়, এটি ফাইল সিস্টেম অ্যাক্সেসের জন্য ডিজাইন করা API ব্যবহার করে অজানা ক্ষতিকারক ফাইল লোড করার চেষ্টা করবে। এটি খুব নির্দিষ্ট লক্ষ্যগুলির জন্য খুব নির্দিষ্টভাবে ডিজাইন করা ম্যালওয়ারের চক্র! এটা কাস্টম উপযোগী হাউট couture উইন্ডোজ ম্যালওয়্যার! এটা আমার মত সামান্য মানুষের জন্য খুব একচেটিয়া! (আমি যাইহোক বর্তমানে সমর্থিত লিনাক্স মিন্ট ব্যবহার করি।) কারণ ইউনিট 42-এর কোনো আপস করা ড্রাইভ তাদের দখলে নেই, তারা কেবল অনুমান করতে পারে যে কীভাবে ড্রাইভগুলি সংক্রামিত হয়েছে এবং কীভাবে সেগুলি তাদের লক্ষ্যে পৌঁছে দেওয়া হয়েছে।

টিক বৈধ অ্যাপ্লিকেশনগুলিকে ট্রোজানে পরিণত করতে পরিচিত। এখানে কি ইউনিট 42 সম্পর্কে লিখেছেন HomamDownloader গত গ্রীষ্মে:

“HomamDownloader হল একটি ছোট ডাউনলোডার প্রোগ্রাম যার সাথে প্রযুক্তিগত দৃষ্টিকোণ থেকে ন্যূনতম আকর্ষণীয় বৈশিষ্ট্য রয়েছে। HomamDownloader একটি স্পিয়ারফিশিং ইমেলের মাধ্যমে টিক দ্বারা বিতরণ করা আবিষ্কৃত হয়েছে। লক্ষ্য এবং তাদের আচরণ বোঝার পরে প্রতিপক্ষ বিশ্বাসযোগ্য ইমেল এবং সংযুক্তি তৈরি করেছে...

সামাজিক প্রকৌশল ইমেল কৌশল ছাড়াও, আক্রমণকারী সংযুক্তির জন্য একটি কৌশলও নিযুক্ত করে। অভিনেতা একটি ফাইল এনক্রিপশন টুল দ্বারা তৈরি বৈধ SFX ফাইলের একটি রিসোর্স বিভাগে দূষিত কোড এম্বেড করেছেন এবং SFX প্রোগ্রাম শুরু হওয়ার পরপরই দূষিত কোডে ঝাঁপ দেওয়ার জন্য প্রোগ্রামের এন্ট্রি পয়েন্ট পরিবর্তন করেছেন। দূষিত কোডটি HomamDownloader ড্রপ করে, তারপর CODE বিভাগে নিয়মিত প্রবাহে ফিরে যায়, যা ব্যবহারকারীকে পাসওয়ার্ড জিজ্ঞাসা করে এবং ফাইলটি ডিক্রিপ্ট করে। অতএব, একবার একজন ব্যবহারকারী সংযুক্তিটি সম্পাদন করে এবং SFX-এ পাসওয়ার্ড ডায়ালগটি দেখে, ক্ষতিকারক কোড দ্বারা বাদ দেওয়া ডাউনলোডারটি কাজ শুরু করে এমনকি ব্যবহারকারী পাসওয়ার্ড উইন্ডোতে বাতিল নির্বাচন করলেও।”

এখন SymonLoader এ ফিরে আসার পালা। SymonLoader-এর সাথে একটি USB ড্রাইভ টিকের একটি লক্ষ্যে মাউন্ট করা হলে, এটি ব্যবহারকারীকে তাদের পরিবেশে ইনস্টল করতে চান এমন কিছু সফ্টওয়্যারের একটি ট্রোজানাইজড সংস্করণ ব্যবহার করে এটি কার্যকর করার চেষ্টা করে। একবার কার্যকর করা হলে, সাইমনলোডার অন্যান্য সুরক্ষিত ইউএসবি ড্রাইভগুলি সন্ধান করে যদি সেগুলি ফাইল সিস্টেমে মাউন্ট করা হয়।

