Czas czytania: 4 minuty
Maszyna z lukami powietrznymi to komputer, który jest tak silnie zabezpieczony, że nie ma fizycznych ani cyfrowych połączeń z żadnymi sieciami. Zazwyczaj są one również silnie zabezpieczone fizycznie w centrach danych i serwerowniach ze starannie monitorowanym dostępem fizycznym. Aby umieścić nowe dane w maszynie z lukami powietrznymi, zazwyczaj cyberprzestępca musiałby fizycznie włamać się do obiektu, w którym się znajduje, i użyć do ataku jakiegoś zewnętrznego lub wymiennego nośnika, takiego jak dysk optyczny, napęd USB lub zewnętrzny dysk twardy. . Korzystanie z maszyn z przerwami powietrznymi jest naprawdę niewygodne, więc komputery są zwykle ograniczone tylko wtedy, gdy obsługują bardzo, bardzo wrażliwe dane. To czyni je szczególnie atrakcyjnymi celami dla napastników. Gdyby maszyna z lukami powietrznymi była torebką, byłaby to Biała, diamentowa torebka Birkin firmy Hermès z krokodyla Himalaya podczas gdy typowy komputer kliencki byłby jedna z moich ukochanych toreb Tokidoki. (Nawiasem mówiąc, wolę moje torby Tokidoki.)
Zespół ds. Sieci Palo Alto 42 odkrył oznaki nowego ataku na maszyny z lukami powietrznymi. Tick to grupa cyberszpiegowska, której celem są podmioty w Korei Południowej i Japonii. Jest koreański dostawca obronny, który produkuje dyski USB bardzo niszowo Centrum Certyfikacji Bezpieczeństwa IT wytyczne dla klientów korporacyjnych z sektora publicznego i prywatnego w Korei. Jednostka 42 odkryła, że co najmniej jeden z dysków USB ma bardzo starannie spreparowane złośliwe oprogramowanie. Ale badacze z Jednostki 42 fizycznie nie posiadali żadnego z zainfekowanych dysków USB. Stronie zewnętrznej powinno być przede wszystkim trudno uzyskać złośliwe oprogramowanie na jednym z tych urządzeń. Jednostka 42 nazywa złośliwe oprogramowanie SymonLoader i wykorzystuje wyłącznie luki w systemach Windows XP i Windows Server 2003.
Tak więc Tick próbował zaatakować maszyny z lukami powietrznymi z wersjami systemu Windows, które nie były obsługiwane przez długi czas. Czy wiele z tych maszyn z lukami powietrznymi obsługuje starsze systemy operacyjne? Jest wysoce prawdopodobne, że Tick dokładnie odcisnął swoje cele, zanim zaczęli tworzyć SymonLoader.
Oto scenariusz ataku, który hipoteza Jednostka 42. Tick w jakiś sposób nabył i przejął niektóre z tych mocno zabezpieczonych dysków USB. Umieszczają na nich swoje złośliwe oprogramowanie SymonLoader, gdy tylko mogą uzyskać do nich dostęp. Po zamontowaniu zagrożonego dysku w docelowej maszynie z systemem Windows XP lub Windows Server 2003 z lukami w powietrzu, SymonLoader wykorzystuje luki, które dotyczą tylko tych systemów operacyjnych. Gdy SymonLoader jest w pamięci, jeśli silniej zabezpieczone dyski USB zostaną wykryte jako zamontowane w systemie plików, spróbuje załadować nieznany szkodliwy plik za pomocą interfejsów API przeznaczonych do dostępu do systemu plików. To cykl specjalnie zaprojektowanego złośliwego oprogramowania dla bardzo określonych celów! Jest to specjalnie dostosowane złośliwe oprogramowanie dla systemu Windows! To zbyt ekskluzywne dla małych ludzi, takich jak ja! (I tak używam obecnie obsługiwanej mennicy Linux Mint). Ponieważ Unit 42 nie ma w posiadaniu żadnego z uszkodzonych dysków, mogą jedynie spekulować, w jaki sposób dyski zostały zainfekowane i jak zostały dostarczone do swoich celów.
