A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Főoldal/
Blog
/
APT37, LNK fájlok és az USB az Air-Gapped…
Az APT37, az LNK-fájlok és az USB a fizikai elszigeteltségű környezetekben
Írta:
OPSWAT
Ossza meg ezt a bejegyzést
Az APT37-ről szóló legfrissebb hírszerzési információk rávilágítottak arra a kritikus tényre, hogy számos szervezet még mindig áthatolhatatlannak tekinti az air-gapped hálózatokat, annak ellenére, hogy a tények éppen az ellenkezőjét bizonyítják. Amikor a támadók nem jutnak be a hálózaton keresztül, a fizikai csatornákra térnek át. Az ipari, védelmi és kritikus infrastruktúrák területén ez a csatorna szinte mindig a cserélhető adathordozók.
USB továbbra is elengedhetetlenek olyan feladatokhoz, mint a firmware-frissítések, a naplófájlok kinyerése, a gyártói karbantartás és a műszaki fájlok átvitele. Az APT37 által elkövetett, rosszindulatú LNK parancsikonfájlok terjesztése tökéletes példája annak, hogyan lehet ezt a támadási felületet minimális technikai bonyolultsággal és maximális operatív hatással kihasználni.
Miért jelentenek az LNK-fájlok komoly veszélyt az elszigetelt rendszerekre?
Az LNK fájl egy natív Windows-parancsikon. Megjelenésében megkülönböztethetetlen a valódi mappáktól vagy dokumentumoktól, és ezt a tulajdonságot a támadók szándékosan kihasználják.
A látszólag ártalmatlan megjelenés ellenére egy kihasznált LNK-fájl képes a következőkre:
A PowerShell vagy más natív rendszerparancs-értelmezők elindítása
A cserélhető adathordozón tárolt rejtett szkriptek futtatása
Hasznos adatcsomagok előkészítése és elindítása külső kapcsolat nélkül
Megbízható operációs rendszer-segédprogramok felhasználása az észlelés elkerülése érdekében
Ezen végrehajtási útvonalak egyike sem igényel hálózati hozzáférést, a felhasználó makrójainak jóváhagyását vagy önálló kártevőprogram-fájl jelenlétét. Ezáltal maga a parancsikon válik a fenyegetés terjesztési eszközévé, ami jelentős hatással lehet egy hálózati elszigeteltségű környezetben. Például egy operátor behelyez egy USB , duplán rákattint egy látszólag szokványos műszaki dokumentumra, és a támadás észrevétlenül megkezdődik a helyi környezetben, anélkül, hogy azonnali riasztást váltana ki.
Media cserélhető Media gyakorlati vonatkozásai
A probléma nem az USB léte. Hanem az, hogy hiányzik a használatát szabályozó keretrendszer. Számos operatív technológiai (OT) környezetben a jelenlegi helyzet jelentős ellenőrzési hiányosságokat tükröz:
A cserélhető adathordozókat előzetes ellenőrzés nélkül közvetlenül helyezik be a gyártási és fejlesztési munkaállomásokba
A fájlok megnyitása során semmiféle tartalmi ellenőrzés nem történik
Nincs központi áttekintés arról, hogy milyen adatokat, mikor és ki továbbított
Az olyan futtatható fájltípusokra vonatkozó szabályok, mint például az LNK-, EXE- vagy szkriptfájlok, vagy hiányoznak, vagy alkalmazásuk nem következetes
A kifinomult támadóknak nincs szükségük a technikai védelmi intézkedések kijátszására, ha az operatív gyakorlatok akadálytalan utat biztosítanak számukra. Ez a különbség az APT37 és a hasonló, aktívan kihasználó szereplők között.
Az operációs rendszer biztonságának legveszélyesebb tévhite az a feltételezés, hogy a fizikai elszigeteltség egyenlő a védelemmel. Minden olyan kritikus infrastruktúrájú környezetben, ahol eddig dolgoztam, a cserélhető adathordozók működési szempontból elengedhetetlenek, és pontosan erre a szükségszerűségre építenek a támadók. Amikor egy USB átjut az ellenőrzésen, és eljut egy mérnöki munkaállomásra, akkor már nem hálózati problémával állunk szemben. Hanem a következményekkel.
Itay Glick
Vezető mérnök, OT Security Hardware
Miért Kiosk azUSB Kiosk kritikus fontosságú védelmet?
