Wir verwenden künstliche Intelligenz für Website-Übersetzungen, und obwohl wir uns um Genauigkeit bemühen, kann es sein, dass sie nicht immer 100%ig präzise sind. Wir danken Ihnen für Ihr Verständnis.
Startseite/
Blog
/
APT37, LNK-Dateien und das USB in Air-Gapped-Systemen…
APT37, LNK-Dateien und das USB in isolierten Umgebungen
Von
OPSWAT
Jetzt teilen
Jüngste Erkenntnisse über APT37 haben deutlich gemacht, dass viele Organisationen luftisolierte Netzwerke trotz gegenteiliger Beweise nach wie vor als undurchdringlich betrachten. Wenn Angreifern netzwerkbasierte Einfallstore verwehrt bleiben, weichen sie auf physische Angriffswege aus. In der Industrie, im Verteidigungsbereich und in kritischen Infrastrukturen sind dies fast immer Wechseldatenträger.
USB sind nach wie vor unverzichtbar für Aufgaben wie Firmware-Updates, das Auslesen von Protokollen, die Wartung durch den Hersteller und die Übertragung technischer Dateien. Der Einsatz bösartiger LNK-Verknüpfungsdateien durch APT37 ist ein Paradebeispiel dafür, wie diese Angriffsfläche mit minimalem technischem Aufwand und maximaler operativer Wirkung ausgenutzt wird.
Warum LNK-Dateien eine erhebliche Gefahr für isolierte Umgebungen darstellen
Eine LNK-Datei ist eine native Windows-Verknüpfung. Sie sieht genauso aus wie ein echter Ordner oder ein echtes Dokument – ein Detail, das ein Angreifer gezielt ausnutzen würde.
Hinter ihrer harmlosen Fassade kann eine ausgenutzte LNK-Datei Folgendes bewirken:
PowerShell oder andere native Systeminterpreter aufrufen
Ausführen von versteckten Skripten, die auf dem Wechseldatenträger gespeichert sind
Bereitstellung und Auslösung von Nutzdaten ohne externe Verbindung
Nutzung vertrauenswürdiger Betriebssystem-Dienstprogramme, um einer Erkennung zu entgehen
Keiner dieser Ausführungswege erfordert Netzwerkzugriff, die Zustimmung des Benutzers zu Makros oder das Vorhandensein einer eigenständigen Malware-Datei. Dadurch wird die Verknüpfung selbst zum Übertragungsmechanismus für die Bedrohung, was in einer isolierten Umgebung erhebliche Auswirkungen haben kann. Ein Beispiel: Ein Mitarbeiter steckt einen USB ein, doppelklickt auf ein Dokument, das wie ein gewöhnliches technisches Dokument aussieht, und die Kompromittierung beginnt unbemerkt in der lokalen Umgebung, ohne sofort Alarm auszulösen.
Die praktische Realität der Media Wechseldatenträgern
Das eigentliche Problem ist nicht die Existenz der USB . Es ist vielmehr das Fehlen von Regelwerken für deren Nutzung. In vielen OT-Umgebungen lässt der aktuelle Stand eine erhebliche Kontrolllücke erkennen:
Wechseldatenträger werden ohne vorherige Überprüfung direkt in Produktions- und Entwicklungsarbeitsplätze eingelegt
Dateien werden geöffnet, ohne dass ihr Inhalt in irgendeiner Weise überprüft wird
Es gibt keinen zentralen Überblick darüber, welche Daten wann und von wem übertragen wurden
Richtlinien für ausführbare Dateitypen wie LNK-, EXE- oder Skriptdateien fehlen entweder ganz oder werden nicht einheitlich durchgesetzt
Erfahrene Angreifer müssen technische Sicherheitsmaßnahmen nicht umgehen, wenn ihnen die betrieblichen Abläufe einen ungehinderten Weg ebnen. Genau darin liegt der Unterschied zwischen APT37 und ähnlichen Akteuren, die diese Schwachstelle aktiv ausnutzen.
Die gefährlichste Annahme in der OT-Sicherheit ist, dass physische Isolation gleichbedeutend mit Schutz ist. In jeder kritischen Infrastrukturumgebung, mit der ich zu tun hatte, sind Wechseldatenträger für den Betrieb unverzichtbar, und genau auf diese Notwendigkeit setzen Angreifer. Wenn ein USB die Sicherheitskontrollen umgeht und auf einen technischen Arbeitsplatz gelangt, handelt es sich nicht mehr um ein Netzwerkproblem. Man hat es dann mit den Folgen zu tun.
