נשלף Media מהווה כאב ראש אבטחתי עבור ארגונים רבים, בין אם מדובר ב-USB, כרטיסי זיכרון, דיסק קשיח חיצוני, תקליטורים/DVD או Mobile טלפונים. USB התקפות בפרט מגיעות בצורות רבות ושונות, וחוקרים באוניברסיטת בן גוריון זיהו 29 סוגים שונים של התקפות מבוססות USB . אחת מהן היא התקפת שדרוג קושחת המכשיר (DFU) המנצלת "תהליך לגיטימי הנתמך על ידי USB "סטנדרט, לעדכן קושחה לגיטימית מקומית לגרסה זדונית", אמרה קטלין צימפאנו.
בבלוג הזה אנחנו הולכים לדמות התקפת DFU שבה עובד מביא... USB כונן המכיל קובץ הרצה של שדרוג קושחה זדוני לרשת ארגונית, וכיצד OPSWAT Kiosk MetaDefender של יכול לסייע במניעת סוג זה של התקפה.
פיתוח ההתקפה
נשתמש ב-msfvenom, כלי נפוץ לניצול תקלות ליצירה וקידוד של מטענים, עם מספר אפשרויות מתקדמות ליצירת קובץ שדרוג קושחה זדוני.
כאן אנו מדמים מתקפה עם שרת C2 (Command-and-Control) שמשתלט על מערכת הקורבן כאשר המטען הזדוני מבוצע. המטען מקודד באמצעות shikata_ga_nai או SGN (ביפנית פירושו "לא ניתן לעשות דבר") ואנו מגדירים שרת C2 המציין IP/PORT למטרות הדגמה.
פגיעה במערכת
בואו ניקח תרחיש אמיתי שבו עובד מוריד קובץ שדרוג קושחה פגום אל... USB מצד שלישי לא מהימן ומביא אותו לחברה כדי להשתמש בו.
מה יקרה אם זה USB האם הכונן הוכנס למערכת והופעל על ידי המשתמש?
ובכן, ברגע שהעובד מפרסם את זה USB כונן לתוך המערכת ומפעיל אותה, מטען זה יתחבר חזרה למכונה הנשלטת על ידי התוקף או לשרת C2.
בואו נראה איך זה ילך.
כעת קיבלנו את מסך שורת הפקודה של המעטפת ממחשב הקורבן ויכולים לבצע כל פקודה שנרצה משרת C2 כתוקף.
אבל השאלה היא, האם יש משהו שאנחנו יכולים לעשות כדי למנוע את ההתקפה הזו?
אֵיך MetaDefender Kiosk עוזר למנוע סוג זה של התקפה?
MetaDefender Kiosk משמש כמאבטח דיגיטלי שבודק את כל המדיה לאיתור תוכנות זדוניות, פגיעויות ונתונים רגישים לפני הכניסה לתאגיד. MetaDefender Kiosk מיועד להתקנה בנקודת הכניסה הפיזית של מתקנים מאובטחים, או בכניסה לרשת עם פער אוויר .
עכשיו בואו נראה את זה בפעולה.
אנחנו הולכים להכניס את USB כונן שמכיל את קובץ ה-DFU יחד עם קובץ זדוני לתוך MetaDefender Kiosk .
עכשיו בואו נסרוק את כולו USB Drive ולהתבונן בכוחו של MetaDefender Kiosk .
תוך מספר שניות, מוצג בפנינו דוח נחמד שאומר שקובץ שדרוג הקושחה הזה הוא למעשה זדוני, וכי MetaDefender Kiosk כבר חסם את זה.
כפי שאתם יכולים לתאר לעצמכם, יש עוד כל כך הרבה דברים MetaDefender Kiosk מה שאתם יכולים לעשות כדי להגן על סביבות ה-OT/ICS (מערכות בקרה משולבות) והתשתית הקריטית שלכם מפני תוכנות זדוניות והתקפות אפס-יום. רוב הסביבות הללו הן בעלות פער אוויר וניתן לעדכן אותן רק באמצעות שימוש במכשירי מדיה ניידים, אשר MetaDefender Kiosk יכול לבצע ביקורת, לסרוק ולנקות לפני שתוכנות זדוניות מגיעות לרשת OT קריטית. OPSWAT MetaDefender Kiosk משתמש בטכנולוגיות מובילות לסיכול איומי סייבר כגון: מנועי סריקה מרובים , סריקת סקטור אתחול, Deep Content Disarm and Reconstruction (CDR) , מניעת אובדן נתונים פרואקטיבית (DLP) , File-based Vulnerability Assessment ובדיקת מדינת מקור כדי להפחית סיכונים ולחזק את התאימות.
בלוגים נוספים מעניינים בנושא:
