Diese Zecke kann durch Luftspalte fliegen

Neuauflage von Plato

Verfolger: 0

Malware-Angriffe Lesezeit: 4 Minuten

Eine Maschine mit Luftspalt ist ein Computer, der so stark gesichert ist, dass er keine physischen oder digitalen Verbindungen zu Netzwerken hat. Sie sind normalerweise auch in Rechenzentren und Serverräumen mit sorgfältig überwachtem physischen Zugriff stark physisch gesichert. Um neue Daten in einen Computer mit Luftspalt zu übertragen, muss ein Cyberkrimineller normalerweise die Einrichtung, in der er sich befindet, physisch verletzen und für seinen Angriff eine Art externes oder Wechselmedium verwenden, z. B. eine optische Disk, ein USB-Laufwerk oder eine externe Festplatte . Die Verwendung von Maschinen mit Luftspalt ist sehr unpraktisch, daher sind Computer normalerweise nur dann mit Luftspalt ausgestattet, wenn sie sehr, sehr sensible Daten verarbeiten. Das macht sie zu besonders attraktiven Zielen für Angreifer. Wenn eine Maschine mit Luftspalt eine Geldbörse wäre, wäre es eine Hermès weiße Himalaya Krokodildiamant Birkin Tasche während ein typischer Client-Computer wäre eine meiner geliebten Tokidoki-Taschen. (Ich bevorzuge übrigens meine Tokidoki-Taschen.)

Palo Alto Networks-Einheit 42 entdeckte Anzeichen eines neuen Angriffs für Maschinen mit Luftspalt. Tick ist eine Cyberspionagegruppe, die sich gegen Unternehmen in Südkorea und Japan richtet. Es gibt einen koreanischen Verteidigungsunternehmer, der USB-Laufwerke nach Nischen herstellt IT-Sicherheitszertifizierungszentrum Richtlinien für koreanische Unternehmen aus dem öffentlichen und privaten Sektor. In Einheit 42 wurde festgestellt, dass auf mindestens einem der USB-Laufwerke sehr sorgfältig Malware erstellt wurde. Die Forscher von Unit 42 haben jedoch keines der kompromittierten USB-Laufwerke physisch besessen. Es sollte für eine externe Partei schwierig sein, Malware auf eines dieser Geräte zu bekommen. Unit 42 ruft die Malware SymonLoader auf und nutzt ausschließlich Schwachstellen in Windows XP und Windows Server 2003 aus.

Daher hat Tick versucht, Computer mit Luftspalt mit Windows-Versionen anzugreifen, die seit langem nicht mehr unterstützt werden. Führen viele dieser Luftspaltmaschinen ältere Betriebssysteme aus? Es ist sehr wahrscheinlich, dass Tick ihre Ziele sorgfältig mit einem Fingerabdruck versehen hat, bevor sie mit der Entwicklung von SymonLoader begonnen haben.

Hier ist das Angriffsszenario, das Unit 42 vermutet. Tick hat einige dieser stark gesicherten USB-Laufwerke irgendwie erworben und kompromittiert. Sie setzen ihre SymonLoader-Malware auf sie, wenn sie Zugriff auf sie erhalten können. Sobald ein gefährdetes Laufwerk in einem Windows XP- oder Windows Server 2003-Computer mit Luftspalt installiert ist, nutzt SymonLoader Schwachstellen aus, die nur diese Betriebssysteme betreffen. Während sich SymonLoader im Speicher befindet, wird versucht, die unbekannte schädliche Datei mithilfe von APIs für den Dateisystemzugriff zu laden, wenn stärker gesicherte USB-Laufwerke als im Dateisystem gemountet erkannt werden. Es ist der Zyklus von sehr speziell entwickelter Malware für sehr spezifische Ziele! Es ist maßgeschneiderte Haute Couture Windows-Malware! Es ist zu exklusiv für kleine Leute wie mich! (Ich verwende derzeit ohnehin unterstützte Linux Mint.) Da Unit 42 keines der gefährdeten Laufwerke in seinem Besitz hat, können sie nur spekulieren, wie die Laufwerke infiziert wurden und wie sie an ihre Ziele geliefert werden.

Es ist bekannt, dass Tick legitime Anwendungen in Trojaner verwandelt. Hier ist, worüber Unit 42 schrieb HomamDownloader letzten Sommer:

„HomamDownloader ist ein kleines Downloader-Programm mit minimalen interessanten Eigenschaften aus technischer Sicht. Es wurde festgestellt, dass HomamDownloader von Tick per Spearphishing-E-Mail geliefert wird. Der Gegner erstellte glaubwürdige E-Mails und Anhänge, nachdem er die Ziele und ihr Verhalten verstanden hatte.

