Этот тик может летать через воздушные пробелы

Этот тик может летать через воздушные пробелы

Отметка времени: 27 июня 2018 г., 12:33

вредоносных атак Время чтения: 4 минут

Машина с воздушным зазором - это компьютер, который настолько надежно защищен, что не имеет физических или цифровых соединений с какими-либо сетями. Обычно они также физически защищены в центрах обработки данных и серверных комнатах с тщательно контролируемым физическим доступом. Чтобы поместить новые данные в компьютер с воздушной пробкой, обычно киберпреступнику необходимо физически взломать объект, в котором он находится, и использовать для своей атаки какой-либо внешний или съемный носитель, такой как оптический диск, USB-накопитель или внешний жесткий диск. , Использование машин с воздушными пробками действительно неудобно, поэтому компьютеры, как правило, имеют воздушную пробку только в том случае, если обрабатывают очень и очень важные данные. Это делает их особенно привлекательными целями для атакующих. Если бы машина с воздушными пробками была кошельком, она была бы Hermès белый гималайский крокодил алмаз сумка Биркин тогда как типичный клиентский компьютер будет одна из моих любимых сумок Tokidoki, (Между прочим, я предпочитаю свои сумки Tokidoki.)

Palo Alto Networks, блок 42 обнаружены признаки новой атаки на машины с воздушными пробками. Тик - это группа по кибершпионажу, которая нацелена на организации в Южной Корее и Японии. Есть корейский оборонный подрядчик, который делает USB-накопители в соответствии с самой нишей Центр сертификации ИТ-безопасности рекомендации для корейской клиентуры в государственном и частном секторах. Модуль 42 обнаружил, что, по крайней мере, на одном из USB-накопителей имеется очень тщательно созданное вредоносное ПО. Но исследователи Unit 42 физически не обладали ни одним из скомпрометированных USB-накопителей. Внешней стороне должно быть сложно получить вредоносное ПО на одном из этих устройств. Модуль 42 вызывает вредоносное ПО SymonLoader и использует исключительно уязвимости Windows XP и Windows Server 2003.

Поэтому Тик пытается атаковать машины с воздушными пробками версиями Windows, которые давно не поддерживаются. Много ли этих машин с воздушными пробками работают на устаревших операционных системах? Весьма вероятно, что Тик тщательно снял отпечатки пальцев со своих целей, прежде чем они начали разработку SymonLoader.

Вот сценарий атаки, который предполагает 42-й блок. Тик каким-то образом приобрел и скомпрометировал некоторые из этих жестко защищенных USB-накопителей. Они помещают на них свое вредоносное ПО SymonLoader всякий раз, когда они могут получить к ним доступ. После того, как скомпрометированный диск подключен к целевому компьютеру с Windows XP или Windows Server 2003 с воздушным зазором, SymonLoader использует уязвимости, которые относятся только к этим операционным системам. Пока SymonLoader находится в памяти, если USB-накопители с более высокой степенью защиты обнаруживаются как подключенные к файловой системе, он пытается загрузить неизвестный вредоносный файл с помощью API, предназначенных для доступа к файловой системе. Это цикл специально разработанных вредоносных программ для очень специфических целей! Это специально разработанное вредоносное ПО Windows от Haute Couture! Это слишком эксклюзивно для маленьких людей, как я! (Я использую в настоящее время поддерживаемый Linux Mint в любом случае.) Поскольку у Unit 42 нет ни одного из скомпрометированных дисков в их распоряжении, они могут только догадываться, как диски были заражены и как они доставляются к своим целям.

Известно, что Tick превращает легальные приложения в трояны. Вот что написал Блок 42 HomamЗагрузчик прошлое лето:

«HomamDownloader - это небольшая программа-загрузчик с минимально интересными техническими характеристиками. HomamDownloader был обнаружен Тиком по электронной почте. Противник создал достоверную электронную почту и вложение после понимания целей и их поведения ...

В дополнение к технике электронной почты социальной инженерии злоумышленник также использует уловку для вложения. Актер внедрил вредоносный код в раздел ресурсов легитимного SFX-файла, созданного средством шифрования файлов, и изменил точку входа в программу для перехода к вредоносному коду вскоре после запуска SFX-программы. Вредоносный код сбрасывает HomamDownloader, затем возвращается к обычному потоку в разделе CODE, который, в свою очередь, запрашивает у пользователя пароль и расшифровывает файл. Поэтому, как только пользователь выполнит вложение и увидит диалоговое окно пароля в SFX, загрузчик, сброшенный вредоносным кодом, начнет работать, даже если пользователь выберет Отмена в окне пароля ».

Теперь пришло время вернуться в SymonLoader. Как только USB-накопитель с SymonLoader подключается к одной из целей Tick, он пытается заставить пользователя выполнить его, используя троянскую версию какого-либо программного обеспечения, которое пользователь захочет установить в своей среде. После запуска SymonLoader ищет другие защищенные USB-накопители, если и когда они подключены к файловой системе.

SymonLoader извлекает скрытый исполняемый файл со специального защищенного USB-накопителя и затем выполняет его. У исследователей блока 42 не было копии файла, который можно было бы проверить самостоятельно. Но они уверены, что за этой атакой стоит Тик, потому что они нашли шелл-код, который напоминает шелл-код, который ранее использовался группой.

SymonLoader проверяет компьютер на наличие его версии Windows, и, если он новее, чем Windows Server 2003 или Windows XP, он прекращает попытки делать что-либо еще. Полагаю, Windows Vista - это ее криптонит. Если на компьютере установлена ​​ОС Windows XP или Windows Server 2003, выполняется скрытое окно, которое непрерывно проверяет подключенные диски, когда они становятся частью файловой системы. SymonLoader использует команду SCSI INQUIRY, чтобы проверить, относится ли какой-либо из вновь подключенных дисков к той модели защищенного устройства, которую они ищут. Если параметры совпадают, SymonLoader извлекает неизвестный файл с USB-накопителя.

Не так много известно о том, как ведет себя SymonLoader или почему, но Блок 42 написал это:

«Хотя у нас нет копии файла, спрятанного на защищенном USB, у нас более чем достаточно информации, чтобы определить, что он более чем вредоносный. Создание оружия на защищенном USB-накопителе является необычной техникой и, вероятно, делается для того, чтобы скомпрометировать системы с воздушным зазором, которые не подключены к общедоступному Интернету. Некоторые отрасли или организации известны введением воздушного зазора по соображениям безопасности. Кроме того, в этих средах часто используются устаревшие версии операционных систем из-за отсутствия простых в обновлении решений без подключения к Интернету. Когда пользователи не могут подключиться к внешним серверам, они склонны полагаться на физические устройства хранения данных, в частности, на USB-накопители, для обмена данными. SymonLoader и защищенный USB-накопитель, обсуждаемые в этом блоге, могут соответствовать этим обстоятельствам ».

Это разработка и распространение вредоносного ПО на уровне MacGyver. Было бы увлекательно и интересно узнать, каковы конкретные цели Тика, потому что ясно, что они действительно, действительно хотят чего-то от них.

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО

Отметка времени:

Больше от Кибербезопасность Comodo