Symonloader Kötü Amaçlı Yazılım Kullanarak Hava Boşluğu Makinelerine Saldıran Tick | Komodo

Okuma zamanı: 4 dakika

Hava aralıklı bir makine, herhangi bir ağa fiziksel veya dijital bağlantısı olmayacak kadar yüksek düzeyde güvenlikli bir bilgisayardır. Ayrıca, dikkatle izlenen fiziksel erişime sahip veri merkezlerinde ve sunucu odalarında genellikle fiziksel olarak büyük ölçüde güvenlidirler. Yeni verileri hava boşluklu bir makineye koymak için, tipik olarak bir siber suçlunun içinde bulunduğu tesisi fiziksel olarak ihlal etmesi ve optik disk, USB sürücüsü veya harici bir sabit disk gibi saldırıları için bir tür harici veya çıkarılabilir ortam kullanması gerekir. . Hava aralıklı makinelerin kullanılması gerçekten sakıncalıdır, bu nedenle bilgisayarlar genellikle yalnızca çok, çok hassas verileri işlediklerinde hava boşluğuna alınır. Bu, onları saldırganlar için özellikle çekici hedefler haline getirir. Hava boşluklu bir makine bir cüzdan olsaydı, bir Hermès beyaz Himalaya timsah elmas Birkin çanta oysa tipik bir istemci makinesi sevgili Tokidoki çantalarımdan biri. (Bu arada Tokidoki çantalarımı daha çok tercih ederim.)

Palo Alto Networks Ünite 42 airgapped makinelere yönelik yeni bir saldırının işaretlerini keşfetti. Tick, Güney Kore ve Japonya'daki varlıkları hedefleyen bir siber casusluk grubudur. USB sürücülerini çok nişlere göre yapan bir Koreli savunma firması var. BT Güvenlik Sertifikasyon Merkezi Kore kamu sektörü ve özel sektör kurumsal müşteriler için yönergeler. Ünite 42, USB sürücülerden en az birinin üzerinde çok dikkatli bir şekilde kötü amaçlı yazılım oluşturduğunu keşfetti. Ancak Ünite 42 araştırmacıları, risk altındaki USB sürücülerden hiçbirine fiziksel olarak sahip değiller. İlk etapta, harici bir tarafın bu cihazlardan birine kötü amaçlı yazılım yüklemesi zor olmalı. Unit 42, kötü amaçlı yazılım SymonLoader'ı çağırır ve yalnızca Windows XP ve Windows Server 2003 güvenlik açıklarından yararlanır.

Bu yüzden Tick, uzun süredir desteklenmeyen Windows sürümlerine sahip airgapped makinelere saldırmaya çalışıyor. Bu airgapped makinelerin çoğu eski işletim sistemlerini kullanıyor mu? Tick'in, SymonLoader'ı geliştirmeye başlamadan önce hedeflerini dikkatlice parmak izini almış olması çok muhtemeldir.

İşte Ünite 42'nin varsaydığı saldırı senaryosu. Bir şekilde bu son derece güvenli USB sürücülerden bazılarını aldı ve tehlikeye attı. Onlara erişebildikleri her an SymonLoader kötü amaçlı yazılımlarını üzerlerine koyarlar. Güvenliği ihlal edilmiş bir sürücü, hedeflenen bir Windows XP veya Windows Server 2003 makinesine takıldığında, SymonLoader yalnızca bu işletim sistemleriyle ilgili güvenlik açıklarından yararlanır. SymonLoader bellekteyken, daha ağır güvenlikli USB sürücülerinin dosya sistemine takılı olduğu tespit edilirse, dosya sistemi erişimi için tasarlanmış API'leri kullanarak bilinmeyen kötü amaçlı dosyayı yüklemeye çalışır. Bu, çok özel hedefler için çok özel olarak tasarlanmış kötü amaçlı yazılımların döngüsüdür! Özel olarak tasarlanmış haute couture Windows kötü amaçlı yazılımdır! Benim gibi küçük insanlar için çok özel! (Halihazırda desteklenen Linux Mint'i kullanıyorum.) Ünite 42'de ele geçirilmiş herhangi bir disk bulunmadığından, sürücülere nasıl virüs bulaştığını ve hedeflerine nasıl teslim edildiklerini sadece tahmin edebilirler.

