このダニはエアギャップを飛ぶことができます

このダニはエアギャップを飛ぶことができます

タイムスタンプ:27年2018月12日33:XNUMX PM

マルウェア攻撃 読書の時間: 4

エアギャップマシンとは、非常に安全性が高く、物理的またはデジタル的にネットワークに接続されていないコンピューターのことです。 それらは通常、物理的なアクセスを注意深く監視することで、データセンターやサーバールームでも物理的に厳重に保護されています。 新しいデータをエアギャップマシンに入れるには、通常、サイバー犯罪者は物理的にその施設に侵入し、光ディスク、USBドライブ、または外部ハードディスクなど、何らかの種類の外部またはリムーバブルメディアを攻撃に使用する必要があります。 。 エアギャップされたマシンを使用することは本当に不便なので、コンピュータは通常、非常に機密性の高いデータを処理する場合にのみエアギャップされます。 これにより、攻撃者にとって特に魅力的なターゲットになります。 エアギャップのある機械が財布だったら、それは エルメスホワイトヒマラヤクロコダイルダイヤモンドバーキンバッグ 典型的なクライアントマシンは 最愛のトキドキバッグ。 (ちなみに、ときどきバッグの方が好きです。)

パロアルトネットワークユニット42 エアギャップマシンに対する新しい攻撃の兆候を発見しました。 Tickは、韓国と日本のエンティティをターゲットにしたサイバースパイ集団です。 非常にニッチに従ってUSBドライブを作る韓国の防衛請負業者があります ITセキュリティ認定センター 韓国の公共部門および民間部門の企業顧客のためのガイドライン。 ユニット42は、USBドライブの少なくとも42つに非常に注意深く作成されたマルウェアが存在することを発見しました。 しかし、Unit 42の研究者たちは、侵害されたUSBドライブを物理的に所有していません。 そもそも、外部の当事者がこれらのデバイスの2003つでマルウェアを入手することは困難です。 ユニットXNUMXはマルウェアSymonLoaderを呼び出し、Windows XPおよびWindows Server XNUMXの脆弱性のみを悪用します。

そのため、Tickは、長い間サポートされていないバージョンのWindowsでエアギャップマシンを攻撃しようと試みてきました。 これらのエアギャップマシンの多くはレガシーオペレーティングシステムを実行していますか? TyがSymonLoaderの開発を始める前に、ターゲットが注意深くフィンガープリントを作成した可能性は非常に高いです。

ユニット42が仮定する攻撃シナリオは次のとおりです。 Tickは、これらの厳重に保護されたUSBドライブのいくつかを何らかの形で入手し、侵害しました。 彼らは、SymonLoaderマルウェアにアクセスできるようになるたびにマルウェアを配置します。 侵害されたドライブが対象のエアギャップWindows XPまたはWindows Server 2003マシンにマウントされると、SymonLoaderはそれらのオペレーティングシステムにのみ関連する脆弱性を利用します。 SymonLoaderはメモリ内にありますが、ファイルシステムにマウントされているとしてより安全性の高いUSBドライブが検出された場合、ファイルシステムアクセス用に設計されたAPIを使用して未知の悪意のあるファイルをロードしようとします。 これは、非常に具体的なターゲット用に特別に設計されたマルウェアのサイクルです。 これは、カスタム調整されたオートクチュールWindowsマルウェアです。 それは私のような小さな人々には排他的です! (私はとにかく現在サポートされているLinux Mintを使用しています。)Unit 42は侵害されたドライブを所有していないため、ドライブが感染した方法とターゲットに配信される方法を推測することしかできません。

Tickは正当なアプリケーションをトロイの木馬に変えることが知られています。 Unit 42が書いた内容は次のとおりです ホーマムダウンローダ 去年の夏:

「HomamDownloaderは、技術的な観点から見て、最小限の興味深い特性を持つ小さなダウンローダープログラムです。 HomamDownloaderは、スピアフィッシングメールを介してTickによって配信されることが発見されました。 敵は標的とその行動を理解した後、信頼できるメールと添付ファイルを作成しました…

攻撃者はソーシャルエンジニアリングの電子メール手法に加えて、添付ファイルにトリックを使用します。 攻撃者は、ファイル暗号化ツールによって作成された正当なSFXファイルのリソースセクションに悪意のあるコードを埋め込み、SFXプログラムの開始直後に悪意のあるコードにジャンプするようにプログラムのエントリポイントを変更しました。 悪意のあるコードはHomamDownloaderをドロップしてから、CODEセクションの通常のフローに戻り、ユーザーにパスワードを要求してファイルを復号化します。 したがって、ユーザーが添付ファイルを実行してSFXでパスワードダイアログを確認すると、ユーザーがパスワードウィンドウで[キャンセル]を選択した場合でも、悪意のあるコードによってドロップされたダウンローダーが機能し始めます。

SymonLoaderに戻ります。 SymonLoaderを備えたUSBドライブがTickのターゲットのXNUMXつにマウントされると、ユーザーが環境にインストールしようとするある種のソフトウェアのトロイの木馬化バージョンを使用して、ユーザーに実行を試みます。 実行されると、SymonLoaderは、ファイルシステムにマウントされている場合は、保護されている他のUSBドライブを探します。

SymonLoaderは、特別に保護されたUSBドライブから隠し実行可能ファイルを抽出して実行します。 ユニット42の研究者は、自分で調べるためのファイルのコピーを持っていません。 しかし、彼らはティックがこの攻撃の背後にあることをかなり確信しています。なぜなら、以前にグループが使用することが知られているシェルコードに似たシェルコードを見つけたからです。

SymonLoaderはマシンのWindowsのバージョンをチェックし、それがWindows Server 2003またはWindows XPよりも新しい場合は、他のことは何もしないようにします。 Windows Vistaはそのクリプトナイトです。 マシンのOSがWindows XPまたはWindows Server 2003の場合、隠しウィンドウが実行され、マウントされたドライブがファイルシステムの一部になると、ドライブが継続的にチェックされます。 SymonLoaderは、SCSI INQUIRYコマンドを使用して、新しくマウントされたドライブのいずれかが、探している具体的に保護されたデバイスモデルのものかどうかを確認します。 パラメータが一致する場合、SymonLoaderは次に 未知のファイル USBドライブから。

SymonLoaderの動作やその理由については、あまり知られていませんが、 ユニット42がこれを書いた:

「セキュアUSBに隠されたファイルのコピーはありませんが、悪意がある可能性が高いと判断するのに十分な情報があります。 安全なUSBドライブの武器化は一般的ではない手法であり、エアギャップシステム(公衆インターネットに接続しないシステム)を危険にさらすために行われる可能性があります。 一部の業界または組織は、セキュリティ上の理由からエアギャップを導入することで知られています。 さらに、インターネットに接続せずに簡単に更新できるソリューションがないため、これらの環境では古いバージョンのオペレーティングシステムがよく使用されます。 ユーザーが外部サーバーに接続できない場合、データ交換は物理ストレージデバイス、特にUSBドライブに依存する傾向があります。 このブログで説明されているSymonLoaderとセキュアUSBドライブは、この状況に適している可能性があります。」

これは、MacGyverレベルのマルウェアの開発と配布です。 Tickの特定のターゲットが誰であるかを知ることは、魅力的で明るいものになるでしょう。なぜなら、彼らが本当に何かを本当に望んでいることは明らかだからです。

無料トライアルを開始 インスタントセキュリティのスコアカードを無料で入手

タイムスタンプ:

より多くの Cyber​​Security Comodo