이 진드기는 에어 갭을 통해 날 수 있습니다

이 진드기는 에어 갭을 통해 날 수 있습니다

타임 스탬프 : 27 년 2018 월 12 일 오후 33:XNUMX

맬웨어 공격 읽기 시간 : 4

에어 갭 시스템은 네트워크에 물리적 또는 디지털로 연결되지 않도록 매우 안전하게 컴퓨터입니다. 또한 일반적으로 신중하게 모니터링되는 물리적 액세스를 통해 데이터 센터 및 서버 룸에서 물리적으로 크게 보호됩니다. 에어 갭 시스템에 새로운 데이터를 넣으려면 일반적으로 사이버 범죄자는 물리적 인 시설을 물리적으로 침해하고 광 디스크, USB 드라이브 또는 외부 하드 디스크와 같은 외부 또는 이동식 미디어를 공격에 사용해야합니다. . 에어 갭 시스템을 사용하는 것은 실제로 불편하므로 컴퓨터는 매우 민감한 데이터를 처리하는 경우에만 에어 갭됩니다. 따라서 공격자에게 특히 매력적인 대상입니다. 에어 갭이있는 기계가 지갑 인 경우 에르메스 화이트 히말라야 크로커다일 다이아몬드 버킨 백 반면 일반적인 클라이언트 시스템은 내 사랑하는 Tokidoki 가방 중 하나. (저는 토키 도키 백을 선호합니다.)

팔로 알토 네트웍스 유닛 42 에어 갭 시스템에 대한 새로운 공격의 징후를 발견했습니다. 틱은 한국과 일본의 단체를 대상으로 한 사이버 스파이 그룹입니다. 틈새 시장에 따라 USB 드라이브를 만드는 한국 국방 계약자 IT 보안 인증 센터 한국 공공 부문 및 민간 기업 고객을위한 지침. 유닛 42는 적어도 하나의 USB 드라이브가 매우 조심스럽게 만들어진 악성 코드를 가지고 있음을 발견했습니다. 그러나 Unit 42 연구원은 손상된 USB 드라이브를 물리적으로 소유하지 않았습니다. 외부 당사자가 먼저 이러한 장치 중 하나에서 맬웨어를 얻는 것이 어려워 야합니다. Unit 42는 맬웨어 SymonLoader를 호출하며 Windows XP 및 Windows Server 2003 취약성을 악용합니다.

따라서 Tick은 오랫동안 지원되지 않은 Windows 버전의 에어 갭 시스템을 공격하려고 시도했습니다. 이러한 에어 갭 머신이 레거시 운영 체제를 실행합니까? Tick은 SymonLoader 개발을 시작하기 전에 대상을 신중하게 지문 처리했을 가능성이 높습니다.

Unit 42가 가정 한 공격 시나리오는 다음과 같습니다. 틱은 어떻게 든 강력하게 보호 된 USB 드라이브 중 일부를 획득하고 손상 시켰습니다. 그들은 SymonLoader 악성 코드를 액세스 할 수있을 때마다 그들에게 배치합니다. 손상된 드라이브가 대상 에어 갭 Windows XP 또는 Windows Server 2003 시스템에 탑재되면 SymonLoader는 해당 운영 체제에만 해당하는 취약점을 악용합니다. SymonLoader가 메모리에있는 동안 파일 시스템에 마운트 된 것으로 더 강력하게 보호 된 USB 드라이브가 감지되면 파일 시스템 액세스 용으로 설계된 API를 사용하여 알 수없는 악성 파일을로드하려고 시도합니다. 매우 특정한 대상을 위해 특별히 설계된 악성 코드의주기입니다! 맞춤형 오트 쿠튀르 Windows 악성 코드입니다! 나 같은 작은 사람들에게는 너무 배타적입니다! (어쨌든 현재 지원되는 Linux Mint를 사용합니다.) Unit 42에는 손상된 드라이브가 없기 때문에 드라이브가 감염된 방식과 대상에 전달되는 방식 만 추측 할 수 있습니다.

Tick은 합법적 인 응용 프로그램을 트로이 목마로 바꾸는 것으로 알려져 있습니다. Unit 42가 쓴 내용은 다음과 같습니다. Homam 다운로드 지난 여름:

“HomamDownloader는 기술적 인 관점에서 볼 때 흥미로운 특징이 거의없는 소형 다운로더 프로그램입니다. HomamDownloader는 Tick이 스피어 피싱 이메일을 통해 전달한 것으로 밝혀졌습니다. 공격자들은 목표와 그들의 행동을 이해 한 후 믿을만한 이메일과 첨부 파일을 만들었습니다.

공격자는 사회 공학 이메일 기술 외에도 첨부 파일에 대한 트릭을 사용합니다. 행위자는 파일 암호화 도구로 생성 된 합법적 인 SFX 파일의 리소스 섹션에 악성 코드를 포함시키고 SFX 프로그램이 시작된 직후 악성 코드로 점프하도록 프로그램의 진입 점을 수정했습니다. 악성 코드는 HomamDownloader를 삭제 한 다음 CODE 섹션의 일반 흐름으로 되돌아가 사용자에게 암호를 묻고 파일을 해독합니다. 따라서 사용자가 첨부 파일을 실행하고 SFX에서 암호 대화 상자가 표시되면 사용자가 암호 창에서 취소를 선택하더라도 악성 코드에 의해 삭제 된 다운로더가 작동하기 시작합니다.”

이제 SymonLoader로 돌아갈 차례입니다. SymonLoader가있는 USB 드라이브가 Tick의 대상 중 하나에 마운트되면 사용자가 자신의 환경에 설치하려는 일종의 소프트웨어 트로이 목마 버전을 사용하여 사용자가 USB 드라이브를 실행하게합니다. SymonLoader는 일단 실행되면 파일 시스템에 마운트 된 다른 보안 USB 드라이브를 찾습니다.

SymonLoader는 특수 보안 USB 드라이브에서 숨겨진 실행 파일을 추출한 다음 실행합니다. 단원 42 연구자들은 스스로 조사 할 파일 사본이 없었습니다. 그러나 Tick은 그룹이 이전에 사용했던 것으로 알려진 쉘 코드와 유사한 쉘 코드를 발견했기 때문에이 공격의 배후에 있다고 확신합니다.

SymonLoader는 컴퓨터에서 Windows 버전을 확인하고 Windows Server 2003 또는 Windows XP보다 최신 버전이면 다른 작업을 중지합니다. Windows Vista는 크립토나이트라고 생각합니다. 머신의 OS가 Windows XP 또는 Windows Server 2003 인 경우 숨겨진 드라이브가 실행되어 마운트 된 드라이브가 파일 시스템의 일부가 될 때 지속적으로 검사합니다. SymonLoader는 SCSI INQUIRY 명령을 사용하여 새로 마운트 된 드라이브가 원하는 보안 장치 모델인지 확인합니다. 매개 변수가 일치하면 SymonLoader는 알 수없는 파일 USB 드라이브에서.

SymonLoader의 작동 방식 또는 이유에 대해 알려진 것은 많지 않지만 Unit 42 님이 작성했습니다:

“보안 USB에 파일 사본이 숨겨져 있지는 않지만 악의적 인 것으로 판단하기에 충분한 정보가 있습니다. 안전한 USB 드라이브를 무기화하는 것은 흔한 일이 아니며 공중 인터넷에 연결되지 않는 시스템 인 에어 갭 시스템을 손상시키기위한 노력으로 수행 될 수 있습니다. 일부 산업 또는 조직은 보안상의 이유로 에어 갭을 도입하는 것으로 알려져 있습니다. 또한 인터넷 연결이없는 간편한 업데이트 솔루션이 없기 때문에 구식 버전 운영 체제가 이러한 환경에서 자주 사용됩니다. 사용자가 외부 서버에 연결할 수없는 경우 데이터 교환을 위해 물리적 저장 장치, 특히 USB 드라이브에 의존하는 경향이 있습니다. 이 블로그에서 논의 된 SymonLoader 및 보안 USB 드라이브는이 상황에 적합 할 수 있습니다.”

그것은 MacGyver 수준의 맬웨어 개발 및 배포입니다. Tick의 특정 목표가 누구인지 아는 것은 흥미롭고 밝을 것입니다. 왜냐하면 그들이 정말로, 정말로 무언가를 원한다는 것이 분명하기 때문입니다.

무료 평가판 시작 인스턴트 보안 점수를 무료로 받으십시오

타임 스탬프 :

더보기 사이버 보안 코모도