Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.
Acasă/
Blog
/
APT37, fișierele LNK și USB în sistemele izolate...
APT37, fișierele LNK și USB asociat USB în mediile izolate fizic
De
OPSWAT
Împărtășește această postare
Informațiile recente privind APT37 au evidențiat realitatea critică conform căreia multe organizații continuă să considere rețelele izolate fizic ca fiind impenetrabile, în ciuda dovezilor care demonstrează contrariul. Atunci când atacatorilor li se blochează punctele de acces prin rețea, aceștia se orientează către vectori fizici. În mediile industriale, de apărare și de infrastructură critică, acest vector este aproape întotdeauna reprezentat de suporturile de stocare amovibile.
USB rămân indispensabile din punct de vedere operațional pentru activități precum actualizările de firmware, extragerea jurnalelor, întreținerea efectuată de furnizori și transferul de fișiere tehnice. Utilizarea de către APT37 a fișierelor de comenzi rapide LNK rău intenționate constituie un exemplu clasic al modului în care această suprafață de atac este exploatată cu o complexitate tehnică minimă și un impact operațional maxim.
De ce fișierele LNK reprezintă o amenințare semnificativă pentru mediile izolate
Un fișier LNK este o comandă rapidă nativă a sistemului Windows. Aspectul său este imposibil de deosebit de cel al unui dosar sau document legitim, un detaliu pe care un atacator l-ar exploata în mod deliberat.
În spatele aspectului său inofensiv, un fișier LNK exploatat poate:
Apelarea PowerShell sau a altor interpretoare native ale sistemului
Executarea scripturilor ascunse stocate pe dispozitivul amovibil
Pregătirea și declanșarea sarcinilor utile fără a fi necesară o conexiune externă
Folosirea unor utilitare de încredere ale sistemului de operare pentru a evita detectarea
Niciuna dintre aceste căi de execuție nu necesită acces la rețea, aprobarea utilizatorului pentru macrocomenzi sau prezența unui fișier executabil de tip malware independent. Acest lucru face ca scurtătura însăși să devină mecanismul de livrare a amenințării, ceea ce poate avea un impact semnificativ într-un mediu izolat fizic. De exemplu, un operator introduce o USB , face dublu clic pe ceea ce pare a fi un document tehnic obișnuit, iar compromiterea se inițiază în mod silențios în mediul local, fără a declanșa alarme imediate.
Realitatea operațională a Media amovibile
Problema de fond nu este existența tehnologiei USB , ci lipsa unor mecanisme de reglementare privind utilizarea acesteia. În numeroase medii OT, situația actuală evidențiază o lacună semnificativă în materie de control:
Suporturile amovibile sunt introduse direct în stațiile de lucru de producție și inginerie, fără o verificare prealabilă
Fișierele sunt deschise fără a fi supuse vreunei forme de verificare a conținutului
Nu există o imagine de ansamblu centralizată asupra datelor care au fost transferate, a momentului transferului sau a persoanei care a efectuat transferul
Politicile care reglementează tipurile de fișiere executabile, precum fișierele LNK, EXE sau fișierele script, fie lipsesc, fie nu sunt aplicate în mod consecvent
Actorii răuvoitori sofisticați nu au nevoie să ocolească măsurile tehnice de securitate atunci când practicile operaționale le oferă o cale liberă. Aceasta este diferența dintre APT37 și actorii similari care exploatează în mod activ aceste vulnerabilități.
Cea mai periculoasă presupunere în domeniul securității OT este aceea că izolarea fizică echivalează cu protecția. În fiecare mediu de infrastructură critică cu care am lucrat, suporturile amovibile sunt indispensabile din punct de vedere operațional, iar tocmai pe această necesitate mizează actorii răuvoitori. Atunci când un USB trece de controlul de securitate și ajunge la o stație de lucru a inginerilor, nu mai ai de-a face cu o problemă de rețea. Ai de-a face cu consecințele.
Itay Glick
Director general, OT Security Hardware
De ce un Kiosk USB Kiosk un element esențial de control
A te baza pe detectarea la nivel de terminal după ce un USB a fost introdus într-un sistem de producție reprezintă o abordare reactivă. În mediile OT, o astfel de abordare face ca intervenția pentru limitarea unei breșe de securitate să vină prea târziu. Cea mai eficientă abordare din punct de vedere operațional este aceea de a impune inspectarea conținutului înainte ca suporturile amovibile să ajungă la orice sistem de producție.
Un chioșc USB este o soluție care creează un punct de control obligatoriu și supravegheat între mediul extern și granița rețelei OT/ICS. Deoarece suporturile amovibile sunt verificate printr-o stație de inspecție adecvată înainte de utilizare, fiecare dispozitiv este supus următoarelor verificări:
Scanarea în căutarea programelor malware folosind mai multe motoare de scanare pentru a detecta amenințările cunoscute
Dezactivarea și refacerea conținutului fișierelor pentru neutralizarea conținutului activ din fișiere
Aplicarea politicilor privind tipurile de fișiere pentru a împiedica introducerea în mediu a formatelor neaprobate
Inspecție la nivel de dispozitiv pentru a evalua integritatea suportului de stocare
Înregistrarea detaliată a operațiunilor de audit pentru a asigura un lanț complet de responsabilitate pentru fiecare transfer
Această arhitectură separă fizic procesul de inspecție de sistemele de producție, asigurându-se că conținutul cu risc ridicat este neutralizat înainte de a ajunge la orice resursă operațională.
Cum chioșcurile atenuează direct lanțurile de atac bazate pe LNK
Un flux de lucru al unui chioșc de scanare configurat corespunzător tratează, în mod implicit, fișierele LNK și alte artefacte similare care pot fi executate ca obiecte cu risc ridicat. Din punct de vedere operațional, aceasta înseamnă:
Fișierele de comenzi rapide și scripturile sunt blocate automat în etapa de verificare
Conținutul executabil este eliminat din tipurile de fișiere aprobate
Structurile de comenzi suspecte încorporate în fișiere sunt identificate și neutralizate
Numai tipurile de fișiere autorizate în mod explicit au permisiunea de a fi transferate în mediul OT
Dacă un atacator încorporează un cod dăunător într-un fișier LNK, acesta este interceptat și eliminat înainte ca USB să ajungă la stația de lucru a inginerilor. În cazul în care politica organizațională interzice complet fișierele de tip scurtătură, acestea sunt filtrate la nivelul chioșcului, iar lanțul de atac este întrerupt înainte de a putea fi inițiat.
Securizarea perimetrului fizic
Barierele fizice oferă cel mai înalt nivel de securitate atunci când măsurile de control sunt aplicate la nivel fizic. Un chioșc USB oferă organizațiilor:
Aplicarea centralizată a politicilor în cadrul instalațiilor și locațiilor operaționale distribuite
O aplicare consecventă a măsurilor de control care reduce dependența de judecata individuală a utilizatorilor
Vizibilitate operațională completă asupra tuturor activităților legate de suporturile amovibile
Documentație pregătită pentru audit, în vederea respectării cadrului normativ și a standardelor sectoriale
Reducerea expunerii la riscuri pentru stațiile de lucru din domeniul ingineriei, sistemele de siguranță și alte active cu impact major
Acest aspect este deosebit de important în mediile în care un singur terminal compromis poate genera efecte în lanț și afecta continuitatea operațiunilor de producție, siguranța personalului sau fiabilitatea rețelei.
Verificarea înainte de introducere nu este cea mai bună practică. Este singura practică care elimină lacuna.
Itay Glick
Director general, OT Security Hardware
Cum OPSWAT Secure infrastructura critică
Mediile izolate fizic nu sunt compromise din cauza conexiunii la rețea. Ele sunt compromise deoarece suporturile amovibile sunt considerate de încredere în mod implicit. În contextul campaniilor sofisticate și țintite împotriva infrastructurilor critice, această presupunere implicită reprezintă un risc pe care organizațiile nu și-l mai pot permite. Atunci când suporturile amovibile fac parte din fluxul dvs. operațional, soluțiile OPSWAT Media dispozitivelor periferice și Media amovibile oferă controale pe mai multe niveluri care elimină această vulnerabilitate.
