Questo segno di spunta può volare attraverso i gap d'aria

Questo segno di spunta può volare attraverso i gap d'aria

Timestamp: 27 giugno 2018 12:33

attacchi di malware Momento della lettura: 4 verbale

Una macchina airgapped è un computer così fortemente protetto che non ha connessioni fisiche o digitali a nessuna rete. Di solito sono anche fortemente protetti fisicamente nei data center e nelle sale server con accesso fisico attentamente monitorato. Per inserire nuovi dati in una macchina airgap, in genere un criminale informatico dovrebbe violare fisicamente la struttura in cui si trova e utilizzare una sorta di supporto esterno o rimovibile per il loro attacco, come un disco ottico, un'unità USB o un disco rigido esterno . L'uso di macchine con airgap è davvero scomodo, quindi i computer sono generalmente airgapped solo se gestiscono dati molto, molto sensibili. Ciò li rende particolarmente attraenti per gli attaccanti. Se una macchina airgapped fosse una borsa, sarebbe una Borsa Birkin Hermès in coccodrillo Himalaya bianco diamante mentre sarebbe una tipica macchina client una delle mie amate borse Tokidoki. (Preferisco di gran lunga le mie borse Tokidoki, comunque.)

Unità reti Palo Alto 42 ha scoperto i segni di un nuovo attacco per macchine airgapped. Tick ​​è un gruppo di cyberespionage che ha preso di mira entità in Corea del Sud e Giappone. C'è un appaltatore della difesa coreana che produce unità USB secondo una nicchia molto ampia Centro di certificazione di sicurezza IT linee guida per la clientela coreana del settore pubblico e del settore privato. L'Unità 42 ha scoperto che almeno una delle unità USB ha creato malware con molta attenzione. Ma i ricercatori dell'Unità 42 non hanno posseduto fisicamente nessuna delle unità USB compromesse. In primo luogo, dovrebbe essere difficile per una parte esterna ottenere malware su uno di quei dispositivi. L'unità 42 chiama il malware SymonLoader e sfrutta esclusivamente le vulnerabilità di Windows XP e Windows Server 2003.

Quindi Tick ha cercato di attaccare le macchine airgapped con versioni di Windows che non sono supportate da molto tempo. Molte di queste macchine con airgap eseguono sistemi operativi legacy? È altamente probabile che Tick abbia accuratamente impresso le impronte digitali sui propri obiettivi prima che iniziassero a sviluppare SymonLoader.

Ecco lo scenario di attacco ipotizzato dall'Unità 42. Spuntare in qualche modo acquisito e compromesso alcune di queste unità USB fortemente protette. Mettono il loro malware SymonLoader su di loro ogni volta che possono acquisirne l'accesso. Una volta che un'unità compromessa viene montata su un computer Windows XP o Windows Server 2003 con airgap mirato, SymonLoader sfrutta le vulnerabilità che riguardano solo quei sistemi operativi. Mentre SymonLoader è in memoria, se vengono rilevate unità USB più sicure come montate sul file system, tenterà di caricare il file dannoso sconosciuto utilizzando le API progettate per l'accesso al file system. È il ciclo di malware appositamente progettato per obiettivi molto specifici! È un malware per Windows haute couture su misura! È troppo esclusivo per le piccole persone come me! (Uso comunque Linux Mint attualmente supportato.) Poiché l'Unità 42 non possiede alcuna delle unità compromesse in suo possesso, può solo speculare su come le unità sono state infettate e su come vengono consegnate ai loro obiettivi.

Tick ​​è noto per trasformare le applicazioni legittime in trojan. Ecco di cosa ha scritto l'Unità 42 Homam Downloader la scorsa estate:

“HomamDownloader è un piccolo programma per il download con caratteristiche minime interessanti dal punto di vista tecnico. È stato scoperto che HomamDownloader è stato consegnato da Tick tramite un'e-mail di spearphishing. L'avversario ha creato e-mail e allegati credibili dopo aver compreso gli obiettivi e il loro comportamento ...

Oltre alla tecnica e-mail di ingegneria sociale, l'attaccante impiega anche un trucco per l'allegato. L'attore ha incorporato il codice dannoso in una sezione delle risorse del file SFX legittimo creato da uno strumento di crittografia dei file e ha modificato il punto di ingresso del programma per passare al codice dannoso subito dopo l'avvio del programma SFX. Il codice dannoso rilascia HomamDownloader, quindi torna al flusso regolare nella sezione CODICE, che a sua volta chiede all'utente la password e decodifica il file. Pertanto, una volta che un utente esegue l'allegato e vede la finestra di dialogo della password su SFX, il downloader rilasciato dal codice dannoso inizia a funzionare anche se l'utente sceglie Annulla nella finestra della password. "

Ora è il momento di tornare a SymonLoader. Una volta che un'unità USB con SymonLoader è montata in uno dei target di Tick, tenta di far eseguire l'utente utilizzando una versione Trojan di un tipo di software che l'utente vorrebbe installare nel proprio ambiente. Una volta eseguito, SymonLoader cerca altre unità USB protette se e quando sono montate nel file system.

SymonLoader estrae un file eseguibile nascosto da una speciale unità USB protetta e quindi lo esegue. I ricercatori dell'Unità 42 non hanno avuto una copia del file da esaminare da soli. Ma sono abbastanza fiduciosi che Tick sia dietro questo attacco perché hanno trovato shellcode che ricorda shellcode che il gruppo era precedentemente noto per usare.

SymonLoader controlla la macchina per la sua versione di Windows e se è più recente di Windows Server 2003 o Windows XP, smette di provare a fare qualsiasi altra cosa. Windows Vista è la sua kryptonite, immagino. Se il sistema operativo della macchina è Windows XP o Windows Server 2003, viene eseguita una finestra nascosta che controlla continuamente le unità montate man mano che diventano parte del file system. SymonLoader utilizza il comando SCSI INQUIRY per verificare se una delle unità appena montate è del modello di dispositivo specificamente protetto che stanno cercando. Se i parametri vengono mai trovati, SymonLoader estrae quindi un file sconosciuto dall'unità USB.

Non si sa molto su come si comporta SymonLoader o perché, ma L'Unità 42 ha scritto questo:

"Anche se non abbiamo una copia del file nascosta nell'USB sicuro, disponiamo di informazioni più che sufficienti per determinare che è più che probabile dannoso. L'arma su un'unità USB sicura è una tecnica non comune e probabilmente eseguita nel tentativo di compromettere i sistemi airgapped, che sono sistemi che non si collegano a Internet pubblica. Alcuni settori o organizzazioni sono noti per l'introduzione del gap aereo per motivi di sicurezza. Inoltre, in tali ambienti vengono spesso utilizzati sistemi operativi con versioni obsolete a causa della mancanza di soluzioni di facile aggiornamento senza connettività Internet. Quando gli utenti non sono in grado di connettersi a server esterni, tendono a fare affidamento su dispositivi di archiviazione fisici, in particolare unità USB, per lo scambio di dati. SymonLoader e l'unità USB sicura discussi in questo blog potrebbero adattarsi a questa circostanza. "

Questo è un po 'di sviluppo e distribuzione di malware a livello di MacGyver. Sarebbe affascinante e illuminante sapere chi sono gli obiettivi specifici di Tick, perché è chiaro che vogliono davvero qualcosa da loro.

INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE

Timestamp:

Di più da Sicurezza informatica Comodo