Deze teek kan door Airgaps vliegen

Leestijd: 4 minuten

Een airgapped machine is een computer die zo zwaar beveiligd is dat hij geen fysieke of digitale verbindingen met netwerken heeft. Ze zijn meestal ook zwaar fysiek beveiligd in datacenters en serverruimtes met zorgvuldig bewaakte fysieke toegang. Om nieuwe gegevens in een airgapped machine te stoppen, moet een cybercrimineel meestal fysiek de faciliteit binnendringen en een soort van externe of verwisselbare media gebruiken voor hun aanval, zoals een optische schijf, een USB-drive of een externe harde schijf. . Het gebruik van airgapped-machines is echt onhandig, dus computers zijn meestal alleen airgapped als ze zeer, zeer gevoelige gegevens verwerken. Dat maakt ze bijzonder aantrekkelijke doelwitten voor aanvallers. Als een airgapped machine een portemonnee was, zou het een Hermès witte Himalaya krokodil diamant Birkin tas terwijl een typische clientmachine dat zou zijn een van mijn geliefde Tokidoki-tassen. (Ik geef trouwens de voorkeur aan mijn Tokidoki-tassen.)

Palo Alto Networks-eenheid 42 ontdekte tekenen van een nieuwe aanval voor airgapped machines. Tick ​​is een cyberspionagegroep die zich heeft gericht op entiteiten in Zuid-Korea en Japan. Er is een Koreaanse defensie-aannemer die USB-drives maakt volgens een zeer niche Certificeringscentrum voor IT-beveiliging richtlijnen voor de Koreaanse publieke sector en de particuliere sector zakelijke klantenkring. Unit 42 ontdekte dat op ten minste één van de USB-drives zeer zorgvuldig vervaardigde malware stond. Maar onderzoekers van Unit 42 hebben geen van de gecompromitteerde USB-drives fysiek in bezit gehad. Het zou in de eerste plaats moeilijk moeten zijn voor een externe partij om malware op een van die apparaten te krijgen. Unit 42 noemt de malware SymonLoader en maakt uitsluitend gebruik van kwetsbaarheden in Windows XP en Windows Server 2003.

Tick ​​probeert dus airgapped machines aan te vallen met versies van Windows die lange tijd niet werden ondersteund. Draaien veel van deze airgapp-machines verouderde besturingssystemen? Het is zeer waarschijnlijk dat Tick zorgvuldig vingerafdrukken van hun doelwitten nam voordat ze SymonLoader ontwikkelden.

Dit is het aanvalsscenario dat eenheid 42 veronderstelt. Tick ​​heeft op de een of andere manier enkele van deze zwaar beveiligde USB-drives verworven en gecompromitteerd. Ze plaatsen hun SymonLoader-malware erop wanneer ze er toegang toe kunnen krijgen. Zodra een gecompromitteerde schijf is gekoppeld aan een gerichte airgapped Windows XP- of Windows Server 2003-machine, maakt SymonLoader misbruik van kwetsbaarheden die alleen betrekking hebben op die besturingssystemen. Terwijl SymonLoader zich in het geheugen bevindt en er zwaarder beveiligde USB-drives worden gedetecteerd als gekoppeld aan het bestandssysteem, zal het proberen het onbekende schadelijke bestand te laden met behulp van API's die zijn ontworpen voor toegang tot het bestandssysteem. Het is de cyclus van zeer specifiek ontworpen malware voor zeer specifieke doelen! Het is op maat gemaakte haute couture Windows-malware! Het is te exclusief voor kleine mensen zoals ik! (Ik gebruik hoe dan ook Linux Mint dat momenteel wordt ondersteund.) Omdat Unit 42 geen van de gecompromitteerde schijven in zijn bezit heeft, kunnen ze alleen speculeren hoe de schijven zijn geïnfecteerd en hoe ze bij hun doelwitten zijn afgeleverd.

Het is bekend dat Tick legitieme applicaties in Trojaanse paarden verandert. Dit is waar Unit 42 over schreef HomamDownloader vorige zomer:

“HomamDownloader is een klein downloadprogramma met minimale interessante kenmerken vanuit technisch oogpunt. Er werd ontdekt dat HomamDownloader door Tick werd afgeleverd via een spearphishing-e-mail. De tegenstander maakte geloofwaardige e-mail en bijlage nadat hij de doelen en hun gedrag had begrepen...

