読書の時間: 4 分
エアギャップマシンとは、非常に安全性が高く、物理的またはデジタル的にネットワークに接続されていないコンピューターのことです。 それらは通常、物理的なアクセスを注意深く監視することで、データセンターやサーバールームでも物理的に厳重に保護されています。 新しいデータをエアギャップマシンに入れるには、通常、サイバー犯罪者は物理的にその施設に侵入し、光ディスク、USBドライブ、または外部ハードディスクなど、何らかの種類の外部またはリムーバブルメディアを攻撃に使用する必要があります。 。 エアギャップされたマシンを使用することは本当に不便なので、コンピュータは通常、非常に機密性の高いデータを処理する場合にのみエアギャップされます。 これにより、攻撃者にとって特に魅力的なターゲットになります。 エアギャップのある機械が財布だったら、それは エルメスホワイトヒマラヤクロコダイルダイヤモンドバーキンバッグ 典型的なクライアントマシンは 最愛のトキドキバッグ。 (ちなみに、ときどきバッグの方が好きです。)
パロアルトネットワークユニット42 エアギャップマシンに対する新しい攻撃の兆候を発見しました。 Tickは、韓国と日本のエンティティをターゲットにしたサイバースパイ集団です。 非常にニッチに従ってUSBドライブを作る韓国の防衛請負業者があります ITセキュリティ認定センター 韓国の公共部門および民間部門の企業顧客のためのガイドライン。 ユニット42は、USBドライブの少なくとも42つに非常に注意深く作成されたマルウェアが存在することを発見しました。 しかし、Unit 42の研究者たちは、侵害されたUSBドライブを物理的に所有していません。 そもそも、外部の当事者がこれらのデバイスの2003つでマルウェアを入手することは困難です。 ユニットXNUMXはマルウェアSymonLoaderを呼び出し、Windows XPおよびWindows Server XNUMXの脆弱性のみを悪用します。
そのため、Tickは、長い間サポートされていないバージョンのWindowsでエアギャップマシンを攻撃しようと試みてきました。 これらのエアギャップマシンの多くはレガシーオペレーティングシステムを実行していますか? TyがSymonLoaderの開発を始める前に、ターゲットが注意深くフィンガープリントを作成した可能性は非常に高いです。
ユニット42が仮定する攻撃シナリオは次のとおりです。 Tickは、これらの厳重に保護されたUSBドライブのいくつかを何らかの形で入手し、侵害しました。 彼らは、SymonLoaderマルウェアにアクセスできるようになるたびにマルウェアを配置します。 侵害されたドライブが対象のエアギャップWindows XPまたはWindows Server 2003マシンにマウントされると、SymonLoaderはそれらのオペレーティングシステムにのみ関連する脆弱性を利用します。 SymonLoaderはメモリ内にありますが、ファイルシステムにマウントされているとしてより安全性の高いUSBドライブが検出された場合、ファイルシステムアクセス用に設計されたAPIを使用して未知の悪意のあるファイルをロードしようとします。 これは、非常に具体的なターゲット用に特別に設計されたマルウェアのサイクルです。 これは、カスタム調整されたオートクチュールWindowsマルウェアです。 それは私のような小さな人々には排他的です! (私はとにかく現在サポートされているLinux Mintを使用しています。)Unit 42は侵害されたドライブを所有していないため、ドライブが感染した方法とターゲットに配信される方法を推測することしかできません。
Tickは正当なアプリケーションをトロイの木馬に変えることが知られています。 Unit 42が書いた内容は次のとおりです ホーマムダウンローダ 去年の夏:
「HomamDownloaderは、技術的な観点から見て、最小限の興味深い特性を持つ小さなダウンローダープログラムです。 HomamDownloaderは、スピアフィッシングメールを介してTickによって配信されることが発見されました。 敵は標的とその行動を理解した後、信頼できるメールと添付ファイルを作成しました…
攻撃者はソーシャルエンジニアリングの電子メール手法に加えて、添付ファイルにトリックを使用します。 攻撃者は、ファイル暗号化ツールによって作成された正当なSFXファイルのリソースセクションに悪意のあるコードを埋め込み、SFXプログラムの開始直後に悪意のあるコードにジャンプするようにプログラムのエントリポイントを変更しました。 悪意のあるコードはHomamDownloaderをドロップしてから、CODEセクションの通常のフローに戻り、ユーザーにパスワードを要求してファイルを復号化します。 したがって、ユーザーが添付ファイルを実行してSFXでパスワードダイアログを確認すると、ユーザーがパスワードウィンドウで[キャンセル]を選択した場合でも、悪意のあるコードによってドロップされたダウンローダーが機能し始めます。
SymonLoaderに戻ります。 SymonLoaderを備えたUSBドライブがTickのターゲットのXNUMXつにマウントされると、ユーザーが環境にインストールしようとするある種のソフトウェアのトロイの木馬化バージョンを使用して、ユーザーに実行を試みます。 実行されると、SymonLoaderは、ファイルシステムにマウントされている場合は、保護されている他のUSBドライブを探します。
SymonLoaderは、特別に保護されたUSBドライブから隠し実行可能ファイルを抽出して実行します。 ユニット42の研究者は、自分で調べるためのファイルのコピーを持っていません。 しかし、彼らはティックがこの攻撃の背後にあることをかなり確信しています。なぜなら、以前にグループが使用することが知られているシェルコードに似たシェルコードを見つけたからです。