Wiadomo, że Tick zmienia legalne aplikacje w trojany. Oto, o czym pisał Unit 42 Program do pobierania Homam zeszłego lata:
„HomamDownloader to mały program do pobierania plików z minimalnymi interesującymi cechami z technicznego punktu widzenia. Odkryto, że HomamDownloader został dostarczony przez Tick za pośrednictwem wiadomości e-mail spearphishingowej. Po zrozumieniu celów i ich zachowania, przeciwnik stworzył wiarygodną wiadomość e-mail i załącznik.
Oprócz socjotechnicznej techniki e-mail, osoba atakująca stosuje również sztuczkę do załącznika. Aktor osadził złośliwy kod w sekcji zasobów legalnego pliku SFX utworzonego przez narzędzie do szyfrowania plików i zmodyfikował punkt wejścia programu w celu przeskoczenia do złośliwego kodu wkrótce po uruchomieniu programu SFX. Szkodliwy kod upuszcza HomamDownloader, a następnie wraca do normalnego przepływu w sekcji CODE, która z kolei pyta użytkownika o hasło i odszyfrowuje plik. Dlatego też, gdy użytkownik wykona załącznik i zobaczy okno dialogowe hasła w SFX, downloader porzucony przez złośliwy kod zaczyna działać, nawet jeśli użytkownik wybierze Anuluj w oknie hasła. ”
Teraz czas wrócić do SymonLoader. Gdy dysk USB z SymonLoader zostanie zamontowany w jednym z celów Tick, próbuje on nakłonić użytkownika do jego wykonania za pomocą trojanizowanej wersji pewnego rodzaju oprogramowania, które użytkownik chciałby zainstalować w swoim środowisku. Po uruchomieniu SymonLoader szuka innych zabezpieczonych dysków USB, jeśli i kiedy zostaną zamontowane w systemie plików.
SymonLoader wyodrębnia ukryty plik wykonywalny ze specjalnego zabezpieczonego dysku USB, a następnie wykonuje go. Badacze z jednostki 42 nie mieli kopii pliku do samodzielnego zbadania. Są jednak całkiem pewni, że za tym atakiem stoi Tick, ponieważ znaleźli kod szelkowy, który przypomina szelkod, z którego wcześniej korzystała grupa.
SymonLoader sprawdza, czy na komputerze jest wersja systemu Windows, a jeśli jest nowsza niż Windows Server 2003 lub Windows XP, przestaje próbować robić cokolwiek innego. Myślę, że Windows Vista to jego kryptonit. Jeśli system operacyjny komputera to Windows XP lub Windows Server 2003, uruchamiane jest ukryte okno, które nieustannie sprawdza, czy zainstalowane dyski staną się częścią systemu plików. SymonLoader używa polecenia SCSI INQUIRY do sprawdzenia, czy którykolwiek z nowo zamontowanych dysków jest specjalnie zabezpieczonym modelem urządzenia, którego szuka. Jeśli parametry zostaną kiedykolwiek dopasowane, SymonLoader wyodrębni plik brak pliku z dysku USB.
Niewiele więcej wiadomo o tym, jak zachowuje się SymonLoader i dlaczego, ale Jednostka 42 napisała to:
„Chociaż nie mamy kopii pliku ukrytej na bezpiecznym USB, mamy wystarczająco dużo informacji, aby stwierdzić, że jest on prawdopodobnie złośliwy. Uzbrojenie bezpiecznego dysku USB jest rzadką techniką i prawdopodobnie ma na celu naruszenie bezpieczeństwa systemów, które są systemami, które nie łączą się z publicznym Internetem. Niektóre branże lub organizacje są znane z wprowadzania szczeliny powietrznej ze względów bezpieczeństwa. Ponadto w tych środowiskach często używane są przestarzałe wersje systemów operacyjnych ze względu na brak łatwych do aktualizacji rozwiązań bez połączenia z Internetem. Gdy użytkownicy nie mogą połączyć się z serwerami zewnętrznymi, zwykle polegają na fizycznych urządzeniach pamięci masowej, w szczególności na dyskach USB, do wymiany danych. SymonLoader i bezpieczny dysk USB omówione na tym blogu mogą pasować do tej sytuacji ”.
To jest rozwój i dystrybucja złośliwego oprogramowania na poziomie MacGyvera. Byłoby fascynujące i pouczające wiedzieć, kim są konkretne cele Ticka, ponieważ jest jasne, że naprawdę, naprawdę czegoś od nich chcą.
ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- Zdolny
- O nas
- dostęp
- Stosownie
- nabyć
- nabyty
- dodatek
- Po
- AIR
- i
- Pszczoła
- aplikacje
- atakować
- Ataki
- atrakcyjny
- z powrotem
- Worki
- bo
- stają się
- zanim
- za
- umiłowani
- Blog
- naruszenie
- Połączenia
- ostrożnie
- Certyfikacja
- Charakterystyka
- Wykrywanie urządzeń szpiegujących
- jasny
- klient
- CNBC
- kod
- kod spada
- kompromis
- Zagrożone
- komputer
- komputery
- pewność
- Skontaktuj się
- połączenia
- Łączność
- bez przerwy
- Kontrahent
- stworzony
- wiarygodny
- Obecnie
- zwyczaj
- CYBERPRZESTĘPCA
- dane
- Wymiana danych
- Obrona
- dostarczona
- zaprojektowany
- wykryte
- Ustalać
- rozwijanie
- oprogramowania
- urządzenie
- urządzenia
- Dialog
- Diament
- trudny
- cyfrowy
- odkryty
- omówione
- 分配
- Nie
- napęd
- porzucone
- Krople
- wysiłek
- osadzone
- zatrudnia
- szyfrowanie
- Inżynieria
- dość
- Enterprise
- podmioty
- wejście
- Środowisko
- środowiska
- szczególnie
- Parzyste
- wydarzenie
- EVER
- wymiana
- Ekskluzywny
- wyłącznie
- wykonać
- Wykonuje
- exploity
- zewnętrzny
- Wyciągi
- Łatwość
- fascynujący
- filet
- i terminów, a
- dopasować
- pływ
- znaleziono
- Darmowy
- od
- otrzymać
- Zarządzanie
- wytyczne
- uchwyt
- Ciężko
- ciężko
- Ukryty
- wysoko
- W jaki sposób
- HTML
- HTTPS
- in
- przemysłowa
- Informacja
- zainstalować
- natychmiastowy
- ciekawy
- Internet
- wprowadzenie
- IT
- Japonia
- skoki
- Wiedzieć
- znany
- Korea
- koreański
- Nazwisko
- Dziedzictwo
- Prawdopodobnie
- linux
- mało
- załadować
- długo
- długi czas
- poszukuje
- WYGLĄD
- Partia
- maszyna
- maszyny
- WYKONUJE
- malware
- dopasowane
- Media
- Pamięć
- minimalny
- mięta
- model
- zmodyfikowano
- monitorowane
- jeszcze
- sieci
- Nowości
- ONE
- operacyjny
- system operacyjny
- organizacji
- OS
- Inne
- parametry
- część
- szczególnie
- przyjęcie
- Hasło
- Ludzie
- fizyczny
- Fizycznie
- Miejsce
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- Punkt widzenia
- posiadanie
- woleć
- bardzo
- poprzednio
- prywatny
- Sektor prywatny
- Program
- publiczny
- położyć
- Przyczyny
- regularny
- Badacze
- przypomina
- Zasób
- powrót
- Pokoje
- run
- karta z punktami
- Sekcja
- sektor
- bezpieczne
- zabezpieczone
- bezpieczeństwo
- widzi
- wrażliwy
- Serwery
- powinien
- znaki
- mały
- So
- Obserwuj Nas
- Inżynieria społeczna
- Tworzenie
- Rozwiązania
- kilka
- coś
- Południe
- Korea Południowa
- specjalny
- specyficzny
- swoiście
- rozpoczęty
- rozpocznie
- Zatrzymuje
- przechowywanie
- taki
- lato
- Utrzymany
- system
- systemy
- dostosowane
- ukierunkowane
- cele
- Techniczny
- Połączenia
- ich
- sami
- w związku z tym
- Przez
- czas
- do
- także
- narzędzie
- SKRĘCAĆ
- typowy
- zazwyczaj
- Niezwykły
- zrozumienie
- jednostka
- usb
- Napędy USB
- posługiwać się
- Użytkownik
- Użytkownicy
- zazwyczaj
- zweryfikować
- wersja
- przez
- Zobacz i wysłuchaj
- Luki w zabezpieczeniach
- Co
- który
- Podczas
- biały
- KIM
- okna
- bez
- pracujący
- by
- xp
- Twój
- zefirnet
