Время чтения: 4 минут
Машина с воздушным зазором - это компьютер, который настолько надежно защищен, что не имеет физических или цифровых соединений с какими-либо сетями. Обычно они также физически защищены в центрах обработки данных и серверных комнатах с тщательно контролируемым физическим доступом. Чтобы поместить новые данные в компьютер с воздушной пробкой, обычно киберпреступнику необходимо физически взломать объект, в котором он находится, и использовать для своей атаки какой-либо внешний или съемный носитель, такой как оптический диск, USB-накопитель или внешний жесткий диск. , Использование машин с воздушными пробками действительно неудобно, поэтому компьютеры, как правило, имеют воздушную пробку только в том случае, если обрабатывают очень и очень важные данные. Это делает их особенно привлекательными целями для атакующих. Если бы машина с воздушными пробками была кошельком, она была бы Hermès белый гималайский крокодил алмаз сумка Биркин тогда как типичный клиентский компьютер будет одна из моих любимых сумок Tokidoki, (Между прочим, я предпочитаю свои сумки Tokidoki.)
Palo Alto Networks, блок 42 обнаружены признаки новой атаки на машины с воздушными пробками. Тик - это группа по кибершпионажу, которая нацелена на организации в Южной Корее и Японии. Есть корейский оборонный подрядчик, который делает USB-накопители в соответствии с самой нишей Центр сертификации ИТ-безопасности рекомендации для корейской клиентуры в государственном и частном секторах. Модуль 42 обнаружил, что, по крайней мере, на одном из USB-накопителей имеется очень тщательно созданное вредоносное ПО. Но исследователи Unit 42 физически не обладали ни одним из скомпрометированных USB-накопителей. Внешней стороне должно быть сложно получить вредоносное ПО на одном из этих устройств. Модуль 42 вызывает вредоносное ПО SymonLoader и использует исключительно уязвимости Windows XP и Windows Server 2003.
Поэтому Тик пытается атаковать машины с воздушными пробками версиями Windows, которые давно не поддерживаются. Много ли этих машин с воздушными пробками работают на устаревших операционных системах? Весьма вероятно, что Тик тщательно снял отпечатки пальцев со своих целей, прежде чем они начали разработку SymonLoader.
Вот сценарий атаки, который предполагает 42-й блок. Тик каким-то образом приобрел и скомпрометировал некоторые из этих жестко защищенных USB-накопителей. Они помещают на них свое вредоносное ПО SymonLoader всякий раз, когда они могут получить к ним доступ. После того, как скомпрометированный диск подключен к целевому компьютеру с Windows XP или Windows Server 2003 с воздушным зазором, SymonLoader использует уязвимости, которые относятся только к этим операционным системам. Пока SymonLoader находится в памяти, если USB-накопители с более высокой степенью защиты обнаруживаются как подключенные к файловой системе, он пытается загрузить неизвестный вредоносный файл с помощью API, предназначенных для доступа к файловой системе. Это цикл специально разработанных вредоносных программ для очень специфических целей! Это специально разработанное вредоносное ПО Windows от Haute Couture! Это слишком эксклюзивно для маленьких людей, как я! (Я использую в настоящее время поддерживаемый Linux Mint в любом случае.) Поскольку у Unit 42 нет ни одного из скомпрометированных дисков в их распоряжении, они могут только догадываться, как диски были заражены и как они доставляются к своим целям.
Известно, что Tick превращает легальные приложения в трояны. Вот что написал Блок 42 HomamЗагрузчик прошлое лето:
«HomamDownloader - это небольшая программа-загрузчик с минимально интересными техническими характеристиками. HomamDownloader был обнаружен Тиком по электронной почте. Противник создал достоверную электронную почту и вложение после понимания целей и их поведения ...
В дополнение к технике электронной почты социальной инженерии злоумышленник также использует уловку для вложения. Актер внедрил вредоносный код в раздел ресурсов легитимного SFX-файла, созданного средством шифрования файлов, и изменил точку входа в программу для перехода к вредоносному коду вскоре после запуска SFX-программы. Вредоносный код сбрасывает HomamDownloader, затем возвращается к обычному потоку в разделе CODE, который, в свою очередь, запрашивает у пользователя пароль и расшифровывает файл. Поэтому, как только пользователь выполнит вложение и увидит диалоговое окно пароля в SFX, загрузчик, сброшенный вредоносным кодом, начнет работать, даже если пользователь выберет Отмена в окне пароля ».
Теперь пришло время вернуться в SymonLoader. Как только USB-накопитель с SymonLoader подключается к одной из целей Tick, он пытается заставить пользователя выполнить его, используя троянскую версию какого-либо программного обеспечения, которое пользователь захочет установить в своей среде. После запуска SymonLoader ищет другие защищенные USB-накопители, если и когда они подключены к файловой системе.
SymonLoader извлекает скрытый исполняемый файл со специального защищенного USB-накопителя и затем выполняет его. У исследователей блока 42 не было копии файла, который можно было бы проверить самостоятельно. Но они уверены, что за этой атакой стоит Тик, потому что они нашли шелл-код, который напоминает шелл-код, который ранее использовался группой.
