Removabile Media este o problemă de securitate pentru multe organizații, fie că este vorba de USB, carduri de memorie, HDD externe, CD/DVD-uri sau telefoane Mobile . În special atacurile de tip USB îmbracă mai multe forme diferite, iar cercetătorii de la Universitatea Ben-Gurion au identificat 29 de tipuri diferite de atacuri bazate pe USB. Unul dintre acestea este atacul DFU (Device Firmware Upgrade), care exploatează "un proces legitim susținut de standardul USB , pentru a actualiza firmware-ul legitim local cu o versiune malițioasă", a declarat Cătălin Cimpanu.
În acest blog vom simula un atac DFU în care un angajat aduce o unitate USB care conține un fișier executabil de actualizare a firmware-ului malițios într-o rețea corporativă, și cum OPSWAT's MetaDefender Kiosk poate ajuta la prevenirea acestui tip de atac.
Dezvoltarea atacului
Vom utiliza msfvenom, un instrument comun de exploatare pentru generarea și codificarea încărcăturilor utile, cu câteva opțiuni avansate pentru a genera un fișier de actualizare a firmware-ului malițios.
Aici simulăm un atac cu un server C2 (Command-and-Control) care preia controlul asupra sistemului victimei atunci când sarcina utilă malițioasă este executată. Sarcina utilă este codificată folosind shikata_ga_nai sau SGN (în japoneză înseamnă "nu se poate face nimic") și configurăm un server C2 specificând un IP/PORT în scopuri demonstrative.
Compromiterea unui sistem
Să luăm un scenariu din lumea reală în care un angajat descarcă un fișier compromis de actualizare a firmware-ului pe USB de la o terță parte care nu este de încredere și îl aduce în companie pentru a-l utiliza.
Ce s-ar întâmpla dacă această unitate USB ar fi introdusă într-un sistem și executată de către utilizator?
Ei bine, în momentul în care angajatul conectează această unitate USB în sistem și o execută, această sarcină utilă se va conecta înapoi la mașina controlată de atacator sau la serverul C2.
Să vedem cum va fi.
Acum avem ecranul liniei de comandă shell de pe mașina victimă și putem executa orice comandă dorim de pe serverul C2 ca atacator.
Dar întrebarea este dacă putem face ceva pentru a preveni acest atac?
Cum MetaDefender Kiosk ajută la prevenirea acestui tip de atac?
MetaDefender Kiosk acționează ca un gardian de securitate digitală care inspectează toate mediile pentru malware, vulnerabilități și date sensibile înainte de a intra în corporație. MetaDefender Kiosk este proiectat pentru a fi instalat la punctul de intrare fizică al instalațiilor securizate sau la intrarea într-o rețea cu grilă de aer.
Acum, să vedem cum funcționează.
Vom insera unitatea USB care conține DFU împreună cu un fișier malițios într-un MetaDefender Kiosk .
Acum să scanăm întregul USB Drive și să observăm puterea lui MetaDefender Kiosk .
În câteva secunde, ni se prezintă un raport frumos care ne spune că acest fișier de actualizare a firmware-ului este de fapt rău intenționat și că MetaDefender Kiosk l-a blocat deja.
După cum vă puteți imagina, există mult mai multe lucruri pe care MetaDefender Kiosk le pot face pentru a vă proteja mediile OT/ICS (sisteme integrate de control) și infrastructurile critice împotriva programelor malware și a atacurilor de tip zero-day. Majoritatea acestor medii sunt izolate prin aer și pot fi actualizate numai prin utilizarea dispozitivelor media portabile, pe care MetaDefender Kiosk le poate verifica, scana și curăța înainte ca malware-ul să ajungă la o rețea OT critică. OPSWAT MetaDefender Kiosk utilizează tehnologii de vârf de contracarare a amenințărilor cibernetice, cum ar fi: motoare de scanare multiple, scanarea sectorului de boot, Deep Content Disarm and Reconstruction (CDR), prevenirea proactivă a pierderii de date (DLP), File-based Vulnerability Assessment și o verificare a țării de origine pentru a reduce riscurile și a consolida conformitatea.
Alte bloguri conexe de interes:
