Lukuaika: 4 pöytäkirja
Lentokoneeseen kiinnitetty kone on tietokone, joka on niin vahvasti kiinnitetty, että sillä ei ole fyysisiä tai digitaalisia yhteyksiä mihinkään verkkoon. Ne ovat yleensä myös fyysisesti fyysisesti turvattuja tietokeskuksissa ja palvelinhuoneissa, joissa fyysisesti on huolellisesti valvottu. Jotta uutta tietoa voitaisiin laittaa lentokoneeseen, tyypillisesti tietoverkkorikollisuuden on fyysisesti rikottava siinä olevaa laitetta ja käytettävä hyökkäykseen jonkinlaista ulkoista tai siirrettävää tietovälinettä, kuten optinen levy, USB-asema tai ulkoinen kiintolevy. . Lentokoneilla varustettujen koneiden käyttäminen on todella hankalaa, joten tietokoneet lennetään yleensä vain, jos ne käsittelevät erittäin, erittäin arkaluontoisia tietoja. Se tekee heistä erityisen houkuttelevia kohteita hyökkääjille. Jos lentokoneessa oleva kone olisi kukkaro, se olisi Hermès valkoinen Himalaya-krokotiilin timantti Birkin-laukku kun taas tyypillinen asiakaskone olisi yksi rakastetuista Tokidoki-laukkuistani. (Muuten pidän paljon Tokidoki-laukkuistani.)
Palo Alton verkkoyksikkö 42 löysi merkkejä ilma-aluksen koneiden uudesta hyökkäyksestä. Tick on kyberturvallisuusryhmä, joka on kohdistanut yksiköitä Etelä-Koreaan ja Japaniin. Siellä on korealainen puolustusurakoitsija, joka tekee USB-asemia erittäin kapealla IT-turvallisuuden varmennuskeskus suuntaviivat Korean julkisen ja yksityisen sektorin yritysasiakkaille. Yksikkö 42 havaitsi, että ainakin yhdessä USB-asemassa on erittäin huolellisesti muotoiltu haittaohjelma. Mutta yksikön 42 tutkijoilla ei ole fyysisesti hallussaan yhtään vaarannettua USB-asemaa. Ulkopuolisen osapuolen pitäisi olla vaikeaa saada haittaohjelmia johonkin näistä laitteista. Yksikkö 42 soittaa haittaohjelmalle SymonLoader, ja se hyödyntää yksinomaan Windows XP- ja Windows Server 2003 -haavoittuvuuksia.
Joten Tick on yrittänyt hyökätä lentokoneisiin, joissa on Windows-versioita, joita ei ole tuettu pitkään aikaan. Käyttääkö suuri osa näistä lentokoneilla varustetuista koneista vanhoja käyttöjärjestelmiä? On erittäin todennäköistä, että Tick sormenjäljet huolellisesti sormenjäljensä kohteisiinsa ennen kuin he alkoivat kehittää SymonLoaderia.
Tässä on hyökkäysskenaario, jonka yksikkö 42 olettaa. Tick jotenkin hankkinut ja vaarantanut joitakin näistä vahvasti turvattuista USB-asemista. He laittavat SymonLoader-haittaohjelmansa heille aina, kun he pääsevät pääsyyn niihin. Kun vaarantunut asema on asennettu kohdennettuun lentokoneeseen kiinnitettyyn Windows XP- tai Windows Server 2003 -laitteeseen, SymonLoader hyödyntää haavoittuvuuksia, jotka koskevat vain näitä käyttöjärjestelmiä. SymonLoaderin ollessa muistissa, jos tiedostojärjestelmään liitetyt voimakkaammin suojatut USB-asemat havaitaan, se yrittää ladata tuntemattoman haittaohjelman tiedostojärjestelmään pääsyyn tarkoitettujen sovellusliittymien avulla. Se on erityisen suunniteltujen haittaohjelmien jakso erityisille kohteille! Se on räätälöity haute couture Windows -haittaohjelma! Se on liian yksinoikeus pienille ihmisille kuten minä! (Käytän joka tapauksessa tuettua Linux Mint -tapahtumaa.) Koska yksiköllä 42 ei ole hallussaan mitään vaarannettuja asemia, he voivat vain spekuloida, kuinka asemat on tartunnan saanut ja miten ne toimitetaan heidän kohteisiinsa.
