Timp de citit: 4 minute
O mașină cu întreținere este un computer care este atât de bine securizat încât nu are conexiuni fizice sau digitale la nicio rețea. De obicei, sunt foarte securizate din punct de vedere fizic în centrele de date și camerele de servere cu acces fizic monitorizat cu atenție. Pentru a introduce date noi într-o mașină întreruptă, de obicei, un criminal cibernetic ar trebui să violeze fizic instalația în care se află și să folosească un fel de suport extern sau amovibil pentru atac, cum ar fi un disc optic, o unitate USB sau un hard disk extern. . Folosirea mașinilor cu întreținere este într-adevăr incomod, așa că computerele sunt de obicei izolate numai dacă manipulează date foarte, foarte sensibile. Acest lucru le face ținte deosebit de atractive pentru atacatori. Dacă o mașină cu aer întrefier ar fi o poșetă, ar fi a Geantă Birkin din crocodil alb Himalaya alb Hermès în timp ce o mașină client tipică ar fi una dintre iubitele mele genți Tokidoki. (Apropo, prefer cu mult gențile mele Tokidoki.)
Palo Alto Networks Unit 42 a descoperit semne ale unui nou atac pentru mașinile cu întreținere. Tick este un grup de spionaj cibernetic care a vizat entități din Coreea de Sud și Japonia. Există un contractor coreean de apărare care face unități USB în funcție de nișă Centrul de certificare a securității IT linii directoare pentru sectorul public coreean și clientela întreprinderilor din sectorul privat. Unitatea 42 a descoperit că cel puțin una dintre unitățile USB are programe malware create cu mare atenție. Dar cercetătorii din Unitatea 42 nu au deținut fizic niciuna dintre unitățile USB compromise. Ar trebui să fie dificil pentru o parte externă să obțină malware pe unul dintre aceste dispozitive, în primul rând. Unitatea 42 numește programul malware SymonLoader și exploatează exclusiv vulnerabilitățile Windows XP și Windows Server 2003.
Așadar, Tick a încercat să atace mașinile cu aer întrerupt cu versiuni de Windows care nu au fost acceptate de mult timp. Multe dintre aceste mașini cu aer întrerupt rulează sisteme de operare vechi? Este foarte probabil ca Tick să-și fi luat amprentele cu atenție înainte de a începe să dezvolte SymonLoader.
Iată scenariul de atac pe care îl emite Unitatea 42. Tick a achiziționat și compromis cumva unele dintre aceste unități USB puternic securizate. Își pun programul malware SymonLoader pe ei ori de câte ori pot obține acces la ele. Odată ce o unitate compromisă este montată într-o mașină Windows XP sau Windows Server 2003 cu întreținere țintă, SymonLoader exploatează vulnerabilitățile care aparțin doar acelor sisteme de operare. În timp ce SymonLoader este în memorie, dacă sunt detectate unități USB mai bine securizate ca fiind montate pe sistemul de fișiere, va încerca să încarce fișierul rău intenționat necunoscut folosind API-uri concepute pentru accesul la sistemul de fișiere. Este ciclul de programe malware concepute special pentru ținte foarte specifice! Este un malware Windows haute couture personalizat! Este prea exclusivist pentru oameni mici ca mine! (Folosesc oricum Linux Mint acceptat în prezent.) Deoarece Unitatea 42 nu are niciuna dintre unitățile compromise în posesia lor, ei pot doar specula cum au fost infectate unitățile și cum sunt livrate la ținte.
Se știe că Tick transformă aplicațiile legitime în troieni. Iată despre ce a scris Unitatea 42 HomamDownloader vara trecuta:
„HomamDownloader este un mic program de descărcare cu caracteristici minime interesante din punct de vedere tehnic. HomamDownloader a fost descoperit a fi livrat de Tick printr-un e-mail de spearphishing. Adversarul a creat e-mailuri credibile și atașamente după ce a înțeles țintele și comportamentul acestora...
Pe lângă tehnica de e-mail de inginerie socială, atacatorul folosește și un truc pentru atașament. Actorul a încorporat cod rău intenționat într-o secțiune de resurse a fișierului SFX legitim creat de un instrument de criptare a fișierelor și a modificat punctul de intrare al programului pentru a trece la codul rău intenționat imediat după pornirea programului SFX. Codul rău intenționat elimină HomamDownloader, apoi sare înapoi la fluxul obișnuit din secțiunea CODE, care la rândul său cere utilizatorului parola și decriptează fișierul. Prin urmare, odată ce un utilizator execută atașamentul și vede dialogul de parolă pe SFX, programul de descărcare abandonat de codul rău intenționat începe să funcționeze chiar dacă utilizatorul alege Anulare în fereastra parolei.”
Acum este timpul să revenim la SymonLoader. Odată ce o unitate USB cu SymonLoader este montată într-una dintre țintele lui Tick, acesta încearcă să-l execute utilizând o versiune troianizată a unui fel de software pe care utilizatorul ar dori să îl instaleze în mediul său. Odată executat, SymonLoader caută alte unități USB securizate dacă și când sunt montate în sistemul de fișiere.
SymonLoader extrage un fișier executabil ascuns de pe o unitate USB specială securizată și apoi îl execută. Cercetătorii din Unitatea 42 nu au avut o copie a dosarului pe care să o examineze singuri. Dar sunt destul de încrezători că Tick se află în spatele acestui atac, deoarece au găsit shellcode care seamănă cu shellcode pe care se știa că îl folosește anterior.
