Waktu Membaca: 4 menit
Mesin airgapped adalah komputer yang sangat aman sehingga tidak memiliki koneksi fisik atau digital ke jaringan apa pun. Mereka biasanya juga sangat aman secara fisik di pusat data dan ruang server dengan akses fisik yang dipantau dengan cermat. Untuk memasukkan data baru ke dalam mesin ber-udara, biasanya cybercriminal harus secara fisik melanggar fasilitas yang ada di dalamnya dan menggunakan semacam media eksternal atau yang dapat dilepas untuk serangan mereka, seperti cakram optik, drive USB, atau hard disk eksternal . Menggunakan mesin airgapped sangat merepotkan, jadi komputer biasanya hanya airgapped jika mereka menangani data yang sangat, sangat sensitif. Itu membuat mereka target yang sangat menarik bagi penyerang. Jika mesin airgapped adalah dompet, itu akan menjadi Hermรจs Himalaya putih, berlian, tas Birkin sedangkan mesin klien khas akan salah satu tas Tokidoki kesayanganku. (Omong-omong, saya lebih suka tas Tokidoki saya.)
Unit Jaringan Palo Alto 42 menemukan tanda-tanda serangan baru untuk mesin yang diapit udara. Tick โโadalah grup cyberespionage yang menargetkan entitas di Korea Selatan dan Jepang. Ada kontraktor pertahanan Korea yang membuat drive USB sesuai dengan ceruk pasar Pusat Sertifikasi Keamanan TI pedoman untuk klien sektor publik dan perusahaan sektor swasta Korea. Unit 42 menemukan bahwa setidaknya satu dari drive USB memiliki malware yang dibuat dengan sangat hati-hati. Tetapi para peneliti Unit 42 secara fisik tidak memiliki drive USB yang dikompromikan. Seharusnya sulit bagi pihak eksternal untuk mendapatkan malware di salah satu perangkat tersebut. Unit 42 memanggil malware SymonLoader, dan secara eksklusif mengeksploitasi kerentanan Windows XP dan Windows Server 2003.
Jadi Tick telah mencoba untuk menyerang mesin airgapped dengan versi Windows yang sudah lama tidak didukung. Apakah banyak dari mesin airgapped ini menjalankan sistem operasi lama? Sangat mungkin bahwa Tick hati-hati mengecek target mereka sebelum mereka mulai mengembangkan SymonLoader.
Inilah skenario serangan yang dihipotesiskan oleh Unit 42. Centang, entah bagaimana, mengakuisisi dan membahayakan beberapa drive USB yang sangat aman ini. Mereka menempatkan malware SymonLoader pada mereka kapan pun mereka bisa mendapatkan akses ke sana. Setelah drive yang dikompromikan dipasang ke mesin Windows XP atau Windows Server 2003 yang ditargetkan melalui udara, SymonLoader mengeksploitasi kerentanan yang hanya berkaitan dengan sistem operasi tersebut. Ketika SymonLoader ada dalam memori, jika drive USB yang lebih aman terdeteksi sebagai terpasang ke sistem file, itu akan mencoba memuat file berbahaya yang tidak dikenal menggunakan API yang dirancang untuk akses sistem file. Ini adalah siklus malware yang dirancang sangat khusus untuk target yang sangat spesifik! Ini adalah haute couture yang dirancang khusus untuk malware Windows! Itu terlalu eksklusif untuk orang kecil seperti saya! (Saya tetap menggunakan Linux Mint yang saat ini didukung.) Karena Unit 42 tidak memiliki drive yang dikompromikan, mereka hanya dapat berspekulasi bagaimana drive telah terinfeksi dan bagaimana mereka dikirim ke target mereka.
Centang telah dikenal untuk mengubah aplikasi yang sah menjadi Trojan. Inilah yang ditulis Unit 42 tentang Pengunduh Homam musim panas terakhir:
โHomamDownloader adalah program pengunduh kecil dengan karakteristik menarik minimal dari sudut pandang teknis. HomamDownloader ditemukan dikirim oleh Tick melalui email spearphishing. Musuh membuat email dan lampiran yang kredibel setelah memahami target dan perilaku mereka ...
