Lugemisaeg: 4 protokoll
Õhuga ühendatud masin on arvuti, mis on nii tugevalt turvatud, et sellel pole füüsilist ega digitaalset ühendust ühegi võrguga. Tavaliselt on need andmekeskustes ja serveriruumides ka füüsiliselt tugevalt kaitstud ning neile on hoolikalt jälgitud füüsiline juurdepääs. Uute andmete sisestamiseks õhuvahega masinasse peab küberkurjategija tavaliselt füüsiliselt rikkuma selle rajatist ja kasutama rünnakuks mingit välist või irdkandjat, näiteks optilist ketast, USB-draivi või välist kõvaketast. . Õhuvahega masinate kasutamine on tõesti ebamugav, nii et arvutid on tavaliselt õhuvahega ainult siis, kui need töötlevad väga-väga tundlikke andmeid. See muudab need ründajatele eriti atraktiivseteks sihtmärkideks. Kui õhuvahega masin oleks rahakott, oleks see a Hermès valge Himaalaja krokodilli teemant Birkin kott samas kui tüüpiline kliendimasin oleks üks mu armastatud Tokidoki kottidest. (Muide, ma eelistan palju oma Tokidoki kotte.)
Palo Alto võrguüksus 42 avastas märke õhuvahega masinate uuest rünnakust. Tick on küberspionaažirühm, mis on võtnud sihikule üksused Lõuna-Koreas ja Jaapanis. Seal on Korea kaitsetöövõtja, kes toodab USB-draive väga niši järgi IT-turvalisuse sertifitseerimiskeskus juhised Korea avaliku sektori ja erasektori ettevõtete klientidele. Üksus 42 avastas, et vähemalt ühel USB-draivil on väga hoolikalt koostatud pahavara. Kuid üksuse 42 teadlastel pole füüsiliselt ühtegi ohustatud USB-draivi olnud. Välisel osapoolel peaks olema keeruline ühte neist seadmetest pahavara hankida. Üksus 42 nimetab pahavara SymonLoaderiks ja see kasutab eranditult ära Windows XP ja Windows Server 2003 turvaauke.
Nii et Tick on püüdnud rünnata õhuvahega masinaid Windowsi versioonidega, mida pole pikka aega toetatud. Kas paljud neist õhuvahega masinatest käitavad pärandoperatsioonisüsteeme? On väga tõenäoline, et Tick võttis enne SymonLoaderi väljatöötamist hoolikalt nende sihtmärkide sõrmejäljed.
Siin on rünnakustsenaarium, mille üksus 42 oletab. Tick omandas ja kahjustas mingil moel mõned neist tugevalt turvatud USB-draividest. Nad panevad oma SymonLoaderi pahavara neile alati, kui saavad neile juurdepääsu. Kui ohustatud draiv on paigaldatud sihitud õhuvahega Windows XP või Windows Server 2003 masinasse, kasutab SymonLoader turvaauke, mis puudutavad ainult neid operatsioonisüsteeme. Kui SymonLoader on mälus, proovib see failisüsteemile juurdepääsuks mõeldud API-liideste abil laadida tundmatut pahatahtlikku faili, kui tuvastatakse tugevamini turvatud USB-draivid, mis on failisüsteemi ühendatud. See on väga konkreetsete sihtmärkide jaoks loodud pahavara tsükkel! See on kohandatud Windowsi kõrgmoe pahavara! See on minusuguste väikeste inimeste jaoks liiga eksklusiivne! (Ma kasutan niikuinii praegu toetatud Linux Mint'i.) Kuna üksuse 42 valduses pole ühtegi ohustatud draivi, saavad nad ainult oletada, kuidas draivid on nakatunud ja kuidas need nende sihtmärkideni toimetatakse.
