Læsetid: 4 minutter
En airgapped maskine er en computer, der er så stærkt sikret, at den ikke har nogen fysiske eller digitale forbindelser til nogen netværk. De er normalt også stærkt fysisk sikret i datacentre og serverrum med nøje overvåget fysisk adgang. For at lægge nye data ind i en luftgap maskine, vil en cyberkriminel typisk skulle bryde den facilitet, den er i, og bruge en form for eksternt eller flytbart medie til deres angreb, såsom en optisk disk, et USB-drev eller en ekstern harddisk . At bruge luftgappede maskiner er virkelig ubelejligt, så computere er normalt kun luftgappede, hvis de håndterer meget, meget følsomme data. Det gør dem særligt attraktive mål for angribere. Hvis en luftgap maskine var en pung, ville det være en Hermès hvid Himalaya krokodille diamant Birkin taske hvorimod en typisk klientmaskine ville være en af mine elskede Tokidoki-tasker. (Jeg foretrækker i øvrigt meget mine Tokidoki-tasker.)
Palo Alto Networks Unit 42 opdagede tegn på et nyt angreb for luftgappede maskiner. Tick er en cyberspionagegruppe, der har målrettet enheder i Sydkorea og Japan. Der er en koreansk forsvarsentreprenør, som laver USB-drev efter meget niche IT-sikkerhedscertificeringscenter retningslinjer for den koreanske offentlige sektor og private virksomheders klientel. Enhed 42 opdagede, at mindst et af USB-drevene har meget omhyggeligt udformet malware på sig. Men Unit 42-forskere har ikke fysisk haft nogen af de kompromitterede USB-drev. Det burde være svært for en ekstern part at få malware på en af disse enheder i første omgang. Enhed 42 kalder malwaren SymonLoader, og den udnytter udelukkende Windows XP og Windows Server 2003 sårbarheder.
Så Tick har forsøgt at angribe luftgappede maskiner med versioner af Windows, som ikke har været understøttet i lang tid. Kører mange af disse luftgappede maskiner ældre operativsystemer? Det er højst sandsynligt, at Tick omhyggeligt tog fingeraftryk på deres mål, før de begyndte at udvikle SymonLoader.
Her er angrebsscenariet, som Unit 42 antager. Tick har på en eller anden måde erhvervet og kompromitteret nogle af disse stærkt sikrede USB-drev. De sætter deres SymonLoader malware på dem, når de kan få adgang til dem. Når først et kompromitteret drev er monteret i en målrettet luftgappet Windows XP- eller Windows Server 2003-maskine, udnytter SymonLoader sårbarheder, som kun vedrører disse operativsystemer. Mens SymonLoader er i hukommelsen, hvis mere stærkt sikrede USB-drev detekteres som monteret på filsystemet, vil den forsøge at indlæse den ukendte ondsindede fil ved hjælp af API'er designet til filsystemadgang. Det er cyklussen af meget specifikt designet malware til meget specifikke mål! Det er skræddersyet haute couture Windows malware! Det er for eksklusivt til små mennesker som mig! (Jeg bruger alligevel understøttet Linux Mint i øjeblikket.) Fordi Unit 42 ikke har nogen af de kompromitterede drev i deres besiddelse, kan de kun spekulere i, hvordan drevene er blevet inficeret, og hvordan de leveres til deres mål.
Tick har været kendt for at omdanne legitime applikationer til trojanske heste. Her er hvad Unit 42 skrev om HomamDownloader sidste sommer:
“HomamDownloader er et lille downloadprogram med minimale interessante egenskaber fra et teknisk synspunkt. HomamDownloader blev opdaget at blive leveret af Tick via en spearphishing-e-mail. Modstanderen lavede troværdig e-mail og vedhæftet fil efter at have forstået målene og deres adfærd...
Ud over den sociale ingeniør-e-mail-teknik anvender angriberen også et trick til den vedhæftede fil. Skuespilleren indlejrede ondsindet kode i en ressourcesektion af den legitime SFX-fil, der blev oprettet af et filkrypteringsværktøj, og ændrede programmets indgangspunkt for at springe til den ondsindede kode kort efter, at SFX-programmet er startet. Den ondsindede kode dropper HomamDownloader og hopper derefter tilbage til det almindelige flow i KODE-sektionen, som igen spørger brugeren om adgangskoden og dekrypterer filen. Derfor, når en bruger udfører den vedhæftede fil og ser adgangskodedialogen på SFX, begynder downloaderen, der er faldet af den ondsindede kode, at fungere, selvom brugeren vælger Annuller i adgangskodevinduet."
Nu er det tid til at vende tilbage til SymonLoader. Når et USB-drev med SymonLoader er monteret i et af Ticks mål, forsøger det at få brugeren til at udføre det ved at bruge en trojaniseret version af en slags software, som brugeren ønsker at installere i deres miljø. Når først den er udført, leder SymonLoader efter andre sikrede USB-drev, hvis og når de er monteret i filsystemet.
SymonLoader udtrækker en skjult eksekverbar fil fra et særligt sikret USB-drev og udfører den derefter. Enhed 42-forskere har ikke haft en kopi af filen til selv at undersøge. Men de er ret sikre på, at Tick står bag dette angreb, fordi de har fundet shellcode, der ligner shellcode, som gruppen tidligere har været kendt for at bruge.
