เห็บนี้สามารถบินผ่าน Airgaps

เวลาอ่านหนังสือ: 4 นาที

เครื่อง airgapped คือคอมพิวเตอร์ที่มีความปลอดภัยสูงจนไม่มีการเชื่อมต่อทางกายภาพหรือดิจิทัลกับเครือข่ายใดๆ โดยปกติแล้วจะมีการรักษาความปลอดภัยทางกายภาพอย่างมากในศูนย์ข้อมูลและห้องเซิร์ฟเวอร์ที่มีการตรวจสอบการเข้าถึงทางกายภาพอย่างระมัดระวัง ในการใส่ข้อมูลใหม่ลงในเครื่อง airgapped โดยทั่วไปแล้วอาชญากรไซเบอร์จะต้องละเมิดสิ่งอำนวยความสะดวกที่มีอยู่และใช้สื่อภายนอกหรือแบบถอดได้บางประเภทสำหรับการโจมตี เช่น ออปติคัลดิสก์ ไดรฟ์ USB หรือฮาร์ดดิสก์ภายนอก . การใช้เครื่อง airgapped นั้นไม่สะดวกจริง ๆ ดังนั้นคอมพิวเตอร์มักจะ airgapped หากพวกเขาจัดการกับข้อมูลที่ละเอียดอ่อนมากและละเอียดอ่อนมากเท่านั้น นั่นทำให้พวกเขาเป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตีโดยเฉพาะ ถ้าเครื่อง airgapped เป็นกระเป๋าเงิน มันจะเป็น กระเป๋า Hermès สีขาว Himalaya crocodile diamond Birkin ในขณะที่เครื่องไคลเอนต์ทั่วไปจะเป็น หนึ่งในกระเป๋าโทกิโดกิที่รักของฉัน. (ฉันชอบกระเป๋า Tokidoki มากกว่า)

Palo Alto Networks หน่วย 42 พบสัญญาณการโจมตีใหม่สำหรับเครื่อง airgapped Tick ​​เป็นกลุ่มจารกรรมทางอินเทอร์เน็ตที่มีกลุ่มเป้าหมายในเกาหลีใต้และญี่ปุ่น มีผู้รับเหมาด้านการป้องกันประเทศเกาหลีที่ทำไดรฟ์ USB ตามซอกมาก ศูนย์รับรองความปลอดภัยไอที แนวทางสำหรับลูกค้าภาครัฐและเอกชนของเกาหลี หน่วยที่ 42 ค้นพบว่าไดรฟ์ USB อย่างน้อยหนึ่งไดรฟ์ได้สร้างมัลแวร์ไว้อย่างพิถีพิถัน แต่นักวิจัยจากหน่วยที่ 42 ไม่ได้ครอบครองไดรฟ์ USB ที่ถูกบุกรุกทางร่างกาย บุคคลภายนอกควรได้รับมัลแวร์บนอุปกรณ์เหล่านั้นตั้งแต่แรกน่าจะเป็นเรื่องยาก หน่วยที่ 42 เรียกมัลแวร์ว่า SymonLoader และใช้ประโยชน์จากช่องโหว่ของ Windows XP และ Windows Server 2003 เท่านั้น

ดังนั้น Tick จึงพยายามโจมตีเครื่อง airgapped ด้วย Windows เวอร์ชันที่ไม่ได้รับการสนับสนุนมาเป็นเวลานาน เครื่อง airgapped เหล่านี้จำนวนมากใช้ระบบปฏิบัติการรุ่นเก่าหรือไม่ มีความเป็นไปได้สูงที่ Tick จะพิมพ์ลายนิ้วมือเป้าหมายอย่างระมัดระวังก่อนที่จะเริ่มพัฒนา SymonLoader