Tick on tiedetty muuttavan lailliset sovellukset troijalaisiksi. Tässä on mitä yksikkö 42 kirjoitti HomamDownloader viime kesänä:
”HomamDownloader on pieni downloader-ohjelma, jolla on minimaalisesti mielenkiintoisia ominaisuuksia teknisestä näkökulmasta. HomamDownloader havaittiin toimittavan Tickin välityksellä sähköpostitse. Vihollinen muotoili uskottavaa sähköpostia ja liitetiedostoa ymmärtäessäsi kohteita ja heidän käyttäytymistään…
Sosiaalitekniikan sähköpostitekniikan lisäksi hyökkääjä käyttää myös temppua liitteeseen. Näyttelijä upotti haitallisen koodin tiedostonsalaustyökalun luomaan laillisen SFX-tiedoston resurssiosaan ja muutti ohjelman tulopistettä siirtyäkseen haittaohjelmaan pian SFX-ohjelman käynnistymisen jälkeen. Haittaohjelma pudottaa HomamDownloaderin, hyppää sitten takaisin normaaliin virtaan KOODI-osiossa, joka puolestaan kysyy käyttäjältä salasanaa ja purkaa tiedoston salauksen. Siksi, kun käyttäjä suorittaa liitteen ja näkee salasanavalintaikkunan SFX: ssä, haittakoodin pudottama latausohjelma alkaa toimia, vaikka käyttäjä valitsee Peruuta salasana-ikkunassa. "
Nyt on aika palata SymonLoaderiin. Kun SymonLoaderilla varustettu USB-asema on asennettu johonkin Tickin kohteisiin, se yrittää saada käyttäjän suorittamaan se käyttämällä jonkinlaisen ohjelmiston troijalaista versiota, jonka käyttäjä haluaa asentaa ympäristöönsä. Suoritettuaan SymonLoader etsii muita suojattuja USB-asemia, kun ja milloin ne asennetaan tiedostojärjestelmään.
SymonLoader purkaa piilotetun suoritettavan tiedoston erityisestä turvatusta USB-asemasta ja suorittaa sen sitten. Yksikön 42 tutkijoilla ei ole ollut kopioita tiedostosta tutkiakseen itseään. Mutta he ovat melko varmoja siitä, että Tick on tämän hyökkäyksen takana, koska he ovat löytäneet shellcodenin, joka muistuttaa shellcodea, jonka ryhmän aiemmin tiedettiin käyttävän.
SymonLoader tarkistaa koneen Windows-version ja jos se on uudempi kuin Windows Server 2003 tai Windows XP, se lakkaa yrittämästä tehdä mitään muuta. Luulen, että Windows Vista on sen kryptoniitti. Jos koneen käyttöjärjestelmä on Windows XP tai Windows Server 2003, suoritetaan piilotettu ikkuna, joka tarkistaa jatkuvasti asennettuja asemia, kun niistä tulee osa tiedostojärjestelmää. SymonLoader käyttää SCSI INQUIRY -komentoa tarkistaakseen, onko jokin äskettäin asennetuista asemista etsimääsi erityisesti suojattua laitemallia. Jos parametrit vastaavat koskaan, SymonLoader purkaa sitten tuntematon tiedosto USB-asemasta.
SymonLoaderin käyttäytymisestä tai miksi ei tiedetä paljon muuta, mutta Yksikkö 42 kirjoitti tämän:
”Vaikka meillä ei ole kopiota tiedostosta piilotetussa USB-portissa, meillä on enemmän kuin tarpeeksi tietoa sen määrittämiseksi, onko se todennäköisesti haitallista. Suojatun USB-aseman aseistaminen on epätavallinen tekniikka, ja se tehdään todennäköisesti pyrkiessä vaarantamaan lentokoneella varustetut järjestelmät, jotka eivät ole yhteydessä julkiseen Internetiin. Joidenkin teollisuudenalojen tai organisaatioiden tiedetään ottavan käyttöön ilmarako turvallisuussyistä. Lisäksi vanhentuneita käyttöjärjestelmiä käytetään usein näissä ympäristöissä, koska niissä ei ole helppoa päivitysratkaisua ilman Internet-yhteyttä. Kun käyttäjät eivät pysty muodostamaan yhteyttä ulkoisiin palvelimiin, he luottavat tiedonsiirtoon fyysisiin tallennuslaitteisiin, erityisesti USB-asemiin. Tässä blogissa käsitelty SymonLoader ja turvallinen USB-asema voivat sopia tähän tilanteeseen. ”
Se on MacGyver-tason haittaohjelmien kehitystä ja jakelua. Olisi kiehtovaa ja valaisevaa tietää, ketkä Ticken erityiset kohteet ovat, koska on selvää, että he todella haluavat heiltä jotain.
ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- pystyy
- Meistä
- pääsy
- Mukaan
- hankkia
- hankittu
- Lisäksi
- Jälkeen
- AIR
- ja
- API
- sovellukset
- hyökkäys
- Hyökkäykset
- houkutteleva
- takaisin
- laukut
- koska
- tulevat
- ennen
- takana
- rakastettu
- Blogi
- rikkominen
- Puhelut
- huolellisesti
- Certification
- ominaisuudet
- Tarkastukset
- selkeä
- asiakas
- CNBC
- koodi
- koodi putoaa
- kompromissi
- Vaarantunut
- tietokone
- tietokoneet
- luottavainen
- kytkeä
- Liitännät
- Liitännät
- jatkuvasti
- Urakoitsija
- luotu
- uskottava
- Tällä hetkellä
- asiakassuhde
- KYBERRIKOLLINEN
- tiedot
- Tiedonvaihto
- Puolustus
- toimitettu
- suunniteltu
- havaittu
- Määrittää
- kehittämällä
- Kehitys
- laite
- Laitteet
- Vuoropuhelu
- Diamond
- vaikea
- digitaalinen
- löysi
- keskusteltiin
- jakelu
- ei
- ajaa
- putosi
- Drops
- vaivaa
- upotettu
- työllistää
- salaus
- Tekniikka
- tarpeeksi
- yritys
- yksiköt
- merkintä
- ympäristö
- ympäristöissä
- erityisesti
- Jopa
- tapahtuma
- EVER
- Vaihdetaan
- Exclusive
- yksinomaan
- suorittaa
- toteuttaja
- hyödyntää
- ulkoinen
- otteet
- Laitos
- lumoava
- filee
- Etunimi
- sovittaa
- virtaus
- löytyi
- Ilmainen
- alkaen
- saada
- Ryhmä
- suuntaviivat
- kahva
- Kova
- raskaasti
- kätketty
- erittäin
- Miten
- HTML
- HTTPS
- in
- teollisuuden
- tiedot
- asentaa
- välitön
- mielenkiintoinen
- Internet
- käyttöön
- IT
- Japani
- hyppyjä
- Tietää
- tunnettu
- Korea
- Korean
- Sukunimi
- Perintö
- Todennäköisesti
- linux
- vähän
- kuormitus
- Pitkät
- pitkä aika
- näköinen
- ulkonäkö
- Erä
- kone
- Koneet
- TEE
- haittaohjelmat
- Hyväksytty
- Media
- Muisti
- minimi
- minttu
- malli
- muokattu
- seurataan
- lisää
- verkot
- Uusi
- ONE
- toiminta
- käyttöjärjestelmät
- organisaatioiden
- OS
- Muut
- parametrit
- osa
- erityisesti
- puolue
- Salasana
- Ihmiset
- fyysinen
- fyysisesti
- Paikka
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- Näkökulma
- hallussapito
- mieluummin
- aika
- aiemmin
- yksityinen
- yksityissektorin
- Ohjelma
- julkinen
- laittaa
- syistä
- säännöllinen
- Tutkijat
- Muistuttaa
- resurssi
- palata
- Huoneet
- ajaa
- tuloskortti
- Osa
- sektori
- turvallinen
- turvattu
- turvallisuus
- näkee
- sensible
- servers
- shouldnt
- Signs
- pieni
- So
- sosiaalinen
- Sosiaalinen insinööri
- Tuotteemme
- Ratkaisumme
- jonkin verran
- jotain
- Etelä
- Etelä-Korea
- erityinen
- erityinen
- erityisesti
- alkoi
- alkaa
- Lopettaa
- Levytila
- niin
- kesä
- Tuetut
- järjestelmä
- järjestelmät
- Räätälöity
- kohdennettu
- tavoitteet
- Tekninen
- -
- heidän
- itse
- siksi
- Kautta
- aika
- että
- liian
- työkalu
- VUORO
- tyypillinen
- tyypillisesti
- harvinainen
- ymmärtäminen
- yksikkö
- usb
- USB-asemat
- käyttää
- käyttäjä
- Käyttäjät
- yleensä
- todentaa
- versio
- kautta
- Näytä
- haavoittuvuuksia
- Mitä
- joka
- vaikka
- valkoinen
- KUKA
- ikkunat
- ilman
- työskentely
- olisi
- xp
- Sinun
- zephyrnet