SymonLoaderはマシンのWindowsのバージョンをチェックし、それがWindows Server 2003またはWindows XPよりも新しい場合は、他のことは何もしないようにします。 Windows Vistaはそのクリプトナイトです。 マシンのOSがWindows XPまたはWindows Server 2003の場合、隠しウィンドウが実行され、マウントされたドライブがファイルシステムの一部になると、ドライブが継続的にチェックされます。 SymonLoaderは、SCSI INQUIRYコマンドを使用して、新しくマウントされたドライブのいずれかが、探している具体的に保護されたデバイスモデルのものかどうかを確認します。 パラメータが一致する場合、SymonLoaderは次に 未知のファイル USBドライブから。
SymonLoaderの動作やその理由については、あまり知られていませんが、 ユニット42がこれを書いた:
「セキュアUSBに隠されたファイルのコピーはありませんが、悪意がある可能性が高いと判断するのに十分な情報があります。 安全なUSBドライブの武器化は一般的ではない手法であり、エアギャップシステム(公衆インターネットに接続しないシステム)を危険にさらすために行われる可能性があります。 一部の業界または組織は、セキュリティ上の理由からエアギャップを導入することで知られています。 さらに、インターネットに接続せずに簡単に更新できるソリューションがないため、これらの環境では古いバージョンのオペレーティングシステムがよく使用されます。 ユーザーが外部サーバーに接続できない場合、データ交換は物理ストレージデバイス、特にUSBドライブに依存する傾向があります。 このブログで説明されているSymonLoaderとセキュアUSBドライブは、この状況に適している可能性があります。」
これは、MacGyverレベルのマルウェアの開発と配布です。 Tickの特定のターゲットが誰であるかを知ることは、魅力的で明るいものになるでしょう。なぜなら、彼らが本当に何かを本当に望んでいることは明らかだからです。
無料トライアルを開始 インスタントセキュリティのスコアカードを無料で入手
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- できる
- 私たちについて
- アクセス
- 従った
- 取得する
- 取得
- 添加
- 後
- 空気
- および
- API
- 攻撃
- 攻撃
- 魅力的
- バック
- バッグ
- なぜなら
- になる
- 背後に
- 愛する
- ブログ
- 違反
- コール
- 慎重に
- 認証
- 特性
- 小切手
- クリア
- クライアント
- CNBC
- コード
- コードドロップ
- 妥協
- 損害を受けた
- コンピュータ
- コンピューター
- 確信して
- お問合せ
- Connections
- 接続性
- 連続的に
- 請負業者
- 作成した
- 信頼できる
- 現在
- カスタム
- サイバー犯罪者
- データ
- データ交換
- 防衛
- 配信
- 設計
- 検出された
- 決定する
- 開発
- 開発
- デバイス
- Devices
- 対話
- ダイヤモンド
- 難しい
- デジタル
- 発見
- 議論する
- ディストリビューション
- そうではありません
- ドライブ
- 落とした
- ドロップス
- 努力
- 埋め込まれた
- 従業員
- 暗号化
- エンジニアリング
- 十分な
- Enterprise
- エンティティ
- エントリ
- 環境
- 環境
- 特に
- さらに
- イベント
- EVER
- 交換
- 特別
- 排他的に
- 実行します
- 実行する
- エクスプロイト
- 外部
- 抽出物
- 施設
- 魅惑的な
- File
- 名
- フィット
- フロー
- 発見
- 無料版
- から
- 取得する
- グループ
- ガイドライン
- ハンドル
- ハード
- 重く
- 隠されました
- 非常に
- 認定条件
- HTML
- HTTPS
- in
- 産業
- 情報
- install
- インスタント
- 興味深い
- インターネット
- 導入
- IT
- 日本
- ジャンプ
- 知っている
- 既知の
- 韓国
- 韓国語
- 姓
- Legacy
- 可能性が高い
- linuxの
- 少し
- 負荷
- 長い
- 長い時間
- 探して
- LOOKS
- たくさん
- 機械
- マシン
- 作る
- マルウェア
- マッチ
- メディア
- メモリ
- 最小限の
- ミント
- 修正されました
- 監視対象
- 他には?
- ネットワーク
- 新作
- ONE
- オペレーティング
- OS
- 組織
- OS
- その他
- パラメータ
- 部
- 特に
- パーティー
- パスワード
- のワークプ
- 物理的な
- 物理的に
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- 視点
- 所持
- 好む
- かなり
- 前に
- プライベート
- 民間企業
- 演奏曲目
- 公共
- 置きます
- 理由は
- レギュラー
- 研究者
- 似てる
- リソースを追加する。
- return
- 客室
- ラン
- スコアカード
- セクション
- セクター
- 安全に
- セキュア
- セキュリティ
- 見て
- 敏感な
- サーバー
- すべき
- サイン
- 小さい
- So
- 社会
- ソーシャルエンジニアリング
- ソフトウェア
- ソリューション
- 一部
- 何か
- サウス
- 韓国
- 特別
- 特定の
- 特に
- 開始
- 開始
- 停止する
- ストレージ利用料
- そのような
- 夏
- サポート
- システム
- テーラード
- 対象となります
- ターゲット
- 技術的
- アプリ環境に合わせて
- 自分自身
- したがって、
- 介して
- 時間
- 〜へ
- あまりに
- ツール
- 順番
- 典型的な
- 一般的に
- アンコモン
- 理解する
- 単位
- USB
- USBドライブ
- つかいます
- ユーザー
- users
- 通常
- 確認する
- バージョン
- 、
- 詳しく見る
- 脆弱性
- この試験は
- which
- while
- 白
- 誰
- ウィンドウズ
- 無し
- ワーキング
- でしょう
- xp
- あなたの
- ゼファーネット