นี่คือสถานการณ์การโจมตีที่หน่วย 42 ตั้งสมมติฐาน ทำเครื่องหมายที่ได้มาและทำลายไดรฟ์ USB ที่มีความปลอดภัยสูงบางตัวเหล่านี้ พวกเขาใส่มัลแวร์ SymonLoader เมื่อใดก็ตามที่สามารถเข้าถึงพวกเขาได้ เมื่อติดตั้งไดรฟ์ที่ถูกบุกรุกในเครื่อง Windows XP หรือ Windows Server 2003 ที่เป็นเป้าหมายของ airgapped SymonLoader จะใช้ประโยชน์จากช่องโหว่ที่เกี่ยวข้องกับระบบปฏิบัติการเหล่านั้นเท่านั้น ขณะที่ SymonLoader อยู่ในหน่วยความจำ หากตรวจพบว่าไดรฟ์ USB ที่มีความปลอดภัยสูงกว่าเมื่อต่อเข้ากับระบบไฟล์ ระบบจะพยายามโหลดไฟล์ที่เป็นอันตรายที่ไม่รู้จักโดยใช้ API ที่ออกแบบมาสำหรับการเข้าถึงระบบไฟล์ เป็นวัฏจักรของมัลแวร์ที่ออกแบบมาโดยเฉพาะสำหรับเป้าหมายที่เฉพาะเจาะจงมาก! เป็นมัลแวร์ Windows ที่ปรับแต่งมาโดยเฉพาะสำหรับ Windows! มันพิเศษเกินไปสำหรับคนตัวเล็กอย่างฉัน! (ตอนนี้ฉันใช้ Linux Mint ที่รองรับอยู่แล้ว) เนื่องจากยูนิต 42 ไม่มีไดรฟ์ที่ถูกบุกรุกอยู่ในความครอบครอง พวกเขาสามารถคาดเดาได้ว่าไดรฟ์นั้นติดไวรัสอย่างไรและจะถูกส่งไปยังเป้าหมายอย่างไร

เป็นที่ทราบกันดีว่า Tick เปลี่ยนแอปพลิเคชั่นที่ถูกกฎหมายให้กลายเป็นโทรจัน นี่คือสิ่งที่หน่วย 42 เขียนเกี่ยวกับ Homamดาวน์โหลด ฤดูร้อนที่แล้ว:

“HomamDownloader เป็นโปรแกรมดาวน์โหลดขนาดเล็กที่มีลักษณะเฉพาะที่น่าสนใจน้อยที่สุดจากมุมมองทางเทคนิค HomamDownloader ถูกพบว่าส่งโดย Tick ผ่านอีเมลหลอกลวง ปฏิปักษ์สร้างอีเมลและไฟล์แนบที่น่าเชื่อถือหลังจากเข้าใจเป้าหมายและพฤติกรรม...

นอกจากเทคนิคอีเมลวิศวกรรมสังคมแล้ว ผู้โจมตียังใช้กลอุบายในไฟล์แนบอีกด้วย นักแสดงได้ฝังโค้ดที่เป็นอันตรายลงในส่วนทรัพยากรของไฟล์ SFX ที่ถูกต้องตามกฎหมายซึ่งสร้างโดยเครื่องมือเข้ารหัสไฟล์ และแก้ไขจุดเข้าใช้งานของโปรแกรมเพื่อข้ามไปยังโค้ดที่เป็นอันตรายทันทีที่โปรแกรม SFX เริ่มทำงาน โค้ดที่เป็นอันตรายจะดร็อป HomamDownloader จากนั้นข้ามกลับไปยังโฟลว์ปกติในส่วน CODE ซึ่งจะถามผู้ใช้ถึงรหัสผ่านและถอดรหัสไฟล์ ดังนั้น เมื่อผู้ใช้รันไฟล์แนบและเห็นกล่องโต้ตอบรหัสผ่านบน SFX โปรแกรมดาวน์โหลดที่ตกหล่นจากโค้ดที่เป็นอันตรายก็จะเริ่มทำงาน แม้ว่าผู้ใช้จะเลือกยกเลิกในหน้าต่างรหัสผ่านก็ตาม”

ตอนนี้ได้เวลากลับไปที่ SymonLoader เมื่อไดรฟ์ USB ที่มี SymonLoader ติดตั้งอยู่ในเป้าหมายหนึ่งของ Tick แล้ว จะพยายามให้ผู้ใช้ดำเนินการโดยใช้ซอฟต์แวร์บางประเภทที่ผู้ใช้ต้องการติดตั้งในระบบโทรจัน เมื่อดำเนินการแล้ว SymonLoader จะค้นหาไดรฟ์ USB ที่ปลอดภัยอื่นๆ หากติดตั้งในระบบไฟล์และเมื่อใด

SymonLoader จะแยกไฟล์ปฏิบัติการที่ซ่อนอยู่จากไดรฟ์ USB ที่มีการรักษาความปลอดภัยพิเศษ จากนั้นเรียกใช้งาน นักวิจัยหน่วยที่ 42 ไม่มีสำเนาของไฟล์เพื่อตรวจสอบด้วยตนเอง แต่พวกเขาค่อนข้างมั่นใจว่า Tick อยู่เบื้องหลังการโจมตีครั้งนี้ เพราะพวกเขาพบ shellcode ที่คล้ายกับ shellcode ที่กลุ่มเคยใช้มาก่อน

SymonLoader ตรวจสอบเครื่องสำหรับเวอร์ชันของ Windows และหากเครื่องใหม่กว่า Windows Server 2003 หรือ Windows XP เครื่องจะหยุดพยายามดำเนินการอย่างอื่น ฉันเดาว่า Windows Vista เป็นคริปโตไนต์ หากระบบปฏิบัติการของเครื่องคือ Windows XP หรือ Windows Server 2003 หน้าต่างที่ซ่อนไว้จะถูกดำเนินการซึ่งจะตรวจสอบไดรฟ์ที่ต่อเชื่อมอย่างต่อเนื่องเมื่อเป็นส่วนหนึ่งของระบบไฟล์ SymonLoader ใช้คำสั่ง SCSI INQUIRY เพื่อตรวจสอบว่าไดรฟ์ที่ติดตั้งใหม่เป็นรุ่นอุปกรณ์ที่มีการรักษาความปลอดภัยเฉพาะที่กำลังมองหาหรือไม่ หากพารามิเตอร์ตรงกัน SymonLoader จะแยก an ไฟล์ที่ไม่รู้จัก จากไดรฟ์ USB

ไม่ค่อยมีใครรู้ว่า SymonLoader ทำงานอย่างไรหรือทำไม แต่ บทที่ 42 เขียนสิ่งนี้:

“ในขณะที่เราไม่มีสำเนาของไฟล์ที่ซ่อนอยู่ใน USB ที่ปลอดภัย เรามีข้อมูลมากเกินพอที่จะระบุได้ว่าไฟล์นั้นเป็นอันตราย การเพิ่มอาวุธให้กับไดรฟ์ USB ที่ปลอดภัยเป็นเทคนิคที่ไม่ธรรมดาและน่าจะทำเพื่อพยายามประนีประนอมกับระบบ airgapped ซึ่งเป็นระบบที่ไม่ได้เชื่อมต่อกับอินเทอร์เน็ตสาธารณะ อุตสาหกรรมหรือองค์กรบางแห่งเป็นที่รู้จักในการแนะนำช่องว่างอากาศด้วยเหตุผลด้านความปลอดภัย นอกจากนี้ ระบบปฏิบัติการรุ่นที่ล้าสมัยมักใช้ในสภาพแวดล้อมเหล่านั้น เนื่องจากไม่มีโซลูชันที่อัปเดตง่าย ๆ หากไม่มีการเชื่อมต่ออินเทอร์เน็ต เมื่อผู้ใช้ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกได้ พวกเขามักจะพึ่งพาอุปกรณ์จัดเก็บข้อมูลจริง โดยเฉพาะไดรฟ์ USB สำหรับการแลกเปลี่ยนข้อมูล SymonLoader และไดรฟ์ USB ที่ปลอดภัยที่กล่าวถึงในบล็อกนี้อาจเหมาะสมกับสถานการณ์นี้”

นั่นคือการพัฒนาและแจกจ่ายมัลแวร์ระดับ MacGyver การรู้ว่าใครคือเป้าหมายเฉพาะของ Tick คงจะเป็นเรื่องที่น่าสนใจและสดใส เพราะเห็นได้ชัดว่าพวกเขาต้องการบางอย่างจากพวกเขาจริงๆ

เริ่มทดลองใช้ฟรี รับคะแนนความปลอดภัยทันทีของคุณฟรี

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/