Az eltávolítható Media számos szervezet számára okoz biztonsági fejfájást, legyen szó USB-kről, memóriakártyákról, külső HDD-kről, CD/DVD-kről vagy Mobile telefonokról. A USB támadásoknak különösen sokféle formája létezik, és a Ben-Gurion Egyetem kutatói 29 különböző típusú USB-alapú támadást azonosítottak. Ezek egyike a Device Firmware Upgrade (DFU) támadás, amely "a USB szabvány által támogatott legitim folyamatot használja ki a helyi legitim firmware rosszindulatú verzióra történő frissítésére" - mondta Catalin Cimpanu.
Ebben a blogban egy DFU-támadást fogunk szimulálni, ahol egy alkalmazott egy rosszindulatú firmware frissítő futtatható fájlt tartalmazó USB meghajtót hoz be a vállalati hálózatba, és hogyan OPSWAT's MetaDefender Kiosk segíthet megelőzni az ilyen típusú támadásokat.
A támadás kidolgozása
Az msfvenom-ot, egy általános exploit eszközt fogunk használni a hasznos terhek létrehozására és kódolására, néhány speciális opcióval, hogy rosszindulatú firmware frissítési fájlt hozzunk létre.
Itt egy olyan támadást szimulálunk, amelyben egy C2 (Command-and-Control) szerver veszi át az áldozat rendszere feletti irányítást, amikor a rosszindulatú hasznos teher végrehajtásra kerül. A hasznos terhet shikata_ga_nai vagy SGN (japánul azt jelenti, hogy "semmit sem lehet tenni") használatával kódoljuk, és a demonstrációhoz beállítunk egy C2-kiszolgálót, amely egy IP/PORT-ot ad meg.
A rendszer kompromittálása
Vegyünk egy valós forgatókönyvet, amelyben egy alkalmazott egy nem megbízható harmadik féltől letölt egy kompromittált firmware frissítési fájlt a USB oldalra, és beviszi a vállalathoz, hogy használja.
Mi történne, ha ez a USB meghajtó be lenne helyezve egy rendszerbe, és a felhasználó végrehajtaná?
Nos, abban a pillanatban, amikor az alkalmazott bedugja ezt a USB meghajtót a rendszerbe, és futtatja, ez a hasznos teher visszakapcsolódik a támadó által ellenőrzött géphez vagy C2-kiszolgálóhoz.
Lássuk, hogy megy ez.
Most már megvan a shell parancssor képernyője az áldozat gépéről, és támadóként bármilyen parancsot végre tudunk hajtani a C2-kiszolgálóról.
A kérdés azonban az, hogy tehetünk-e valamit annak érdekében, hogy megakadályozzuk ezt a támadást?
Hogyan segít megelőzni ezt a fajta támadást a MetaDefender Kiosk ?
MetaDefender Kiosk digitális biztonsági őrként működik, aki minden adathordozót megvizsgál rosszindulatú programok, sebezhetőségek és érzékeny adatok szempontjából, mielőtt az a vállalathoz kerülne. A MetaDefender Kiosk a biztonságos létesítmények fizikai belépési pontjánál vagy egy légtérzáras hálózat bejáratánál történő telepítésre tervezték.
Most pedig lássuk a gyakorlatban.
A USB meghajtót, amely a DFU-t és egy rosszindulatú fájlt tartalmaz, beillesztjük a MetaDefender Kiosk .
Most pedig vizsgáljuk át a teljes USB Drive és figyeljük meg a MetaDefender Kiosk erejét.
Néhány másodpercen belül kapunk egy szép jelentést, amely szerint ez a firmware frissítési fájl valójában rosszindulatú, és a MetaDefender Kiosk már blokkolta azt.
Ahogy azt el tudja képzelni, a MetaDefender Kiosk még sok mindent tehet a OT/ICS (integrált vezérlőrendszerek) és a kritikus infrastruktúra környezetének rosszindulatú szoftverek és nulladik napi támadások elleni védelme érdekében. E környezetek többsége air-gapped, és csak hordozható médiaeszközök használatával frissíthető, amelyek MetaDefender Kiosk auditálhatók, átvizsgálhatók és megtisztíthatók, mielőtt a rosszindulatú szoftverek elérnék a kritikus OT hálózatot. OPSWAT MetaDefender Kiosk a legjobb kiberfenyegetések meghiúsítására szolgáló technológiákat használja, mint például: A kockázatok csökkentése és a jogszabályi megfelelőség megerősítése érdekében többszörös szkennelőmotorokat, a boot-szektor vizsgálatát, a mélyreható tartalmi hatástalanítást és rekonstrukciót (CDR), a proaktív adatvesztés-megelőzést (DLP), a fájlalapú sebezhetőségi értékelést és a származási ország ellenőrzését.
Egyéb kapcsolódó blogok:
