Час читання: 4 протокол
Машина з повітряним зазором – це комп’ютер, який настільки надійно захищений, що не має жодних фізичних або цифрових підключень до будь-яких мереж. Зазвичай вони також надійно захищені в центрах обробки даних і серверних кімнатах з ретельно контрольованим фізичним доступом. Щоб помістити нові дані в машину з повітряним зазором, зазвичай кіберзлочинець повинен був фізично зламати об’єкт, на якому він знаходиться, і використовувати для атаки якийсь зовнішній або знімний носій, наприклад оптичний диск, USB-накопичувач або зовнішній жорсткий диск. . Використання апаратів із повітряним зазором справді незручно, тому комп’ютери, як правило, мають повітряні зазори, лише якщо вони обробляють дуже-дуже конфіденційні дані. Це робить їх особливо привабливими цілями для зловмисників. Якби апарат із повітряним зазором був гаманцем, це був би a Сумка Hermès білого кольору з крокодила з діамантами Гімалай тоді як типова клієнтська машина буде одна з моїх улюблених сумок Tokidoki. (Я, до речі, віддаю перевагу сумкам Tokidoki.)
Блок 42 мереж Пало-Альто виявили ознаки нової атаки на машини з повітряним зазором. Tick — це група кібершпигунів, яка націлена на організації в Південній Кореї та Японії. Є корейський оборонний підрядник, який виробляє USB-накопичувачі відповідно до дуже ніші Центр сертифікації безпеки ІТ рекомендації для корейської клієнтури підприємств державного та приватного секторів. Підрозділ 42 виявив, що принаймні на одному з USB-накопичувача є дуже ретельно створене шкідливе програмне забезпечення. Але дослідники Unit 42 фізично не володіли жодним із скомпрометованих USB-накопичувачів. Зовнішній стороні має бути важко отримати шкідливе програмне забезпечення на одному з цих пристроїв. Блок 42 викликає зловмисне програмне забезпечення SymonLoader, і воно використовує виключно вразливості Windows XP і Windows Server 2003.
Тож Tick намагається атакувати машини з вільним доступом з версіями Windows, які довгий час не підтримувалися. Чи багато з цих машин із повітряним зазором працюють із застарілими операційними системами? Цілком імовірно, що Tick ретельно знімав відбитки пальців своїх цілей, перш ніж вони почали розробляти SymonLoader.
Ось сценарій нападу, який припускає Unit 42. Tick якимось чином придбав і скомпрометував деякі з цих сильно захищених USB-дисків. Вони встановлюють на них своє шкідливе програмне забезпечення SymonLoader щоразу, коли можуть отримати до них доступ. Після того, як скомпрометований диск монтується в цільову машину Windows XP або Windows Server 2003, SymonLoader використовує вразливості, які стосуються лише цих операційних систем. Поки SymonLoader знаходиться в пам’яті, якщо буде виявлено більш надійно захищені USB-накопичувачі як підключені до файлової системи, він спробує завантажити невідомий шкідливий файл за допомогою API, призначених для доступу до файлової системи. Це цикл дуже спеціально розроблених шкідливих програм для дуже конкретних цілей! Це зловмисне програмне забезпечення високої моди для Windows! Це занадто ексклюзивно для таких маленьких людей, як я! (Я все одно використовую Linux Mint, який підтримується на даний момент.) Оскільки Unit 42 не має у своєму розпорядженні жодного зі зламаних дисків, вони можуть лише припускати, як диски були заражені та як вони доставлені до своїх цілей.
Відомо, що Tick перетворює законні програми на троянські програми. Ось про що писав блок 42 HomamDownloader минулого літа:
«HomamDownloader — невелика програма для завантаження з мінімальними цікавими характеристиками з технічної точки зору. Було виявлено, що HomamDownloader доставлений Tick через фішинг-електронну пошту. Зловмисник створив надійний електронний лист і вкладений файл, зрозумівши цілі та їх поведінку…
Окрім техніки соціальної інженерії електронної пошти, зловмисник також використовує трюк із вкладенням. Актор вставив шкідливий код до розділу ресурсів законного файлу SFX, створеного за допомогою засобу шифрування файлів, і змінив точку входу програми для переходу до шкідливого коду незабаром після запуску програми SFX. Шкідливий код скидає HomamDownloader, а потім повертається до звичайного потоку в розділі CODE, який, у свою чергу, запитує у користувача пароль і розшифровує файл. Таким чином, як тільки користувач виконує вкладення і бачить діалогове вікно пароля на SFX, програма завантаження, вилучена шкідливим кодом, починає працювати, навіть якщо користувач вибирає Скасувати у вікні пароля».
Тепер настав час повернутися до SymonLoader. Після того, як USB-накопичувач із SymonLoader змонтовано в одну з цілей Tick, він намагається змусити користувача виконати його за допомогою троянізованої версії якогось програмного забезпечення, яке користувач хотів би встановити у своєму середовищі. Після виконання SymonLoader шукає інші захищені USB-накопичувачі, якщо і коли вони змонтовані у файлову систему.
SymonLoader витягує прихований виконуваний файл зі спеціального захищеного USB-накопичувача, а потім виконує його. Дослідники Блоку 42 не мали копії файлу, щоб самостійно перевірити. Але вони досить впевнені, що за цією атакою стоїть Tick, тому що вони знайшли шелл-код, який нагадує шеллкод, який група раніше використовувала.