SymonLoader verifică mașina pentru versiunea sa de Windows și dacă este mai nouă decât Windows Server 2003 sau Windows XP, atunci nu mai încearcă să facă altceva. Windows Vista este criptonitul său, cred. Dacă sistemul de operare al mașinii este Windows XP sau Windows Server 2003, atunci se execută o fereastră ascunsă care verifică continuu unitățile montate pe măsură ce acestea devin parte a sistemului de fișiere. SymonLoader folosește comanda SCSI INQUIRY pentru a verifica dacă vreuna dintre unitățile nou montate este de modelul de dispozitiv special securizat pe care îl caută. Dacă parametrii se potrivesc vreodată, SymonLoader extrage apoi un fișier necunoscut de pe unitatea USB.
Nu se știu multe despre cum se comportă SymonLoader sau de ce, dar Unitatea 42 a scris asta:
„Deși nu avem o copie a fișierului ascunsă pe USB-ul securizat, avem informații mai mult decât suficiente pentru a determina că este mai mult decât probabil rău intenționat. Armarea unei unități USB securizate este o tehnică neobișnuită și probabil făcută într-un efort de a compromite sistemele cu întreținere, care sunt sisteme care nu se conectează la internetul public. Unele industrii sau organizații sunt cunoscute pentru introducerea spațiului de aer din motive de securitate. În plus, sistemele de operare cu versiuni învechite sunt adesea folosite în acele medii din cauza unor soluții ușor de actualizat fără conexiune la internet. Atunci când utilizatorii nu se pot conecta la servere externe, ei tind să se bazeze pe dispozitive fizice de stocare, în special pe unități USB, pentru schimbul de date. SymonLoader și unitatea USB securizată discutate în acest blog pot fi potrivite pentru această circumstanță.”
Aceasta este dezvoltarea și distribuția de malware la nivel de MacGyver. Ar fi fascinant și iluminator să știm cine sunt țintele specifice ale lui Tick, pentru că este clar că își doresc cu adevărat ceva de la ei.
INCEPE O PROBĂ GRATUITĂ OBȚINEȚI-ȚI GRATUIT SCORECARDUL DE SECURITATE INSTANTANALĂ
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- Capabil
- Despre Noi
- acces
- Conform
- dobândi
- dobândite
- plus
- După
- AIR
- și
- API-uri
- aplicatii
- ataca
- Atacuri
- atractiv
- înapoi
- saci
- deoarece
- deveni
- înainte
- în spatele
- iubit
- Blog
- încălcarea
- apeluri
- cu grijă
- Certificare
- Caracteristici
- Verificări
- clar
- client
- CNBC
- cod
- codul scade
- compromis
- compromis
- calculator
- Calculatoare
- încrezător
- Conectați
- Conexiuni
- Suport conectare
- continuu
- Antreprenor
- a creat
- credibil
- În prezent
- personalizat
- CYBERCRIMINAL
- de date
- Schimb de date
- Apărare
- livrate
- proiectat
- detectat
- Determina
- în curs de dezvoltare
- Dezvoltare
- dispozitiv
- Dispozitive
- Dialog
- Diamant
- dificil
- digital
- a descoperit
- discutat
- distribuire
- Nu
- conduce
- scăzut
- Picături
- efort
- încorporat
- angajează
- criptare
- Inginerie
- suficient de
- Afacere
- entități
- intrare
- Mediu inconjurator
- medii
- mai ales
- Chiar
- eveniment
- EVER
- schimb
- Exclusiv
- exclusiv
- a executa
- Executa
- exploit
- extern
- extracte
- Facilitate
- fascinant
- Fișier
- First
- potrivi
- debit
- găsit
- Gratuit
- din
- obține
- grup
- orientări
- manipula
- Greu
- puternic
- Ascuns
- extrem de
- Cum
- HTML
- HTTPS
- in
- industrii
- informații
- instala
- clipă
- interesant
- Internet
- introducerea
- IT
- Japonia
- salturi
- Cunoaște
- cunoscut
- Coreea
- Coreeană
- Nume
- Moştenire
- Probabil
- linux
- mic
- încărca
- Lung
- perioadă lungă de timp
- cautati
- Se pare
- Lot
- maşină
- Masini
- FACE
- malware
- potrivire
- Mass-media
- Memorie
- minim
- mentă
- model
- modificată
- monitorizate
- mai mult
- rețele
- Nou
- ONE
- de operare
- sisteme de operare
- organizații
- OS
- Altele
- parametrii
- parte
- în special
- parte
- Parolă
- oameni
- fizic
- Fizic
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- Punct de vedere
- deţinere
- a prefera
- destul de
- în prealabil
- privat
- sectorul privat
- Program
- public
- pune
- motive
- regulat
- cercetători
- seamana
- resursă
- reveni
- Camere
- Alerga
- scorecard
- Secțiune
- sector
- sigur
- securizat
- securitate
- vede
- sensibil
- Servere
- să
- Semne
- mic
- So
- Social
- Inginerie sociala
- Software
- soluţii
- unele
- ceva
- Sud
- Coreea de Sud
- special
- specific
- specific
- început
- începe
- opriri
- depozitare
- astfel de
- de vară
- Suportat
- sistem
- sisteme
- adaptate
- vizate
- obiective
- Tehnic
- lor
- se
- prin urmare
- Prin
- timp
- la
- de asemenea
- instrument
- ÎNTORCĂ
- tipic
- tipic
- neobișnuit
- înţelegere
- unitate
- USB
- Unități USB
- utilizare
- Utilizator
- utilizatorii
- obișnuit
- verifica
- versiune
- de
- Vizualizare
- Vulnerabilitățile
- Ce
- care
- în timp ce
- alb
- OMS
- ferestre
- fără
- de lucru
- ar
- xp
- Ta
- zephyrnet