Itay Glick
Leiter der Abteilung für OT Security Hardware
Warum einUSB Kiosk eine entscheidende Kontrollmaßnahme Kiosk
Sich auf die Erkennung am Endpunkt zu verlassen, nachdem ein USB an ein Produktionssystem angeschlossen wurde, ist ein reaktiver Ansatz. In OT-Umgebungen ist es bei einem reaktiven Ansatz oft schon zu spät, um einen Sicherheitsverstoß einzudämmen. Der betrieblich sinnvollste Ansatz besteht darin, eine Inhaltsprüfung durchzuführen, bevor Wechseldatenträger ein Produktionssystem erreichen.
Ein USB ist eine Lösung, die eine kontrollierte, obligatorische Kontrollstelle zwischen der externen Umgebung und der OT/ICS-Netzwerkgrenze einrichtet. Da Wechseldatenträger vor ihrer Verwendung an einer geeigneten Prüfstation durchlaufen werden, wird jedes Gerät folgenden Prüfungen unterzogen:
Malware-Prüfung mit mehreren Engines zur Erkennung bekannter Bedrohungen
Entschärfung und Rekonstruktion von Dateiinhalten zur Neutralisierung aktiver Inhalte in Dateien
Durchsetzung von Dateityp-Richtlinien, um zu verhindern, dass nicht zugelassene Formate in die Umgebung gelangen
Prüfung auf Geräteebene zur Beurteilung der Unversehrtheit des Datenträgers selbst
Umfassende Protokollierung von Prüfvorgängen zur Gewährleistung einer lückenlosen Nachverfolgbarkeit bei jeder Übertragung
Diese Architektur entkoppelt den Überprüfungsprozess physisch von den Produktionssystemen und stellt so sicher, dass risikobehaftete Inhalte unschädlich gemacht werden, bevor sie in die Betriebsumgebung gelangen können.
Wie Kiosks LNK-basierte Angriffsketten direkt abwehren
Ein ordnungsgemäß konfigurierter Scan-Kiosk-Workflow behandelt LNK-Dateien und ähnliche ausführbare Artefakte standardmäßig als Objekte mit hohem Risiko. In der Praxis bedeutet dies:
Verknüpfungs- und Skriptdateien werden bereits bei der Überprüfung automatisch blockiert
Ausführbare Inhalte werden aus zugelassenen Dateiformaten entfernt
Verdächtige Befehlsstrukturen, die in Dateien eingebettet sind, werden identifiziert und unschädlich gemacht
Es dürfen nur ausdrücklich zugelassene Dateitypen in die OT-Umgebung gelangen
Wenn ein Angreifer eine schädliche Nutzlast in eine LNK-Datei einbettet, wird diese abgefangen und beseitigt, bevor das USB überhaupt eine Entwicklungs-Workstation erreicht. Falls die Unternehmensrichtlinien Verknüpfungsdateien gänzlich verbieten, werden diese am Kiosk herausgefiltert, und die Angriffskette wird unterbrochen, bevor sie überhaupt in Gang gesetzt werden kann.
Sicherung des physischen Perimeters
Luftspalten bieten den höchsten Sicherheitsgrad, wenn die Kontrollen auf der physischen Ebene durchgesetzt werden. Ein USB bietet Unternehmen folgende Vorteile:
Zentrale Durchsetzung von Richtlinien über verteilte Einrichtungen und Betriebsstandorte hinweg
Eine einheitliche Steuerung, die die Abhängigkeit vom individuellen Ermessen der Benutzer verringert
Vollständige Transparenz über alle Aktivitäten auf Wechseldatenträgern
Prüfungssichere Dokumentation zur Einhaltung gesetzlicher und branchenbezogener Vorschriften
Geringeres Risiko für technische Arbeitsplätze, Sicherheitssysteme und andere Anlagen mit hohen Folgen
Dies ist besonders kritisch in Umgebungen, in denen ein einziger kompromittierter Endpunkt sich ausbreiten und die Kontinuität des Betriebs, die Sicherheit des Personals oder die Netzstabilität beeinträchtigen kann.
Eine Überprüfung vor dem Einführen ist nicht nur die beste Vorgehensweise. Es ist die einzige Vorgehensweise, die die Lücke schließt.
Itay Glick
Leiter der Abteilung für OT Security Hardware
Wie OPSWAT Secure kritischen Infrastruktur OPSWAT
Air-Gapped-Umgebungen werden nicht deshalb kompromittiert, weil sie vernetzt sind. Sie werden kompromittiert, weil Wechseldatenträger standardmäßig als vertrauenswürdig eingestuft werden. Angesichts ausgefeilter, gezielter Angriffe auf kritische Infrastrukturen ist diese Standardannahme ein Risiko, das sich Unternehmen nicht länger leisten können. Wenn Wechseldatenträger Teil Ihres betrieblichen Arbeitsablaufs sind, bieten die Lösungen OPSWAT Media Peripheriegeräten und Media mehrschichtige Kontrollmechanismen, die diese Lücke schließen.