SymonLoader перевіряє машину на наявність версії Windows, і якщо вона новіша, ніж Windows Server 2003 або Windows XP, вона припиняє спроби робити що-небудь інше. Напевно, Windows Vista — це її криптоніт. Якщо ОС машини — Windows XP або Windows Server 2003, то запускається приховане вікно, яке постійно перевіряє наявність підключених дисків, коли вони стають частиною файлової системи. SymonLoader використовує команду SCSI INQUIRY, щоб перевірити, чи є будь-який із нещодавно змонтованих дисків спеціально захищених моделей пристроїв, які вони шукають. Якщо параметри коли-небудь збігаються, SymonLoader витягує файл невідомий файл з USB-накопичувача.
Про те, як і чому поводиться SymonLoader, відомо не так багато, але Це написав блок 42:
«Хоча ми не маємо копії файлу, прихованого на захищеному USB-порту, у нас є більш ніж достатньо інформації, щоб визначити, що він, швидше за все, є шкідливим. Зброя захищеного USB-накопичувача є незвичайною технікою і, ймовірно, робиться з метою скомпрометувати системи з повітряними зазорами, які не підключаються до загальнодоступного Інтернету. Деякі галузі чи організації відомі тим, що вводять повітряний зазор з міркувань безпеки. Крім того, у таких середовищах часто використовуються застарілі версії операційних систем, оскільки без підключення до Інтернету немає рішень, що легко оновлюються. Коли користувачі не можуть підключитися до зовнішніх серверів, вони, як правило, покладаються на фізичні пристрої зберігання даних, зокрема USB-накопичувачі, для обміну даними. SymonLoader і безпечний USB-накопичувач, які обговорюються в цьому блозі, можуть підійти для цієї обставини».
Це розробка та розповсюдження шкідливих програм на рівні MacGyver. Було б захоплююче та просвітлююче знати, хто є конкретними цілями Тіка, тому що зрозуміло, що вони дійсно, дуже хочуть чогось від них.
ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://blog.comodo.com/comodo-news/tick-infecting-airgap-machines/
- a
- Здатний
- МЕНЮ
- доступ
- За
- набувати
- придбаний
- доповнення
- після
- AIR
- та
- Інтерфейси
- застосування
- атака
- нападки
- привабливий
- назад
- сумки
- оскільки
- ставати
- перед тим
- за
- улюблений
- Блог
- порушення
- Виклики
- обережно
- сертифікація
- характеристика
- Перевірки
- ясно
- клієнт
- CNBC
- код
- падає код
- компроміс
- Компрометація
- комп'ютер
- комп'ютери
- впевнений
- З'єднуватися
- Зв'язки
- зв'язок
- постійно
- Підрядник
- створений
- достовірний
- В даний час
- виготовлений на замовлення
- КІБЕРЗЛОЧИНЦІВ
- дані
- Обмін даними
- оборони
- поставляється
- призначений
- виявлено
- Визначати
- розвивається
- розробка
- пристрій
- прилади
- Діалог
- ромб
- важкий
- цифровий
- відкритий
- обговорювалися
- розподіл
- Ні
- управляти
- впав
- краплі
- зусилля
- вбудований
- працює
- шифрування
- Машинобудування
- досить
- підприємство
- юридичні особи
- запис
- Навколишнє середовище
- середовищах
- особливо
- Навіть
- Event
- НІКОЛИ
- обмін
- Ексклюзивний курс
- виключно
- виконувати
- Виконує
- подвигів
- зовнішній
- Виписки
- Об'єкт
- захоплюючий
- філе
- Перший
- відповідати
- потік
- знайдений
- Безкоштовна
- від
- отримати
- Group
- керівні вказівки
- обробляти
- Жорсткий
- сильно
- прихований
- дуже
- Як
- HTML
- HTTPS
- in
- промисловості
- інформація
- встановлювати
- мить
- цікавий
- інтернет
- введення
- IT
- Japan
- скачки
- Знати
- відомий
- Корея
- корейський
- останній
- Legacy
- Ймовірно
- Linux
- трохи
- загрузка
- Довго
- багато часу
- шукати
- ВИГЛЯДИ
- серія
- машина
- Машинки для перманенту
- РОБОТИ
- шкідливих програм
- відповідає
- Медіа
- пам'ять
- мінімальний
- м'ята
- модель
- модифікований
- контрольований
- більше
- мереж
- Нові
- ONE
- операційний
- операційні системи
- організації
- OS
- Інше
- параметри
- частина
- особливо
- партія
- Пароль
- Люди
- фізичний
- Фізично
- місце
- plato
- Інформація про дані Платона
- PlatoData
- точка
- Точка зору
- володіння
- надавати перевагу
- досить
- раніше
- приватний
- приватний сектор
- програма
- громадськість
- put
- Причини
- регулярний
- Дослідники
- походить
- ресурс
- повертати
- кімнати
- прогін
- показник
- розділ
- сектор
- безпечний
- Забезпечений
- безпеку
- бачить
- чутливий
- Сервери
- Повинен
- Ознаки
- невеликий
- So
- соціальна
- Соціальна інженерія
- Софтвер
- Рішення
- деякі
- що в сім'ї щось
- Південь
- South Korea
- спеціальний
- конкретний
- конкретно
- почалася
- починається
- Зупиняє
- зберігання
- такі
- літо
- Підтриманий
- система
- Systems
- з урахуванням
- цільове
- цілі
- технічний
- Команда
- їх
- самі
- отже
- через
- час
- до
- занадто
- інструмент
- ПЕРЕГЛЯД
- типовий
- типово
- Uncommon
- розуміння
- блок
- USB
- USB-накопичувачі
- використання
- користувач
- користувачі
- зазвичай
- перевірити
- версія
- через
- вид
- Уразливості
- Що
- який
- в той час як
- білий
- ВООЗ
- windows
- без
- робочий
- б
- xp
- вашу
- зефірнет
