Cette tique peut voler à travers les entrefers

Cette tique peut voler à travers les entrefers

Horodatage: 27 juin 2018 12:33

attaques de logiciels malveillants Temps de lecture : 4 minutes

Une machine à air gap est un ordinateur si fortement sécurisé qu'il n'a aucune connexion physique ou numérique à aucun réseau. Ils sont généralement également fortement sécurisés physiquement dans les centres de données et les salles de serveurs avec un accès physique soigneusement surveillé. Pour mettre de nouvelles données dans une machine à espace aérien, un cybercriminel devrait généralement violer physiquement l'installation dans laquelle il se trouve et utiliser une sorte de support externe ou amovible pour son attaque, comme un disque optique, une clé USB ou un disque dur externe. . L'utilisation de machines à air gap est vraiment gênante, de sorte que les ordinateurs ne sont généralement à air gap que s'ils gèrent des données très, très sensibles. Cela en fait des cibles particulièrement attrayantes pour les attaquants. Si une machine à air gap était un sac à main, ce serait un Sac Birkin Hermès en crocodile diamant blanc Himalaya alors qu'une machine client typique serait un de mes sacs Tokidoki bien-aimés. (Je préfère de loin mes sacs Tokidoki, au fait.)

Unité 42 de Palo Alto Networks découvert des signes d'une nouvelle attaque pour des machines à air gap. Tick ​​est un groupe de cyberespionnage qui a ciblé des entités en Corée du Sud et au Japon. Il y a un entrepreneur de défense coréen qui fabrique des clés USB selon une niche très Centre de certification de la sécurité informatique directives pour la clientèle des entreprises du secteur public coréen et du secteur privé. L'unité 42 a découvert qu'au moins une des clés USB contenait des logiciels malveillants très soigneusement conçus. Mais les chercheurs de l'Unité 42 n'ont physiquement possédé aucune des clés USB compromises. Il devrait être difficile pour une partie externe d'obtenir des logiciels malveillants sur l'un de ces appareils en premier lieu. L'unité 42 appelle le malware SymonLoader et exploite exclusivement les vulnérabilités de Windows XP et Windows Server 2003.

Tick ​​a donc tenté d'attaquer des machines à air comprimé avec des versions de Windows qui n'étaient pas prises en charge depuis longtemps. Un grand nombre de ces machines à air gap exécutent-elles des systèmes d'exploitation hérités? Il est fort probable que Tick ait soigneusement pris les empreintes digitales de leurs cibles avant de commencer à développer SymonLoader.

Voici le scénario d'attaque que l'unité 42 émet. Tick ​​a en quelque sorte acquis et compromis certaines de ces clés USB hautement sécurisées. Ils mettent leur malware SymonLoader sur eux chaque fois qu'ils peuvent y accéder. Une fois qu'un lecteur compromis est monté sur une machine Windows XP ou Windows Server 2003 à air comprimé ciblé, SymonLoader exploite des vulnérabilités qui ne concernent que ces systèmes d'exploitation. Pendant que SymonLoader est en mémoire, si des lecteurs USB plus fortement sécurisés sont détectés comme montés sur le système de fichiers, il essaiera de charger le fichier malveillant inconnu à l'aide d'API conçues pour l'accès au système de fichiers. C'est le cycle de malwares très spécifiquement conçus pour des cibles très spécifiques! C'est un malware Windows haute couture personnalisé! C'est trop exclusif pour les petites personnes comme moi! (J'utilise de toute façon Linux Mint actuellement pris en charge.) Parce que l'Unité 42 n'a aucun des lecteurs compromis en sa possession, ils ne peuvent que spéculer comment les lecteurs ont été infectés et comment ils sont livrés à leurs cibles.

