Tick ​​napade naprave Airgap z zlonamerno programsko opremo Symonloader | Comodo

Tick ​​napade naprave Airgap z zlonamerno programsko opremo Symonloader | Comodo

Časovni žig: 27. junij 2018 1:33

napadi zlonamerne programske opreme Čas branja: 4 min

Stroj z zračno režo je računalnik, ki je tako močno zavarovan, da nima fizične ali digitalne povezave z nobenim omrežjem. Običajno so tudi močno fizično zavarovani v podatkovnih centrih in strežniških sobah s skrbno nadzorovanim fizičnim dostopom. Za vnos novih podatkov v napravo z zračno režo bi moral kiberkriminalec običajno fizično vdreti v objekt, v katerem je, in uporabiti nekakšen zunanji ali izmenljivi medij za svoj napad, kot je optični disk, pogon USB ali zunanji trdi disk . Uporaba strojev z zračno režo je res neprijetna, zato so računalniki običajno zračno režo le, če obdelujejo zelo, zelo občutljive podatke. Zaradi tega so še posebej privlačne tarče za napadalce. Če bi bil stroj z zračno režo torbica, bi bil Bela Birkin torbica Hermès Himalaya v obliki krokodila z diamantom medtem ko bi bil tipičen odjemalski stroj ena mojih najljubših torbic Tokidoki. (Mimogrede imam veliko raje svoje Tokidoki torbe.)

Enota omrežij Palo Alto 42 odkril znake novega napada za stroje z zračno režo. Tick ​​je kibernetska vohunska skupina, ki cilja na subjekte v Južni Koreji in na Japonskem. Obstaja korejski obrambni izvajalec, ki izdeluje pogone USB v skladu z zelo tržno nišo Certifikacijski center za IT varnost smernice za stranke korejskega javnega in zasebnega sektorja podjetij. Enota 42 je odkrila, da ima vsaj eden od pogonov USB zelo skrbno izdelano zlonamerno programsko opremo. Toda raziskovalci enote 42 fizično niso posedovali nobenega od ogroženih pogonov USB. Zunanji osebi bi moralo biti težko dobiti zlonamerno programsko opremo na eno od teh naprav. Enota 42 kliče zlonamerno programsko opremo SymonLoader in izkorišča izključno ranljivosti Windows XP in Windows Server 2003.

Tako je Tick poskušal napasti stroje z zračno režo z različicami sistema Windows, ki že dolgo niso bile podprte. Ali veliko teh strojev z zračno režo poganja podedovane operacijske sisteme? Zelo verjetno je Tick skrbno vzel prstne odtise svojim tarčam, preden so začeli razvijati SymonLoader.

Tukaj je scenarij napada, ki ga predvideva Enota 42. Tick ​​je nekako pridobil in ogrozil nekatere od teh močno zavarovanih pogonov USB. Svojo zlonamerno programsko opremo SymonLoader namestijo nanje, kadar koli lahko pridobijo dostop do njih. Ko je ogroženi pogon nameščen v ciljno zračno odprto napravo Windows XP ali Windows Server 2003, SymonLoader izkorišča ranljivosti, ki se nanašajo samo na te operacijske sisteme. Medtem ko je SymonLoader v pomnilniku, bo, če so bolj zaščiteni pogoni USB zaznani kot nameščeni v datotečni sistem, poskusil naložiti neznano zlonamerno datoteko z uporabo API-jev, zasnovanih za dostop do datotečnega sistema. To je cikel zelo specifično zasnovane zlonamerne programske opreme za zelo specifične cilje! To je po meri prilagojena zlonamerna programska oprema za Windows haute couture! To je preveč ekskluzivno za majhne ljudi, kot sem jaz! (Vseeno uporabljam trenutno podprt Linux Mint.) Ker Enota 42 nima nobenega od ogroženih pogonov v svoji posesti, lahko le ugibajo, kako so bili pogoni okuženi in kako so dostavljeni svojim ciljem.