Neben der Social-Engineering-E-Mail-Technik verwendet der Angreifer auch einen Trick für den Anhang. Der Akteur hat bösartigen Code in einen Ressourcenabschnitt der legitimen SFX-Datei eingebettet, der von einem Dateiverschlüsselungstool erstellt wurde, und den Einstiegspunkt des Programms geändert, um kurz nach dem Start des SFX-Programms zum bösartigen Code zu springen. Der Schadcode löscht HomamDownloader und springt dann zum regulären Ablauf im Abschnitt CODE zurück, der den Benutzer nach dem Kennwort fragt und die Datei entschlüsselt. Sobald ein Benutzer den Anhang ausführt und das Kennwortdialogfeld in SFX sieht, funktioniert der vom Schadcode abgelegte Downloader auch dann, wenn der Benutzer im Kennwortfenster die Option Abbrechen wählt. “

Jetzt ist es Zeit, zu SymonLoader zurückzukehren. Sobald ein USB-Laufwerk mit SymonLoader in eines der Ziele von Tick eingebunden ist, versucht der Benutzer, es mithilfe einer trojanisierten Version einer Software auszuführen, die der Benutzer in seiner Umgebung installieren möchte. Nach der Ausführung sucht SymonLoader nach anderen gesicherten USB-Laufwerken, wenn diese in das Dateisystem eingebunden sind.

SymonLoader extrahiert eine versteckte ausführbare Datei von einem speziell gesicherten USB-Laufwerk und führt sie dann aus. Forscher der Einheit 42 hatten keine Kopie der Akte, die sie selbst prüfen konnten. Aber sie sind ziemlich zuversichtlich, dass Tick hinter diesem Angriff steckt, weil sie Shellcode gefunden haben, der dem Shellcode ähnelt, den die Gruppe bisher verwendet hat.

SymonLoader überprüft den Computer auf seine Windows-Version. Wenn er neuer als Windows Server 2003 oder Windows XP ist, versucht er nicht mehr, etwas anderes zu tun. Windows Vista ist wohl sein Kryptonit. Wenn das Betriebssystem des Computers Windows XP oder Windows Server 2003 ist, wird ein ausgeblendetes Fenster ausgeführt, das kontinuierlich nach bereitgestellten Laufwerken sucht, wenn diese Teil des Dateisystems werden. SymonLoader verwendet den Befehl SCSI INQUIRY, um zu überprüfen, ob eines der neu bereitgestellten Laufwerke dem speziell gesicherten Gerätemodell entspricht, nach dem sie suchen. Wenn die Parameter jemals übereinstimmen, extrahiert SymonLoader eine unbekannte Datei vom USB-Laufwerk.

Es ist nicht viel anderes darüber bekannt, wie sich SymonLoader verhält oder warum, aber Unit 42 hat das geschrieben:

„Wir haben zwar keine Kopie der Datei auf dem sicheren USB-Stick versteckt, aber wir haben mehr als genug Informationen, um festzustellen, dass sie höchstwahrscheinlich bösartig sind. Die Waffe für ein sicheres USB-Laufwerk ist eine ungewöhnliche Technik und wird wahrscheinlich eingesetzt, um Systeme mit Luftspalt zu gefährden, bei denen es sich um Systeme handelt, die keine Verbindung zum öffentlichen Internet herstellen. Einige Branchen oder Organisationen sind dafür bekannt, aus Sicherheitsgründen Luftspalte einzuführen. Darüber hinaus werden in diesen Umgebungen häufig Betriebssysteme mit veralteter Version verwendet, da es keine einfachen Update-Lösungen ohne Internetverbindung gibt. Wenn Benutzer keine Verbindung zu externen Servern herstellen können, verlassen sie sich beim Datenaustausch in der Regel auf physische Speichergeräte, insbesondere USB-Laufwerke. Der in diesem Blog beschriebene SymonLoader und das sichere USB-Laufwerk sind möglicherweise für diesen Umstand geeignet. “

Das ist eine Entwicklung und Verteilung von Malware auf MacGyver-Ebene. Es wäre faszinierend und aufschlussreich zu wissen, wer Ticks spezifische Ziele sind, denn es ist klar, dass sie wirklich, wirklich etwas von ihnen wollen.

KOSTENLOS TESTEN ERHALTEN SIE IHRE SOFORTIGE SICHERHEITSKORECARD KOSTENLOS