Tick ​​est connu pour transformer des applications légitimes en chevaux de Troie. Voici ce sur quoi l'unité 42 a écrit HomamTéléchargeur l'été dernier:

«HomamDownloader est un petit programme de téléchargement avec des caractéristiques intéressantes minimales d'un point de vue technique. HomamDownloader a été découvert pour être livré par Tick via un e-mail de spearphishing. L'adversaire a rédigé des e-mails et des pièces jointes crédibles après avoir compris les cibles et leur comportement…

En plus de la technique de courrier électronique d'ingénierie sociale, l'attaquant utilise également une astuce pour la pièce jointe. L'acteur a intégré un code malveillant dans une section de ressources du fichier SFX légitime créé par un outil de cryptage de fichiers et a modifié le point d'entrée du programme pour accéder au code malveillant peu après le démarrage du programme SFX. Le code malveillant abandonne HomamDownloader, puis revient au flux normal dans la section CODE, qui à son tour demande le mot de passe à l'utilisateur et déchiffre le fichier. Par conséquent, une fois qu'un utilisateur exécute la pièce jointe et voit la boîte de dialogue de mot de passe sur SFX, le téléchargeur abandonné par le code malveillant commence à fonctionner même si l'utilisateur choisit Annuler dans la fenêtre de mot de passe. »

Il est maintenant temps de revenir à SymonLoader. Une fois qu'un lecteur USB avec SymonLoader est monté dans l'une des cibles de Tick, il essaie de faire exécuter par l'utilisateur une version Trojanized d'une sorte de logiciel que l'utilisateur voudrait installer dans son environnement. Une fois exécuté, SymonLoader recherche d'autres lecteurs USB sécurisés si et quand ils sont montés dans le système de fichiers.

SymonLoader extrait un fichier exécutable caché à partir d'une clé USB sécurisée spéciale, puis l'exécute. Les chercheurs de l'unité 42 n'ont pas eu de copie du dossier à examiner par eux-mêmes. Mais ils sont assez confiants que Tick est derrière cette attaque car ils ont trouvé un shellcode qui ressemble au shellcode que le groupe était connu pour utiliser auparavant.

SymonLoader vérifie la machine pour sa version de Windows et si elle est plus récente que Windows Server 2003 ou Windows XP, alors il arrête d'essayer de faire autre chose. Windows Vista est sa kryptonite, je suppose. Si le système d'exploitation de la machine est Windows XP ou Windows Server 2003, une fenêtre masquée est exécutée qui vérifie en permanence les lecteurs montés lorsqu'ils font partie du système de fichiers. SymonLoader utilise la commande SCSI INQUIRY pour vérifier si l'un des lecteurs nouvellement montés est du modèle de périphérique spécifiquement sécurisé qu'ils recherchent. Si les paramètres correspondent, SymonLoader extrait alors un fichier inconnu à partir de la clé USB.

On ne sait pas grand-chose d'autre sur le comportement de SymonLoader ou pourquoi, mais L'unité 42 a écrit ceci:

«Bien que nous n'ayons pas de copie du fichier cachée sur la clé USB sécurisée, nous avons plus que suffisamment d'informations pour déterminer qu'il est plus que probablement malveillant. L'armement d'une clé USB sécurisée est une technique peu courante et probablement réalisée dans le but de compromettre les systèmes à espace aérien, qui sont des systèmes qui ne se connectent pas à Internet public. Certaines industries ou organisations sont connues pour l'introduction de l'espacement d'air pour des raisons de sécurité. En outre, les systèmes d'exploitation de version obsolètes sont souvent utilisés dans ces environnements en raison de l'absence de solutions de mise à jour faciles sans connectivité Internet. Lorsque les utilisateurs ne sont pas en mesure de se connecter à des serveurs externes, ils ont tendance à s'appuyer sur des périphériques de stockage physiques, en particulier des clés USB, pour l'échange de données. Le SymonLoader et la clé USB sécurisée décrits dans ce blog peuvent convenir à cette situation. »

C'est un développement et une distribution de logiciels malveillants au niveau de MacGyver. Il serait fascinant et instructif de savoir qui sont les cibles spécifiques de Tick, car il est clair qu'ils veulent vraiment, vraiment quelque chose d'eux.

COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE

Horodatage:

Plus de CyberSécurité Comodo