Vé này có thể bay qua máy bay

Vé này có thể bay qua máy bay

Dấu thời gian: ngày 27 tháng 2018 năm 12 33:XNUMX CH

tấn công phần mềm độc hại Thời gian đọc: 4 phút

Máy tính được airgapped là một máy tính được bảo mật rất cao nên nó không có kết nối vật lý hoặc kỹ thuật số với bất kỳ mạng nào. Chúng cũng thường được bảo mật về mặt vật lý trong các trung tâm dữ liệu và phòng máy chủ với quyền truy cập vật lý được giám sát cẩn thận. Để đưa dữ liệu mới vào một máy được airgapped, thông thường, tội phạm mạng sẽ phải xâm nhập vật lý vào cơ sở mà nó đang ở trong đó và sử dụng một số loại phương tiện di động hoặc bên ngoài để tấn công, chẳng hạn như đĩa quang, ổ USB hoặc đĩa cứng ngoài . Sử dụng máy airgapped thực sự bất tiện, vì vậy máy tính thường chỉ được airgapped nếu chúng xử lý dữ liệu rất, rất nhạy cảm. Điều đó khiến chúng trở thành mục tiêu đặc biệt hấp dẫn đối với những kẻ tấn công. Nếu một chiếc máy airgapped là một chiếc ví, nó sẽ là một Túi Birkin da cá sấu trắng Himalaya màu trắng của Hermès trong khi một máy khách điển hình sẽ là một trong những chiếc túi Tokidoki yêu quý của tôi. (Nhân tiện, tôi thích túi Tokidoki của mình hơn.)

Mạng Palo Alto Đơn vị 42 đã phát hiện ra các dấu hiệu của một cuộc tấn công mới đối với các máy đã được airgapped. Tick ​​là một nhóm gián điệp mạng đã nhắm mục tiêu vào các thực thể ở Hàn Quốc và Nhật Bản. Có một nhà thầu quốc phòng Hàn Quốc sản xuất ổ USB theo rất thích hợp Trung tâm chứng nhận bảo mật CNTT hướng dẫn cho khu vực công và khách hàng doanh nghiệp khu vực tư nhân của Hàn Quốc. Đơn vị 42 đã phát hiện ra rằng ít nhất một trong các ổ USB có chứa phần mềm độc hại được chế tạo rất cẩn thận. Nhưng các nhà nghiên cứu của Đơn vị 42 đã không sở hữu bất kỳ ổ USB nào bị xâm phạm. Sẽ rất khó để một bên bên ngoài có thể lấy phần mềm độc hại trên một trong những thiết bị đó ngay từ đầu. Unit 42 gọi phần mềm độc hại là SymonLoader và nó khai thác độc quyền các lỗ hổng của Windows XP và Windows Server 2003.

Vì vậy, Tick đã cố gắng tấn công các máy đã được airgapped với các phiên bản Windows không được hỗ trợ trong một thời gian dài. Có nhiều máy chạy airgapped chạy hệ điều hành cũ không? Rất có thể Tick đã cẩn thận đánh dấu các mục tiêu của họ trước khi họ bắt đầu phát triển SymonLoader.

Đây là kịch bản tấn công mà Đơn vị 42 đưa ra. Tick ​​bằng cách nào đó đã mua lại và xâm phạm một số ổ USB được bảo mật nghiêm ngặt này. Họ đặt phần mềm độc hại SymonLoader của họ vào bất cứ khi nào họ có thể có quyền truy cập vào chúng. Sau khi ổ đĩa bị xâm nhập được gắn vào máy tính Windows XP hoặc Windows Server 2003 được phát sóng nhắm mục tiêu, SymonLoader sẽ khai thác các lỗ hổng chỉ liên quan đến các hệ điều hành đó. Trong khi SymonLoader nằm trong bộ nhớ, nếu các ổ USB được bảo mật cao hơn được phát hiện được gắn vào hệ thống tệp, nó sẽ cố gắng tải tệp độc hại không xác định bằng cách sử dụng các API được thiết kế để truy cập hệ thống tệp. Đó là chu kỳ của phần mềm độc hại được thiết kế rất đặc biệt cho các mục tiêu rất cụ thể! Đó là phần mềm độc hại Windows thời trang cao cấp được thiết kế riêng! Nó quá độc quyền cho những người nhỏ bé như tôi! (Tôi vẫn sử dụng Linux Mint hiện được hỗ trợ.) Bởi vì Đơn vị 42 không sở hữu bất kỳ ổ đĩa nào bị xâm nhập, họ chỉ có thể suy đoán cách các ổ đĩa đã bị nhiễm và cách chúng được đưa đến mục tiêu.