Znano je, da Tick zakonite aplikacije spremeni v trojance. Tukaj je pisala Enota 42 HomamDownloader prejšnje poletje:

»HomamDownloader je majhen program za prenos z minimalno zanimivimi lastnostmi s tehničnega vidika. Ugotovljeno je bilo, da je HomamDownloader dostavil Tick prek e-pošte s lažnim predstavljanjem. Nasprotnik je ustvaril verodostojno e-pošto in prilogo, potem ko je razumel tarče in njihovo vedenje ...

Poleg tehnike socialnega inženiringa e-pošte napadalec uporablja tudi trik za priponko. Igralec je zlonamerno kodo vdelal v razdelek z viri legitimne datoteke SFX, ustvarjene z orodjem za šifriranje datotek, in spremenil vstopno točko programa za skok na zlonamerno kodo kmalu po zagonu programa SFX. Zlonamerna koda izpusti HomamDownloader, nato pa skoči nazaj v običajni tok v razdelku CODE, ki uporabnika vpraša za geslo in dešifrira datoteko. Zato, ko uporabnik izvede prilogo in vidi pogovorno okno za geslo na SFX, začne prenosnik, ki ga zlonamerna koda spusti, delovati, tudi če uporabnik v oknu z geslom izbere Prekliči.«

Zdaj je čas, da se vrnemo k SymonLoaderju. Ko je USB-pogon s SymonLoaderjem nameščen v eno od Tickovih tarč, ga poskuša uporabnik izvesti z uporabo trojanizirane različice neke vrste programske opreme, ki bi jo uporabnik želel namestiti v svoje okolje. Po zagonu SymonLoader poišče druge zaščitene pogone USB, če in ko so nameščeni v datotečni sistem.

SymonLoader ekstrahira skrito izvedljivo datoteko iz posebnega zavarovanega pogona USB in jo nato izvede. Raziskovalci enote 42 niso imeli kopije datoteke, da bi jo sami pregledali. Vendar so precej prepričani, da za tem napadom stoji Tick, ker so našli lupinsko kodo, ki je podobna lupinski kodi, ki jo je skupina že uporabljala.

SymonLoader preveri, ali ima stroj svojo različico sistema Windows, in če je novejši od Windows Server 2003 ali Windows XP, neha poskušati narediti kar koli drugega. Windows Vista je njegov kriptonit, mislim. Če je operacijski sistem stroja Windows XP ali Windows Server 2003, se izvede skrito okno, ki nenehno preverja nameščene pogone, ko postanejo del datotečnega sistema. SymonLoader uporablja ukaz SCSI INQUIRY, da preveri, ali je kateri od na novo nameščenih pogonov posebej zavarovanega modela naprave, ki ga iščejo. Če se parametri kdaj ujemajo, SymonLoader nato ekstrahira neznana datoteka iz pogona USB.

Ni veliko drugega znanega o tem, kako se SymonLoader obnaša ali zakaj, vendar Enota 42 je napisala to:

»Čeprav nimamo kopije datoteke, skrite na varnem USB-ju, imamo več kot dovolj informacij, da ugotovimo, da je več kot verjetno zlonamerna. Uporaba varnega pogona USB kot orožje je neobičajna tehnika in se verjetno izvaja z namenom ogrožanja sistemov z zračno režo, ki so sistemi, ki se ne povezujejo z javnim internetom. Nekatere industrije ali organizacije so znane po uvedbi zračnih rež iz varnostnih razlogov. Poleg tega se v teh okoljih pogosto uporabljajo zastarele različice operacijskih sistemov, ker ni rešitev za enostavno posodabljanje brez internetne povezave. Ko se uporabniki ne morejo povezati z zunanjimi strežniki, se za izmenjavo podatkov zanašajo na fizične pomnilniške naprave, zlasti pogone USB. SymonLoader in varni pogon USB, o katerem razpravljamo v tem spletnem dnevniku, sta morda primerna za to okoliščino.«

To je razvoj in distribucija zlonamerne programske opreme na ravni MacGyverja. Fascinantno in razsvetljujoče bi bilo vedeti, kdo so Tickove specifične tarče, saj je jasno, da res, res nekaj hočejo od njih.

ZAČNITE BREZPLAČEN PREIZKUS BREZPLAČNO SVOJO MESTO ZAGOTAVLJAJO

Časovni žig:

Več od Kibernetska varnost Comodo