SymonLoader проверяет компьютер на наличие его версии Windows, и, если он новее, чем Windows Server 2003 или Windows XP, он прекращает попытки делать что-либо еще. Полагаю, Windows Vista - это ее криптонит. Если на компьютере установлена ОС Windows XP или Windows Server 2003, выполняется скрытое окно, которое непрерывно проверяет подключенные диски, когда они становятся частью файловой системы. SymonLoader использует команду SCSI INQUIRY, чтобы проверить, относится ли какой-либо из вновь подключенных дисков к той модели защищенного устройства, которую они ищут. Если параметры совпадают, SymonLoader извлекает неизвестный файл с USB-накопителя.
Не так много известно о том, как ведет себя SymonLoader или почему, но Блок 42 написал это:
«Хотя у нас нет копии файла, спрятанного на защищенном USB, у нас более чем достаточно информации, чтобы определить, что он более чем вредоносный. Создание оружия на защищенном USB-накопителе является необычной техникой и, вероятно, делается для того, чтобы скомпрометировать системы с воздушным зазором, которые не подключены к общедоступному Интернету. Некоторые отрасли или организации известны введением воздушного зазора по соображениям безопасности. Кроме того, в этих средах часто используются устаревшие версии операционных систем из-за отсутствия простых в обновлении решений без подключения к Интернету. Когда пользователи не могут подключиться к внешним серверам, они склонны полагаться на физические устройства хранения данных, в частности, на USB-накопители, для обмена данными. SymonLoader и защищенный USB-накопитель, обсуждаемые в этом блоге, могут соответствовать этим обстоятельствам ».
Это разработка и распространение вредоносного ПО на уровне MacGyver. Было бы увлекательно и интересно узнать, каковы конкретные цели Тика, потому что ясно, что они действительно, действительно хотят чего-то от них.
НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- в состоянии
- О нас
- доступ
- По
- приобретать
- приобретенный
- дополнение
- После
- AIR
- и
- API
- Приложения
- атаковать
- нападки
- привлекательный
- назад
- сумки
- , так как:
- становиться
- до
- за
- возлюбленная
- Блог
- нарушение
- Объявления
- осторожно
- Сертификация
- характеристика
- Проверки
- Очистить
- клиент
- CNBC
- код
- код падает
- скомпрометированы
- Ослабленный
- компьютер
- компьютеры
- уверенный
- Свяжитесь
- Коммутация
- связь
- непрерывно
- Подрядчик
- создали
- заслуживающий доверия
- В настоящее время
- изготовленный на заказ
- КИБЕРПРЕСТУПНИК
- данным
- Обмен данными
- Защита
- поставляется
- предназначенный
- обнаруженный
- Определять
- развивающийся
- Развитие
- устройство
- Устройства
- Диалог
- Diamond
- трудный
- Интернет
- открытый
- обсуждается
- распределение
- не
- управлять
- упал
- Капли
- усилие
- встроенный
- работает
- шифрование
- Проект и
- достаточно
- Предприятие
- лиц
- запись
- Окружающая среда
- средах
- особенно
- Даже
- События
- НИКОГДА
- обмена
- Эксклюзивные
- исключительно
- выполнять
- Выполняет
- использует
- и, что лучший способ
- Экстракты
- Объект
- увлекательный
- Файл
- Во-первых,
- соответствовать
- поток
- найденный
- Бесплатно
- от
- получить
- группы
- методические рекомендации
- обрабатывать
- Жесткий
- сильно
- Скрытый
- очень
- Как
- HTML
- HTTPS
- in
- промышленности
- информация
- устанавливать
- мгновение
- интересный
- Интернет
- введение
- IT
- Япония
- скачки
- Знать
- известный
- Корея
- Корейский
- Фамилия
- Наследие
- Вероятно
- Linux
- мало
- загрузка
- Длинное
- много времени
- искать
- ВЗГЛЯДЫ
- серия
- машина
- Продукция
- ДЕЛАЕТ
- вредоносных программ
- соответствует
- Медиа
- Память
- минимальный
- мята
- модель
- модифицировало
- контролируемый
- БОЛЕЕ
- сетей
- Новые
- ONE
- операционный
- операционные системы
- организации
- OS
- Другое
- параметры
- часть
- особенно
- вечеринка
- Пароль
- Люди
- физический
- Физически
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- Точка зрения
- только простое хранение
- предпочитать
- довольно
- предварительно
- частная
- частный сектор
- FitPartner™
- что такое варган?
- положил
- причины
- регулярный
- исследователи
- походит
- ресурс
- возвращают
- Комнаты
- Run
- система показателей
- Раздел
- сектор
- безопасный
- обеспеченный
- безопасность
- видит
- чувствительный
- Серверы
- должен
- Признаки
- небольшой
- So
- Соцсети
- Социальная инженерия
- Software
- Решения
- некоторые
- удалось
- Южная
- Южная Корея
- особый
- конкретный
- конкретно
- и политические лидеры
- начинается
- Останавливает
- диск
- такие
- лето
- Поддержанный
- система
- системы
- с учетом
- целевое
- направлена против
- Технический
- Ассоциация
- их
- сами
- следовательно
- Через
- время
- в
- слишком
- инструментом
- ОЧЕРЕДЬ
- типичный
- типично
- Обычный
- понимание
- Ед. изм
- USB
- USB-накопители
- использование
- Информация о пользователе
- пользователей
- обычно
- проверить
- версия
- с помощью
- Вид
- Уязвимости
- Что
- который
- в то время как
- белый
- КТО
- окна
- без
- работает
- бы
- xp
- ВАШЕ
- зефирнет