Selain teknik email social engineering, penyerang juga menggunakan trik lampiran. Aktor menyematkan kode jahat ke bagian sumber daya dari file SFX yang sah yang dibuat oleh alat enkripsi file, dan memodifikasi titik masuk program untuk melompat ke kode berbahaya segera setelah program SFX dimulai. Kode berbahaya menjatuhkan HomamDownloader, kemudian melompat kembali ke aliran reguler di bagian CODE, yang pada gilirannya meminta pengguna kata sandi dan mendekripsi file. Oleh karena itu, setelah pengguna mengeksekusi lampiran dan melihat dialog kata sandi di SFX, pengunduh yang dijatuhkan oleh kode jahat mulai berfungsi bahkan jika pengguna memilih Batal pada jendela kata sandi. โ
Sekarang saatnya untuk kembali ke SymonLoader. Setelah drive USB dengan SymonLoader dipasang ke salah satu target Tick, ia mencoba membuat pengguna menjalankannya dengan menggunakan versi Trojan dari beberapa jenis perangkat lunak yang ingin dipasang oleh pengguna di lingkungan mereka. Setelah dijalankan, SymonLoader mencari drive USB aman lainnya jika dan ketika mereka dipasang ke sistem file.
SymonLoader mengekstrak file yang dapat dieksekusi yang tersembunyi dari drive USB yang diamankan khusus dan kemudian menjalankannya. Peneliti Unit 42 belum memiliki salinan file untuk diperiksa sendiri. Tetapi mereka cukup yakin bahwa Tick berada di balik serangan ini karena mereka telah menemukan shellcode yang menyerupai shellcode yang sebelumnya diketahui telah digunakan oleh grup.
SymonLoader memeriksa mesin untuk versi Windows-nya dan jika itu lebih baru dari Windows Server 2003 atau Windows XP, maka berhenti mencoba melakukan hal lain. Windows Vista adalah kryptonite-nya, kurasa. Jika OS mesin adalah Windows XP atau Windows Server 2003, maka jendela tersembunyi dijalankan yang terus-menerus memeriksa drive terpasang karena mereka menjadi bagian dari sistem file. SymonLoader menggunakan perintah SCSI INQUIRY untuk memverifikasi apakah ada drive yang baru dipasang adalah model perangkat yang diamankan khusus yang mereka cari. Jika parameternya cocok, SymonLoader kemudian mengekstrak file yang tidak diketahui dari drive USB.
Tidak banyak yang diketahui tentang bagaimana perilaku SymonLoader atau mengapa, tetapi Unit 42 menulis ini:
โMeskipun kami tidak memiliki salinan file yang disembunyikan di USB yang aman, kami memiliki lebih dari cukup informasi untuk menentukan bahwa itu kemungkinan besar berbahaya. Mempersiapkan USB drive yang aman adalah teknik yang tidak biasa dan kemungkinan dilakukan dalam upaya untuk mengkompromikan sistem yang ditembus udara, yang merupakan sistem yang tidak terhubung ke internet publik. Beberapa industri atau organisasi dikenal karena memperkenalkan celah udara untuk alasan keamanan. Selain itu, sistem operasi versi lama sering digunakan di lingkungan tersebut karena tidak ada solusi yang mudah diperbarui tanpa konektivitas internet. Ketika pengguna tidak dapat terhubung ke server eksternal, mereka cenderung bergantung pada perangkat penyimpanan fisik, terutama drive USB, untuk pertukaran data. SymonLoader dan USB drive aman yang dibahas dalam blog ini mungkin cocok untuk keadaan ini. "
Itulah beberapa pengembangan dan distribusi malware tingkat MacGyver. Akan sangat menarik dan menerangi untuk mengetahui siapa target spesifik Tick, karena jelas bahwa mereka benar-benar menginginkan sesuatu dari mereka.