Ha az USB termelési eszközbe való csatlakoztatása után az eszközfelismerésre támaszkodunk, az már csak reagáló jellegű védelmet jelent. Az OT-környezetekben egy ilyen reagáló megközelítés esetén már túl késő lesz a biztonsági incidens terjedését megakadályozni. A működési szempontból legmegfelelőbb megoldás az, ha a cserélhető adathordozók bármely termelési rendszerbe való bejutása előtt kötelezővé tesszük a tartalomellenőrzést.
Az USB kioszk olyan megoldás, amely ellenőrzött, kötelező ellenőrzőpontot hoz létre a külső környezet és az OT/ICS-hálózat határa között. Mivel a cserélhető adathordozókat használat előtt egy erre alkalmas ellenőrző állomáson vizsgálják át, minden eszközre a következő eljárások vonatkoznak:
Több motorral végzett rosszindulatú programok ellenőrzése az ismert fenyegetések felismerése érdekében
Fájltartalom-semlegesítés és -rekonstrukció a fájlokban található aktív tartalmak hatástalanítására
Fájltípus-szabályok érvényesítése a nem engedélyezett formátumok rendszerbe való bejutásának megakadályozása érdekében
Eszközszintű ellenőrzés a hordozó integritásának felmérésére
Átfogó auditnaplózás az egyes adatátvitelek teljes nyomonkövethetőségének biztosítása érdekében
Ez az architektúra fizikailag elválasztja az ellenőrzési folyamatot a termelési rendszerektől, így biztosítva, hogy a magas kockázatú tartalmakat semlegesítsék, mielőtt azok bármely üzemeltetési eszközhöz eljutnának.
Hogyan csökkentik a kioszkok közvetlenül az LNK-alapú támadási láncok kockázatát
A megfelelően beállított szkennelőkioszk-munkafolyamat alapértelmezés szerint a LNK-fájlokat és a hasonló, futtatható objektumokat magas kockázatú elemekként kezeli. Gyakorlatilag ez azt jelenti, hogy:
A parancsikon- és szkriptfájlokat az ellenőrzés során automatikusan letiltják
A jóváhagyott fájltípusokból eltávolítják a futtatható tartalmakat
A fájlokba ágyazott gyanús parancsszerkezeteket azonosítják és hatástalanítják
Csak a kifejezetten engedélyezett fájltípusok juthatnak be az OT-környezetbe
Ha egy támadó rosszindulatú kódot ágyaz be egy LNK-fájlba, azt még azelőtt elfogják és semlegesítik, hogy az USB eljutna a mérnöki munkaállomásra. Ha a szervezeti szabályzat teljes mértékben tiltja a parancsikonfájlok használatát, azokat már a kioszknál kiszűrik, és a támadási láncot még annak megkezdése előtt megszakítják.
A fizikai határok védelme
Az „air gap” megoldások akkor nyújtanak a legnagyobb biztonságot, ha a fizikai rétegen is érvényesítik az ellenőrzéseket. Az USB kioszk a következő előnyöket nyújtja a szervezeteknek:
A szabályok központosított érvényesítése az elosztott létesítményekben és üzemeltetési helyszíneken
A rendszeres ellenőrzés alkalmazása, amely csökkenti az egyes felhasználók megítélésétől való függőséget
Teljes áttekinthetőség az összes cserélhető adathordozó tevékenységéről
A szabályozási és iparági előírásoknak való megfeleléshez szükséges, ellenőrzésre kész dokumentáció
A műszaki munkaállomások, a biztonsági rendszerek és egyéb, súlyos következményekkel járó eszközök kockázati kitettségének csökkentése
Ez különösen kritikus olyan környezetekben, ahol egyetlen fertőzött végpont is terjedhet, és hatással lehet a termelés folyamatosságára, a személyzet biztonságára vagy az áramhálózat megbízhatóságára.
A behelyezés előtti ellenőrzés nem a legjobb gyakorlat. Ez az egyetlen módszer, amellyel a hiányosságok pótolhatók.
Itay Glick
Vezető mérnök, OT Security Hardware
Hogyan OPSWAT Secure kritikus infrastruktúra Secure
Az elszigetelt hálózati környezetek nem azért kerülnek veszélybe, mert hálózathoz kapcsolódnak. Hanem azért, mert a cserélhető adathordozók alapértelmezés szerint megbízhatónak minősülnek. A kritikus infrastruktúrát célzó kifinomult, célzott támadások fényében ez az alapértelmezett feltételezés olyan kockázatot jelent, amelyet a szervezetek már nem engedhetnek meg maguknak. Ha a cserélhető adathordozók az Önök működési folyamatának részét képezik, OPSWAT Peripheral and Removable Media megoldásai többrétegű védelmet nyújtanak, amely megszünteti ezt a biztonsági rést.