SymonLoader একটি বিশেষ সুরক্ষিত USB ড্রাইভ থেকে একটি লুকানো এক্সিকিউটেবল ফাইল বের করে এবং তারপর এটি কার্যকর করে। ইউনিট 42 গবেষকদের নিজেদের জন্য পরীক্ষা করার জন্য ফাইলের একটি অনুলিপি নেই। কিন্তু তারা বেশ আত্মবিশ্বাসী যে টিক এই আক্রমণের পিছনে রয়েছে কারণ তারা শেলকোড খুঁজে পেয়েছে যা শেলকোডের সাথে সাদৃশ্যপূর্ণ গোষ্ঠীটি আগে ব্যবহার করার জন্য পরিচিত ছিল।

SymonLoader তার উইন্ডোজের সংস্করণের জন্য মেশিনটি পরীক্ষা করে এবং যদি এটি Windows Server 2003 বা Windows XP এর থেকে নতুন হয়, তাহলে এটি অন্য কিছু করার চেষ্টা করা বন্ধ করে দেয়। উইন্ডোজ ভিস্তা তার ক্রিপ্টোনাইট, আমার ধারণা। যদি মেশিনের OS হয় Windows XP বা Windows Server 2003, তাহলে একটি লুকানো উইন্ডো কার্যকর করা হয় যা মাউন্ট করা ড্রাইভগুলি ফাইল সিস্টেমের অংশ হওয়ার সাথে সাথে ক্রমাগত পরীক্ষা করে। SymonLoader SCSI INQUIRY কমান্ড ব্যবহার করে যাচাই করে যে নতুন মাউন্ট করা ড্রাইভগুলির মধ্যে কোনটি বিশেষভাবে সুরক্ষিত ডিভাইস মডেল যা তারা খুঁজছে। যদি পরামিতিগুলি কখনও মিলে যায়, SymonLoader তারপর একটি বের করে অজানা ফাইল ইউএসবি ড্রাইভ থেকে।

সাইমনলোডার কীভাবে আচরণ করে বা কেন সে সম্পর্কে আরও অনেক কিছু জানা যায় না, তবে ইউনিট 42 এটি লিখেছেন:

“যদিও আমাদের কাছে সুরক্ষিত ইউএসবি-তে লুকানো ফাইলের একটি অনুলিপি নেই, তবে এটি সম্ভাব্য দূষিত হওয়ার চেয়ে বেশি তা নির্ধারণ করার জন্য আমাদের কাছে যথেষ্ট তথ্য রয়েছে। একটি নিরাপদ ইউএসবি ড্রাইভকে অস্ত্র দেওয়া একটি অস্বাভাবিক কৌশল এবং সম্ভবত এয়ারগ্যাপড সিস্টেমগুলির সাথে আপস করার প্রয়াসে করা হয়, যা এমন সিস্টেম যা পাবলিক ইন্টারনেটের সাথে সংযোগ করে না। কিছু শিল্প বা সংস্থা নিরাপত্তার কারণে এয়ার গ্যাপিং চালু করার জন্য পরিচিত। উপরন্তু, ইন্টারনেট সংযোগ ছাড়া সহজ-আপডেট সমাধান না থাকায় সেসব পরিবেশে পুরানো সংস্করণ অপারেটিং সিস্টেমগুলি প্রায়শই ব্যবহার করা হয়। যখন ব্যবহারকারীরা বহিরাগত সার্ভারের সাথে সংযোগ করতে সক্ষম হয় না, তখন তারা ডেটা বিনিময়ের জন্য শারীরিক স্টোরেজ ডিভাইস, বিশেষ করে USB ড্রাইভের উপর নির্ভর করে। এই ব্লগে আলোচিত সাইমনলোডার এবং সুরক্ষিত ইউএসবি ড্রাইভ এই পরিস্থিতিতে উপযুক্ত হতে পারে।"

এটি কিছু ম্যাকগাইভার-স্তরের ম্যালওয়্যার বিকাশ এবং বিতরণ। টিক-এর নির্দিষ্ট লক্ষ্যগুলি কারা তা জানা চিত্তাকর্ষক এবং আলোকিত হবে, কারণ এটি স্পষ্ট যে তারা সত্যিই তাদের কাছ থেকে কিছু চায়।

বিনামূল্যে পরীক্ষা শুরু করুন নিখরচায় আপনার ইনস্ট্যান্ট সুরক্ষা স্কোরকার্ড পান G

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/