MULAI PERCOBAAN GRATIS DAPATKAN SCORECARD KEAMANAN INSTAN ANDA GRATIS
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- Sanggup
- Tentang Kami
- mengakses
- Menurut
- memperoleh
- diperoleh
- tambahan
- Setelah
- UDARA
- dan
- Lebah
- aplikasi
- menyerang
- Serangan
- menarik
- kembali
- tas
- karena
- menjadi
- sebelum
- di belakang
- tercinta
- Blog
- pelanggaran
- Panggilan
- hati-hati
- Sertifikasi
- karakteristik
- Cek
- jelas
- klien
- CNBC
- kode
- kode turun
- kompromi
- Dikompromikan
- komputer
- komputer
- yakin
- Terhubung
- Koneksi
- Konektivitas
- terus menerus
- Kontraktor
- dibuat
- kredibel
- Sekarang
- adat
- PENJAHAT SIBER
- data
- Pertukaran data
- Pertahanan
- disampaikan
- dirancang
- terdeteksi
- Menentukan
- berkembang
- Pengembangan
- alat
- Devices
- dialog
- Diamond
- sulit
- digital
- ditemukan
- dibahas
- distribusi
- Tidak
- mendorong
- menjatuhkan
- Tetes
- usaha
- tertanam
- mempekerjakan
- enkripsi
- Teknik
- cukup
- Enterprise
- entitas
- masuk
- Lingkungan Hidup
- lingkungan
- terutama
- Bahkan
- Acara
- pERNAH
- Pasar Valas
- Eksklusif
- khusus
- menjalankan
- Laksanakan
- eksploitasi
- luar
- Ekstrak
- Fasilitas
- sangat menarik
- File
- Pertama
- cocok
- aliran
- ditemukan
- Gratis
- dari
- mendapatkan
- Kelompok
- pedoman
- menangani
- Sulit
- berat
- Tersembunyi
- sangat
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTML
- HTTPS
- in
- industri
- informasi
- install
- saat
- menarik
- Internet
- memperkenalkan
- IT
- Jepang
- melompat
- Tahu
- dikenal
- Korea
- Korea
- Terakhir
- Warisan
- Mungkin
- linux
- sedikit
- memuat
- Panjang
- lama
- mencari
- TERLIHAT
- Lot
- mesin
- Mesin
- MEMBUAT
- malware
- cocok
- Media
- Memori
- minimal
- permen
- model
- dimodifikasi
- dipantau
- lebih
- jaringan
- New
- ONE
- operasi
- sistem operasi
- organisasi
- OS
- Lainnya
- parameter
- bagian
- khususnya
- pihak
- Kata Sandi
- Konsultan Ahli
- fisik
- Secara fisik
- Tempat
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- Sudut pandang
- milik
- lebih suka
- cukup
- sebelumnya
- swasta
- sektor swasta
- program
- publik
- menempatkan
- alasan
- reguler
- peneliti
- menyerupai
- sumber
- kembali
- kamar
- Run
- kartu skor
- Bagian
- sektor
- aman
- Dijamin
- keamanan
- melihat
- peka
- Server
- harus
- Tanda
- kecil
- So
- Sosial
- Rekayasa Sosial
- Perangkat lunak
- Solusi
- beberapa
- sesuatu
- Selatan
- Korea Selatan
- khusus
- tertentu
- Secara khusus
- mulai
- dimulai
- Berhenti
- penyimpanan
- seperti itu
- musim panas
- Didukung
- sistem
- sistem
- disesuaikan
- ditargetkan
- target
- Teknis
- Grafik
- mereka
- diri
- karena itu
- Melalui
- waktu
- untuk
- terlalu
- alat
- MENGHIDUPKAN
- khas
- khas
- Luar biasa
- pemahaman
- satuan
- usb
- Drive USB
- menggunakan
- Pengguna
- Pengguna
- biasanya
- memeriksa
- versi
- melalui
- View
- Kerentanan
- Apa
- yang
- sementara
- putih
- SIAPA
- Windows
- tanpa
- kerja
- akan
- xp
- Anda
- zephyrnet.dll