Tick on teadaolevalt muutnud legitiimsed rakendused troojalasteks. Siin on see, millest Unit 42 kirjutas Homam allalaadija eelmisel suvel:
"HomamDownloader on väike allalaadimisprogramm, millel on tehnilisest seisukohast minimaalsed huvitavad omadused. Avastati, et Tick edastas HomamDownloaderi e-kirja teel. Pärast sihtmärkide ja nende käitumise mõistmist koostas vastane usaldusväärse e-kirja ja manuse…
Lisaks sotsiaalse manipuleerimise e-posti tehnikale kasutab ründaja manuse jaoks ka trikki. Näitleja manustas pahatahtliku koodi faili krüptimise tööriistaga loodud seadusliku SFX-faili ressursiosasse ja muutis programmi sisenemispunkti, et kiiresti pärast SFX-programmi käivitumist pahatahtlikule koodile hüpata. Pahatahtlik kood kukutab HomamDownloaderi, seejärel hüppab tagasi tavalisele voolule jaotises CODE, mis omakorda küsib kasutajalt parooli ja dekrüpteerib faili. Seega, kui kasutaja käivitab manuse ja näeb SFX-is paroolidialoogi, hakkab pahatahtliku koodi poolt välja kukkunud allalaadija tööle isegi siis, kui kasutaja valib parooliaknas käsu Tühista.
Nüüd on aeg SymonLoaderi juurde naasta. Kui SymonLoaderiga USB-draiv on ühte Ticki sihtmärkidest ühendatud, proovib see lasta kasutajal seda käivitada, kasutades mingisuguse tarkvara Troojastatud versiooni, mida kasutaja soovib oma keskkonda installida. Pärast käivitamist otsib SymonLoader teisi turvatud USB-draive, kui ja millal need on failisüsteemi ühendatud.
SymonLoader ekstraktib peidetud käivitatava faili spetsiaalselt turvatud USB-draivilt ja käivitab selle. Üksuse 42 teadlastel ei ole olnud toimiku koopiat, et ise uurida. Kuid nad on üsna kindlad, et selle rünnaku taga on Tick, sest nad on leidnud shellkoodi, mis sarnaneb shellkoodiga, mida rühm on varem teadaolevalt kasutanud.
SymonLoader kontrollib masinas selle Windowsi versiooni ja kui see on uuem kui Windows Server 2003 või Windows XP, siis ei ürita see enam midagi muud teha. Windows Vista on selle krüptoniit, ma arvan. Kui masina operatsioonisüsteem on Windows XP või Windows Server 2003, käivitatakse peidetud aken, mis kontrollib pidevalt ühendatud draive, kui need failisüsteemi osaks saavad. SymonLoader kasutab käsku SCSI INQUIRY, et kontrollida, kas mõni äsja paigaldatud draiv vastab otsitavale spetsiaalselt turvatud seadmemudelile. Kui parameetrid on kunagi sobitatud, ekstraheerib SymonLoader seejärel faili tundmatu fail USB-draivilt.
Selle kohta, kuidas SymonLoader käitub või miks, pole palju muud teada, aga Selle kirjutas üksus 42:
"Kuigi meil pole faili koopiat turvalisele USB-le peidetud, on meil rohkem kui piisavalt teavet, et teha kindlaks, kas see on enam kui tõenäoliselt pahatahtlik. Turvalise USB-draivi relvastamine on aeg-ajalt levinud tehnika ja seda tehakse tõenäoliselt õhuvahega süsteemide kahjustamiseks, mis on süsteemid, mis ei ühendu avaliku Internetiga. Mõned tööstusharud või organisatsioonid on tuntud turvakaalutlustel õhuvahede kasutuselevõtu poolest. Lisaks kasutatakse neis keskkondades sageli vananenud versiooniga operatsioonisüsteeme, kuna Interneti-ühenduseta pole lihtsalt värskendatavaid lahendusi. Kui kasutajad ei saa väliste serveritega ühendust luua, kasutavad nad andmevahetuseks füüsilisi salvestusseadmeid, eriti USB-draive. Selles ajaveebis käsitletud SymonLoader ja turvaline USB-draiv võivad selle olukorra jaoks sobida.
See on MacGyveri tasemel pahavara arendamine ja levitamine. Oleks põnev ja valgustav teada, kes on Puugi konkreetsed sihtmärgid, sest on selge, et nad tahavad neilt midagi väga-väga.
ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- Võimalik
- MEIST
- juurdepääs
- Vastavalt
- omandama
- omandatud
- lisamine
- pärast
- AIR
- ja
- API-liidesed
- rakendused
- rünnak
- Reageerib
- ahvatlev
- tagasi
- kotid
- sest
- muutuma
- enne
- taga
- armastatud
- Blogi
- rikkumine
- Kutsub
- hoolikalt
- sertifikaat
- omadused
- Kontroll
- selge
- klient
- CNBC
- kood
- kood langeb
- kompromiss
- Kompromissitud
- arvuti
- arvutid
- kindel
- Võta meiega ühendust
- Side
- Side
- pidevalt
- Töövõtja
- loodud
- usutav
- Praegu
- tava
- KÜBERKRIMINAAL
- andmed
- Andmevahetus
- kaitse
- esitatud
- kavandatud
- tuvastatud
- Määrama
- arenev
- & Tarkvaraarendus
- seade
- seadmed
- Dialoog
- teemant
- raske
- digitaalne
- avastasin
- arutatud
- jaotus
- Ei tee
- ajam
- langes
- Tilgad
- jõupingutusi
- varjatud
- töötab
- krüpteerimist
- Inseneriteadus
- piisavalt
- ettevõte
- üksuste
- kanne
- keskkond
- keskkondades
- eriti
- Isegi
- sündmus
- KUNAGI
- vahetamine
- Eksklusiivne
- ainult
- täitma
- Täidab
- ärakasutamine
- väline
- Väljavõtted
- Rajatise
- lummav
- fail
- esimene
- sobima
- voog
- avastatud
- tasuta
- Alates
- saama
- Grupp
- suunised
- käepide
- Raske
- tugevalt
- varjatud
- kõrgelt
- Kuidas
- HTML
- HTTPS
- in
- tööstusharudes
- info
- paigaldama
- kiire
- huvitav
- Internet
- sisse
- IT
- Jaapan
- hüppab
- Teadma
- teatud
- Korea
- korea
- viimane
- Pärand
- Tõenäoliselt
- Linux
- vähe
- koormus
- Pikk
- kaua aega
- otsin
- välimus
- Partii
- masin
- masinad
- TEEB
- malware
- sobitatud
- Meedia
- Mälu
- minimaalne
- piparmünt
- mudel
- modifitseeritud
- jälgitakse
- rohkem
- võrgustikud
- Uus
- ONE
- tegutsevad
- operatsioonisüsteemid
- organisatsioonid
- OS
- Muu
- parameetrid
- osa
- eriti
- partei
- Parool
- Inimesed
- füüsiline
- Füüsiliselt
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- Vaatepunkt
- omamine
- eelistama
- ilus
- varem
- era-
- erasektor
- Programm
- avalik
- panema
- põhjustel
- regulaarne
- Teadlased
- meenutab
- ressurss
- tagasipöördumine
- Toad
- jooks
- tulemuskaart
- Osa
- sektor
- kindlustama
- tagatud
- turvalisus
- näeb
- tundlik
- Serverid
- peaks
- Märgid
- väike
- So
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- tarkvara
- Lahendused
- mõned
- midagi
- Lõuna
- Lõuna-Korea
- eriline
- konkreetse
- eriti
- alustatud
- algab
- Peatab
- ladustamine
- selline
- suvi
- Toetatud
- süsteem
- süsteemid
- kohandatud
- suunatud
- eesmärgid
- Tehniline
- .
- oma
- ennast
- seetõttu
- Läbi
- aeg
- et
- liiga
- tööriist
- Pöörake
- tüüpiline
- tüüpiliselt
- Aeg-ajalt
- mõistmine
- üksus
- usb
- USB-draivid
- kasutama
- Kasutaja
- Kasutajad
- tavaliselt
- kontrollima
- versioon
- kaudu
- vaade
- Haavatavused
- M
- mis
- kuigi
- valge
- WHO
- aknad
- ilma
- töö
- oleks
- xp
- Sinu
- sephyrnet