Tick ​​đã được biết là có thể biến các ứng dụng hợp pháp thành Trojan. Đây là những gì Unit 42 đã viết về HomamDownloader mùa hè trước:

“HomamDownloader là một chương trình tải xuống nhỏ với các đặc điểm thú vị tối thiểu theo quan điểm kỹ thuật. HomamDownloader được phát hiện là do Tick gửi qua một email thương mại. Kẻ thù đã tạo ra email và tệp đính kèm đáng tin cậy sau khi hiểu rõ các mục tiêu và hành vi của chúng…

Ngoài kỹ thuật xã hội hóa email, kẻ tấn công còn sử dụng một thủ thuật đối với tệp đính kèm. Tác nhân đã nhúng mã độc hại vào phần tài nguyên của tệp SFX hợp pháp được tạo bởi công cụ mã hóa tệp và sửa đổi điểm vào của chương trình để chuyển sang mã độc hại ngay sau khi chương trình SFX khởi động. Mã độc thả HomamDownloader, sau đó quay trở lại quy trình thông thường trong phần CODE, từ đó sẽ hỏi người dùng mật khẩu và giải mã tệp. Do đó, một khi người dùng thực hiện tệp đính kèm và thấy hộp thoại mật khẩu trên SFX, trình tải xuống bị mã độc hại bắt đầu hoạt động ngay cả khi người dùng chọn Hủy trên cửa sổ mật khẩu ”.

Bây giờ đã đến lúc quay lại SymonLoader. Khi ổ USB có SymonLoader được gắn vào một trong các mục tiêu của Tick, nó sẽ cố gắng yêu cầu người dùng thực thi nó bằng cách sử dụng phiên bản Trojanized của một số loại phần mềm mà người dùng muốn cài đặt trong môi trường của họ. Sau khi thực thi, SymonLoader sẽ tìm kiếm các ổ USB được bảo mật khác nếu và khi chúng được gắn vào hệ thống tệp.

SymonLoader trích xuất một tệp thực thi ẩn từ một ổ USB được bảo mật đặc biệt và sau đó thực thi nó. Các nhà nghiên cứu của Unit 42 chưa có bản sao của tập tin để tự mình kiểm tra. Nhưng họ khá tự tin rằng Tick đứng đằng sau cuộc tấn công này vì họ đã tìm thấy shellcode giống với shellcode mà nhóm trước đây đã được biết là sử dụng.

SymonLoader sẽ kiểm tra phiên bản Windows của máy và nếu nó mới hơn Windows Server 2003 hoặc Windows XP, thì nó sẽ ngừng cố gắng thực hiện bất kỳ điều gì khác. Windows Vista là kryptonite của nó, tôi đoán vậy. Nếu hệ điều hành của máy là Windows XP hoặc Windows Server 2003, thì một cửa sổ ẩn sẽ được thực thi liên tục kiểm tra các ổ đĩa được gắn khi chúng trở thành một phần của hệ thống tệp. SymonLoader sử dụng lệnh SCSI INQUIRY để xác minh xem bất kỳ ổ đĩa nào mới được gắn có thuộc kiểu thiết bị được bảo mật cụ thể mà họ đang tìm kiếm hay không. Nếu các tham số được khớp, SymonLoader sau đó trích xuất một tập tin không xác định từ ổ USB.

Không có nhiều thông tin khác được biết về cách SymonLoader hoạt động hoặc tại sao, nhưng Bài 42 đã viết cái này:

“Mặc dù chúng tôi không có bản sao của tệp ẩn trên USB an toàn, nhưng chúng tôi có quá đủ thông tin để xác định rằng nó có nhiều khả năng là độc hại. Vũ khí hóa một ổ USB an toàn là một kỹ thuật không phổ biến và có thể được thực hiện với nỗ lực nhằm xâm phạm các hệ thống được airgapped, là những hệ thống không kết nối với internet công cộng. Một số ngành hoặc tổ chức được biết đến với việc giới thiệu air gapping vì lý do an ninh. Ngoài ra, hệ điều hành phiên bản lỗi thời thường được sử dụng trong những môi trường đó vì không có giải pháp cập nhật dễ dàng nếu không có kết nối internet. Khi người dùng không thể kết nối với các máy chủ bên ngoài, họ có xu hướng dựa vào các thiết bị lưu trữ vật lý, đặc biệt là ổ USB, để trao đổi dữ liệu. SymonLoader và ổ USB an toàn được thảo luận trong blog này có thể phù hợp với trường hợp này. "

Đó là một số phát triển và phân phối phần mềm độc hại cấp MacGyver. Sẽ thật hấp dẫn và sáng sủa nếu biết được mục tiêu cụ thể của Tick là ai, bởi vì rõ ràng là họ thực sự, thực sự muốn điều gì đó từ họ.

BẮT ĐẦU DÙNG THỬ MIỄN PHÍ NHẬN MIỄN PHÍ SCORECARD NGAY LẬP TỨC

Dấu thời gian:

Thêm từ An ninh mạng Comodo