SymonLoader tjekker maskinen for dens version af Windows, og hvis den er nyere end Windows Server 2003 eller Windows XP, stopper den med at forsøge at gøre noget andet. Windows Vista er dens kryptonit, tror jeg. Hvis maskinens operativsystem er Windows XP eller Windows Server 2003, udføres et skjult vindue, som løbende tjekker for monterede drev, efterhånden som de bliver en del af filsystemet. SymonLoader bruger kommandoen SCSI INQUIRY til at kontrollere, om nogen af de nyligt monterede drev er af den specifikt sikrede enhedsmodel, de leder efter. Hvis parametrene nogensinde matches, udtrækker SymonLoader derefter en ukendt fil fra USB-drevet.
Ikke meget andet er kendt om, hvordan SymonLoader opfører sig eller hvorfor, men Enhed 42 skrev dette:
"Selvom vi ikke har en kopi af filen skjult på den sikre USB, har vi mere end nok information til at fastslå, at den er mere end sandsynligt skadelig. Bevæbning af et sikkert USB-drev er en usædvanlig teknik og sandsynligvis gjort i et forsøg på at kompromittere luftgappede systemer, som er systemer, der ikke forbinder til det offentlige internet. Nogle industrier eller organisationer er kendt for at indføre luftgap af sikkerhedsmæssige årsager. Derudover bruges forældede versioner af operativsystemer ofte i disse miljøer på grund af ingen nemme opdateringsløsninger uden internetforbindelse. Når brugere ikke er i stand til at oprette forbindelse til eksterne servere, har de en tendens til at stole på fysiske lagerenheder, især USB-drev, til dataudveksling. SymonLoader og det sikre USB-drev, der diskuteres i denne blog, passer muligvis til denne omstændighed."
Det er noget malware-udvikling og distribution på MacGyver-niveau. Det ville være fascinerende og oplysende at vide, hvem Ticks specifikke mål er, for det er tydeligt, at de virkelig, virkelig ønsker noget fra dem.
START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- I stand
- Om
- adgang
- Ifølge
- erhverve
- erhvervede
- Desuden
- Efter
- LUFT
- ,
- API'er
- applikationer
- angribe
- Angreb
- attraktivt
- tilbage
- tasker
- fordi
- bliver
- før
- bag
- elskede
- Blog
- brud
- Opkald
- omhyggeligt
- Certificering
- karakteristika
- Kontrol
- klar
- kunde
- CNBC
- kode
- koden falder
- kompromis
- Kompromitteret
- computer
- computere
- sikker
- Tilslut
- Tilslutninger
- Connectivity
- kontinuerligt
- Entreprenør
- oprettet
- troværdig
- For øjeblikket
- skik
- CYBERKRIMINAL
- data
- Dataudveksling
- Forsvar
- leveret
- konstrueret
- opdaget
- Bestem
- udvikling
- Udvikling
- enhed
- Enheder
- dialog
- Diamant
- svært
- digital
- opdaget
- drøftet
- fordeling
- Er ikke
- køre
- droppet
- Drops
- indsats
- indlejret
- beskæftiger
- kryptering
- Engineering
- nok
- Enterprise
- enheder
- indrejse
- Miljø
- miljøer
- især
- Endog
- begivenhed
- NOGENSINDE
- udveksling
- Eksklusiv
- udelukkende
- udføre
- Udfører
- exploits
- ekstern
- Uddrag
- Facility
- fascinerende
- File (Felt)
- Fornavn
- passer
- flow
- fundet
- Gratis
- fra
- få
- gruppe
- retningslinjer
- håndtere
- Hård Ost
- stærkt
- Skjult
- stærkt
- Hvordan
- HTML
- HTTPS
- in
- industrier
- oplysninger
- installere
- øjeblikkelig
- interessant
- Internet
- indføre
- IT
- Japan
- spring
- Kend
- kendt
- korea
- koreansk
- Efternavn
- Legacy
- Sandsynlig
- linux
- lidt
- belastning
- Lang
- lang tid
- leder
- UDSEENDE
- Lot
- maskine
- Maskiner
- maerker
- malware
- matchede
- Medier
- Hukommelse
- mindste
- mynte
- model
- modificeret
- overvåges
- mere
- net
- Ny
- ONE
- drift
- operativsystemer
- organisationer
- OS
- Andet
- parametre
- del
- især
- part
- Adgangskode
- Mennesker
- fysisk
- Fysisk
- Place
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- Synspunkt
- besiddelse
- foretrække
- smuk
- tidligere
- private
- den private sektor
- Program
- offentlige
- sætte
- årsager
- fast
- forskere
- Ligner
- ressource
- afkast
- Rum
- Kør
- scorecard
- Sektion
- sektor
- sikker
- Sikret
- sikkerhed
- Sees
- følsom
- Servere
- bør
- Skilte
- lille
- So
- Social
- Samfundsteknologi
- Software
- Løsninger
- nogle
- noget
- Syd
- Sydkorea
- særligt
- specifikke
- specifikt
- påbegyndt
- starter
- stopper
- opbevaring
- sådan
- sommer
- Understøttet
- systemet
- Systemer
- skræddersyet
- målrettet
- mål
- Teknisk
- deres
- selv
- derfor
- Gennem
- tid
- til
- også
- værktøj
- TUR
- typisk
- typisk
- Ualmindelig
- forståelse
- enhed
- usb
- USB-drev
- brug
- Bruger
- brugere
- sædvanligvis
- verificere
- udgave
- via
- Specifikation
- Sårbarheder
- Hvad
- som
- mens
- hvid
- WHO
- vinduer
- uden
- arbejder
- ville
- xp
- Din
- zephyrnet