MetaDefender Kiosk™: Secure Media Secure chiar la punctul de intrare
Pentru a vă proteja împotriva vectorilor de atac USB, MetaDefender Kiosk acționează ca o stație fizică de scanare pentru a proteja activele organizațiilor. Se integrează cu soluții și tehnologii dovedite, lider în industrie, pentru a curăța datele înainte ca acestea să intre în medii critice. Combinat cu soluții precum MetaDefender File Transfer™ (MFT) și MetaDefender Media , MetaDefender Kiosk straturi suplimentare de apărare care pot fi adăugate pentru a susține transferurile sigure de fișiere și pentru a aplica politicile de scanare.
MetaDefender Endpoint™: Protecție înainte de rulare și controlul dispozitivelor
MetaDefender Endpoint consolidează securitatea terminalelor și asigură protecția dispozitivelor periferice și a suporturilor amovibile în medii critice. Acesta detectează și blochează în mod activ dispozitivele cu suporturi amovibile până când acestea sunt scanate în detaliu și se confirmă că sunt curate, înainte de a le acorda acces la sistem.
Validarea Media ca strat suplimentar de apărare
OPSWAT soluții suplimentare care susțin o strategie de apărare în profunzime, asigurând o protecție pe mai multe niveluri prin validarea suporturilor de stocare și aplicarea politicilor de scanare și curățare.
MetaDefender Media Firewall este o soluție hardware ușor de utilizat pentru protejarea sistemelor gazdă critice împotriva amenințărilor transmise de suporturile amovibile. Funcționează împreună cu MetaDefender Kiosk strat fizic în mediile OT pentru a se asigura că niciun suport amovibil nescanat nu poate ocoli punctele de intrare.
MetaDefender Validation este un instrument ușor, instalat pe dispozitivele finale, care funcționează ca un punct de control pentru a se asigura că numai fișierele scanate de MetaDefender Kiosk fi deschise, copiate, selectate și accesate de către dispozitivul final.
Tehnologii de vârf în industrie
Atât MetaDefender Kiosk MetaDefender Endpoint tehnologii consacrate și recunoscute la nivel mondial, precum Metascan™ Multiscanning, care ating rate de detectare a programelor malware de 99,2% folosind peste 30 de motoare anti-malware. De asemenea, acestea utilizează tehnologia Deep CDR™ pentru a elimina în mod proactiv conținutul dăunător din fișiere, fără a compromite funcționalitatea acestora. Pe lângă efectuarea de evaluări de vulnerabilitate pentru a identifica defectele cunoscute ale software-ului de pe suporturile amovibile și asigurarea unei protecții solide împotriva scurgerilor de date sensibile, ambele soluții oferă o apărare profundă, pe mai multe niveluri, pentru rețelele IT/OT împotriva amenințărilor provenite de la dispozitive periferice și suporturi amovibile.
Concluzii pentru conducere
APT37 nu a reușit să depășească izolarea prin „air-gap” prin compromiterea arhitecturii de securitate a rețelei. Aceștia au exploatat funcționalitățile sistemului de operare și fluxurile de lucru legate de suporturile amovibile, care se află în întregime sub controlul organizației.
Pentru a face față acestei provocări, măsurile de prevenire trebuie luate înainte ca execuția să ajungă la punctul final, în cazul în care suporturile amovibile fac parte din fluxul dvs. de lucru operațional. În majoritatea mediilor OT/ICS, acesta este cazul. Prin urmare, acestea trebuie gestionate cu strictețe, la fel ca orice alt control al perimetrului rețelei:
Verificați înainte de implementare: Niciun dispozitiv nu ar trebui să ajungă într-un sistem de producție fără o verificare prealabilă
Înregistrare înainte de transfer: fiecare interacțiune cu suporturile de stocare trebuie să genereze o înregistrare care poate fi verificată
Remediați problema înainte de accesare: riscul trebuie neutralizat la sursă, nu identificat abia după ce s-a produs incidentul
Pentru a afla cum vă OPSWAT ajuta OPSWAT să neutralizați amenințările provenite de la suporturile amovibile și periferice înainte ca acestea să ajungă în mediul dvs. critic, discutați astăzi cu un expert.