Tick'in meşru uygulamaları Truva atlarına dönüştürdüğü bilinmektedir. İşte Ünite 42 hakkında yazdıkları Homamİndirici geçen yaz:

“HomamDownloader, teknik açıdan minimum ilginç özelliklere sahip küçük bir indirme programıdır. HomamDownloader'ın, bir hedefli kimlik avı e-postası aracılığıyla Tick tarafından teslim edildiği keşfedildi. Düşman, hedefleri ve davranışlarını anladıktan sonra güvenilir bir e-posta ve ek oluşturdu ...

Saldırgan, sosyal mühendislik e-posta tekniğine ek olarak, ek için bir numara da kullanır. Oyuncu kötü amaçlı kodu, bir dosya şifreleme aracı tarafından oluşturulan meşru SFX dosyasının bir kaynak bölümüne gömdü ve SFX programı başladıktan hemen sonra kötü amaçlı koda atlamak için programın giriş noktasını değiştirdi. Kötü amaçlı kod HomamDownloader'ı bırakır ve ardından KOD bölümündeki normal akışa geri döner, bu da kullanıcıya şifreyi sorar ve dosyanın şifresini çözer. Bu nedenle, bir kullanıcı eki çalıştırıp SFX'te şifre iletişim kutusunu gördüğünde, kötü amaçlı kod tarafından bırakılan indirici, kullanıcı şifre penceresinde İptal'i seçse bile çalışmaya başlar. "

Şimdi SymonLoader'a dönme zamanı. SymonLoader içeren bir USB sürücü Tick'in hedeflerinden birine takıldığında, kullanıcının ortamına yüklemek isteyeceği bir tür yazılımın Truva atı haline getirilmiş bir sürümünü kullanarak kullanıcının bunu yürütmesini sağlamaya çalışır. SymonLoader yürütüldüğünde, dosya sistemine takılıysa ve takıldıklarında diğer güvenli USB sürücüleri arar.

SymonLoader, özel güvenli bir USB sürücüden gizli bir yürütülebilir dosyayı çıkarır ve ardından onu çalıştırır. Ünite 42 araştırmacıları dosyanın kendileri için inceleyecek bir kopyasına sahip değiller. Ancak bu saldırının arkasında Tick'in olduğundan oldukça eminler çünkü grubun daha önce kullandığı shellcode'a benzeyen shellcode buldular.

SymonLoader, makinenin Windows sürümünü kontrol eder ve Windows Server 2003 veya Windows XP'den daha yeniyse, başka bir şey yapmayı denemeyi bırakır. Windows Vista onun kriptoniti sanırım. Makinenin işletim sistemi Windows XP veya Windows Server 2003 ise, dosya sisteminin bir parçası haline geldiklerinde takılı sürücüleri sürekli olarak kontrol eden gizli bir pencere yürütülür. SymonLoader, yeni takılan sürücülerden herhangi birinin aradıkları özel olarak güvenli cihaz modeli olup olmadığını doğrulamak için SCSI INQUIRY komutunu kullanır. Eğer parametreler eşleşirse, SymonLoader daha sonra bir bilinmeyen dosya USB sürücüsünden.

SymonLoader'ın nasıl davrandığı veya neden olduğu hakkında pek bir şey bilinmiyor, ancak Birim 42 bunu yazdı:

“Güvenli USB'de gizli dosyanın bir kopyası olmasa da, muhtemelen kötü amaçlı olduğunu belirlemek için fazlasıyla yeterli bilgiye sahibiz. Güvenli bir USB sürücüsünü silahlandırmak alışılmadık bir tekniktir ve büyük olasılıkla genel internete bağlanmayan sistemler olan airgapped sistemleri tehlikeye atmak amacıyla yapılır. Bazı endüstriler veya kuruluşlar, güvenlik nedenleriyle hava boşluğu getirdiği bilinmektedir. Ayrıca, internet bağlantısı olmadan kolay güncelleme çözümleri olmadığından, eski sürüm işletim sistemleri bu ortamlarda sıklıkla kullanılmaktadır. Kullanıcılar harici sunuculara bağlanamadıklarında, veri alışverişi için fiziksel depolama cihazlarına, özellikle USB sürücülerine güvenme eğilimindedirler. Bu blogda tartışılan SymonLoader ve güvenli USB sürücüsü bu duruma uygun olabilir. "

Bu, bazı MacGyver düzeyinde kötü amaçlı yazılım geliştirme ve dağıtımıdır. Tick'in belirli hedeflerinin kim olduğunu bilmek büyüleyici ve aydınlatıcı olurdu, çünkü onlardan gerçekten, gerçekten bir şeyler istedikleri açık.

DENEME SÜRÜMÜNE BAŞLA ANINDA GÜVENLİK PUANINI ÜCRETSİZ ALIN

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/