MetaDefender Kiosk™: Media Secure Media Secure a beviteli ponton
Az USB támadások elleni védelem érdekében MetaDefender Kiosk fizikai szkennelőállomásként működik, hogy megvédje a szervezetek eszközeit. Beépül a bevált, iparágvezető megoldásokba és technológiákba, hogy megtisztítsa az adatokat, mielőtt azok kritikus környezetbe kerülnének. Olyan megoldásokkal kombinálva, mint MetaDefender File Transfer™ (MFT) ésMedia MetaDefender Media ,Kiosk MetaDefender Kiosk további védelmi rétegeketKiosk , amelyek hozzáadhatók a biztonságos fájlátvitel támogatásához és a szkennelési szabályok érvényesítéséhez.
MetaDefender Endpoint™: futás előtti védelem és eszközkezelés
MetaDefender Endpoint megerősíti a végpontok biztonságát, és védelmet nyújt a perifériák és a cserélhető adathordozók számára kritikus környezetekben. Aktívan felismeri és blokkolja a cserélhető adathordozókat, amíg azok alapos vizsgálatát és tisztaságának ellenőrzését el nem végzik, mielőtt hozzáférést biztosítana számukra a rendszerhez.
Media mint a védelem extra rétege
OPSWAT további megoldásokat OPSWAT a többszintű védelmi stratégia támogatására, amely az adathordozók ellenőrzésével, valamint a vizsgálati és tisztítási szabályok érvényesítésével biztosít többszintű védelmet.
MetaDefender Media Firewall egy könnyen használható hardveres megoldás, amely megvédi a kritikus gazdaszerver-rendszereket a cserélhető adathordozók által hordozott fenyegetésektől. MetaDefender Kiosk mellett működik,Kiosk fizikai réteg az OT-környezetekben, biztosítva, hogy egyetlen ellenőrizetlen cserélhető adathordozó se kerülhesse meg a belépési pontokat.
MetaDefender Validation egy könnyűsúlyú eszköz, amelyet a végpontokra telepítenek, és amely ellenőrző pontként működik annak biztosítására, hogy a végponton csak MetaDefender Kiosk által ellenőrzött fájlokatKiosk megnyitni, másolni, kijelölni és elérni.
Iparágvezető technológiák
Kiosk MetaDefender Kiosk Endpoint MetaDefender Endpoint egyaránt bevált, világszerte elismert technológiákatEndpoint , mint például Multiscanning Metascan™ Multiscanning, amely több mint 30 kártevőellenes motor segítségével 99,2%-os kártevő-felismerési arányt ér el. Ezenkívül a Deep CDR™ technológiát is alkalmazzák, amely proaktív módon eltávolítja a fájlokból a rosszindulatú tartalmakat anélkül, hogy azok működőképességét veszélyeztetné. A cserélhető adathordozók ismert szoftverhibáinak azonosítására szolgáló sebezhetőségi értékelések elvégzése és a bizalmas adatok szivárgása elleni hatékony védelem mellett mindkét megoldás mélyreható, többrétegű védelmet nyújt az IT/OT hálózatok számára a perifériák és a cserélhető adathordozók jelentette fenyegetések ellen.
A vezetőség számára
Az APT37 nem a hálózati biztonsági architektúra áttörésével sikerült áthidalnia az air-gap elszigeteltséget. Az operációs rendszer funkcióit és a cserélhető adathordozók kezelési folyamatait használták ki, amelyek teljes mértékben a szervezet ellenőrzési körébe tartoznak.
Ha a működési munkafolyamat részeként cserélhető adathordozókat használnak, akkor ennek a kihívásnak a kezelése érdekében a védelmet még azelőtt meg kell valósítani, hogy a végrehajtás eléri a végpontot. A legtöbb OT/ICS-környezetben ez a helyzet. Ezért ezt – akárcsak a hálózati peremvonal bármely más ellenőrzését – szigorúan szabályozni kell:
Beépítés előtti ellenőrzés: Egyetlen eszköz sem kerülhet a termelési rendszerbe előzetes ellenőrzés nélkül
Átadás előtti naplózás: Minden média-interakcióról ellenőrizhető nyilvántartást kell készíteni
A hozzáférés előtt orvosolni kell: a kockázatot már a határfelületen semlegesíteni kell, nem pedig utólag felismerni
Ha szeretné megtudni, hogyan OPSWAT abban, hogy semlegesítse a cserélhető adathordozók és a perifériák jelentette fenyegetéseket, mielőtt azok eljutnának a kritikus rendszerébe, vegye fel a kapcsolatot szakértőinkkel még ma.