Naast de social engineering e-mailtechniek gebruikt de aanvaller ook een truc om de bijlage te verwijderen. De actor heeft schadelijke code ingesloten in een brongedeelte van het legitieme SFX-bestand dat is gemaakt door een bestandscoderingstool, en heeft het toegangspunt van het programma gewijzigd om naar de schadelijke code te springen kort nadat het SFX-programma is gestart. De schadelijke code laat HomamDownloader vallen en springt vervolgens terug naar de normale stroom in de CODE-sectie, die op zijn beurt de gebruiker om het wachtwoord vraagt ​​en het bestand decodeert. Daarom, zodra een gebruiker de bijlage uitvoert en het wachtwoorddialoogvenster op SFX ziet, begint de downloader die door de kwaadaardige code is neergezet, te werken, zelfs als de gebruiker Annuleren kiest in het wachtwoordvenster.

Nu is het tijd om terug te keren naar SymonLoader. Zodra een USB-drive met SymonLoader is gekoppeld aan een van de doelen van Tick, probeert het de gebruiker het te laten uitvoeren door een getrojaniseerde versie te gebruiken van een soort software die de gebruiker in zijn omgeving zou willen installeren. Eenmaal uitgevoerd, zoekt SymonLoader naar andere beveiligde USB-drives als en wanneer ze in het bestandssysteem zijn aangekoppeld.

SymonLoader extraheert een verborgen uitvoerbaar bestand van een speciaal beveiligd USB-station en voert het vervolgens uit. De onderzoekers van Unit 42 hebben geen kopie van het dossier gehad om het zelf te onderzoeken. Maar ze zijn er vrij zeker van dat Tick achter deze aanval zit, omdat ze shellcode hebben gevonden die lijkt op shellcode die de groep eerder gebruikte.

SymonLoader controleert de machine op zijn versie van Windows en als deze nieuwer is dan Windows Server 2003 of Windows XP, probeert hij niets anders meer te doen. Windows Vista is zijn kryptoniet, denk ik. Als het besturingssysteem van de machine Windows XP of Windows Server 2003 is, wordt er een verborgen venster uitgevoerd dat continu controleert of er gekoppelde stations aanwezig zijn wanneer deze deel gaan uitmaken van het bestandssysteem. SymonLoader gebruikt de SCSI INQUIRY-opdracht om te controleren of een van de nieuw aangekoppelde schijven van het specifiek beveiligde apparaatmodel is waarnaar ze op zoek zijn. Als de parameters ooit overeenkomen, extraheert SymonLoader vervolgens een onbekend bestand vanaf het USB-station.

Er is niet veel anders bekend over hoe SymonLoader zich gedraagt ​​of waarom, maar Eenheid 42 schreef dit:

“Hoewel we geen kopie van het bestand op de beveiligde USB hebben verborgen, hebben we meer dan genoeg informatie om vast te stellen dat het meer dan waarschijnlijk kwaadaardig is. Het bewapenen van een beveiligde USB-drive is een ongebruikelijke techniek en wordt waarschijnlijk gedaan in een poging om airgapped-systemen in gevaar te brengen, dit zijn systemen die geen verbinding maken met het openbare internet. Sommige industrieën of organisaties staan ​​erom bekend om veiligheidsredenen air gaping te introduceren. Bovendien worden in die omgevingen vaak verouderde versies van besturingssystemen gebruikt omdat er geen eenvoudig te updaten oplossingen zijn zonder internetverbinding. Wanneer gebruikers geen verbinding kunnen maken met externe servers, zijn ze geneigd te vertrouwen op fysieke opslagapparaten, met name USB-drives, voor gegevensuitwisseling. De SymonLoader en beveiligde USB-drive die in deze blog worden besproken, zijn mogelijk geschikt voor deze omstandigheid.

Dat is malware-ontwikkeling en -distributie op MacGyver-niveau. Het zou fascinerend en verhelderend zijn om te weten wie Tick's specifieke doelwitten zijn, omdat het duidelijk is dat ze echt, echt iets van hen willen.

START GRATIS VERZOEK KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/