MetaDefender Kiosk™: Secure Media direkt am Zugangspunkt
Zur Abwehr von Angriffen USBMetaDefender Kiosk als physische Scan-Station, um die Ressourcen von Unternehmen zu schützen. Es lässt sich in bewährte, branchenführende Lösungen und Technologien integrieren, um Daten zu bereinigen, bevor sie in kritische Umgebungen gelangen. In Kombination mit Lösungen wie MetaDefender File Transfer™ (MFT) und MetaDefender Media Kiosk MetaDefender Kiosk zusätzliche Verteidigungsebenen, die hinzugefügt werden können, um sichere Dateiübertragungen zu unterstützen und Scan-Richtlinien durchzusetzen.
MetaDefender Endpoint™: Schutz vor dem Start und Gerätesteuerung
MetaDefender Endpoint stärkt die Endpunktsicherheit und bietet Schutz für Peripheriegeräte und Wechseldatenträger in kritischen Umgebungen. Es erkennt und blockiert Wechseldatenträger aktiv, bis diese gründlich gescannt und als virenfrei verifiziert wurden, bevor ihnen Zugriff auf das System gewährt wird.
Media als zusätzliche Verteidigungsschicht
OPSWAT zusätzliche Lösungen zur Unterstützung einer mehrstufigen Verteidigungsstrategie, die einen mehrschichtigen Schutz ermöglicht, indem Medien überprüft und Richtlinien für das Scannen und die Bereinigung durchgesetzt werden.
MetaDefender Media Firewall ist eine benutzerfreundliche Hardwarelösung zum Schutz kritischer Host-Systeme vor Bedrohungen durch Wechseldatenträger. Sie arbeitet zusammen mit MetaDefender Kiosk physische Ebene in OT-Umgebungen, um sicherzustellen, dass keine ungeprüften Wechseldatenträger die Zugangspunkte umgehen können.
MetaDefender Validation ist ein schlankes Tool, das auf Endgeräten installiert wird und als Kontrollpunkt dient, um sicherzustellen, dass nur Dateien, die von MetaDefender Kiosk gescannt wurden, auf dem Endgerät geöffnet, kopiert, ausgewählt und aufgerufen werdenKiosk .
Branchenführende Technologien
Sowohl MetaDefender Kiosk MetaDefender Endpoint bewährte, weltweit anerkannte Technologien wie Metascan™ Multiscanning, das mit über 30 Anti-Malware-Engines eine Malware-Erkennungsrate von 99,2 % erreicht. Darüber hinaus setzen sie die Deep CDR™-Technologie ein, um schädliche Inhalte proaktiv aus Dateien zu entfernen, ohne deren Funktionalität zu beeinträchtigen. Neben der Durchführung von Schwachstellenanalysen zur Identifizierung bekannter Softwarefehler auf Wechseldatenträgern und dem robusten Schutz vor dem Verlust sensibler Daten bieten beide Lösungen einen umfassenden, mehrschichtigen Schutz für IT-/OT-Netzwerke vor Bedrohungen durch Peripheriegeräte und Wechseldatenträger.
Das Wichtigste für Führungskräfte
APT37 hat die Air-Gap-Isolierung nicht durch Überwindung der Netzwerksicherheitsarchitektur umgangen. Die Gruppe nutzte Funktionen des Betriebssystems und Arbeitsabläufe im Zusammenhang mit Wechseldatenträgern aus, die vollständig im Einflussbereich der Organisation liegen.
Um dieser Herausforderung zu begegnen, muss die Prävention bereits vor der Ausführung am Endpunkt ansetzen, sofern Wechseldatenträger Teil Ihres betrieblichen Arbeitsablaufs sind. In den meisten OT/ICS-Umgebungen ist dies der Fall. Daher muss dies wie jede andere Kontrolle am Netzwerkperimeter streng geregelt werden:
Vor dem Einsatz prüfen: Kein Gerät sollte ohne vorherige Überprüfung in ein Produktionssystem gelangen
Vor der Übertragung protokollieren: Jede Interaktion mit Medien sollte einen nachprüfbaren Datensatz hinterlassen
Vor dem Zugriff beheben: Risiken müssen an der Schnittstelle neutralisiert werden, nicht erst im Nachhinein erkannt werden
Wenn Sie erfahren möchten, wie OPSWAT Ihnen dabei helfen OPSWAT , Bedrohungen durch Wechseldatenträger und Peripheriegeräte zu neutralisieren, bevor sie Ihre kritische Umgebung erreichen, sprechen Sie noch heute mit einem Experten.
