Wechselmedien Media bereiten vielen Unternehmen Sicherheitsprobleme, ganz gleich, ob es sich um USBs, Speicherkarten, externe Festplatten, CD/DVDs oder Mobile Telefone handelt. USB Angriffe gibt es in vielen verschiedenen Formen, und Forscher der Ben-Gurion-Universität haben 29 verschiedene Arten von USB-basierten Angriffen identifiziert. Einer dieser Angriffe ist der DFU-Angriff (Device Firmware Upgrade), bei dem "ein legitimer, vom USB -Standard unterstützter Prozess ausgenutzt wird, um lokale legitime Firmware auf eine bösartige Version zu aktualisieren", so Catalin Cimpanu.
In diesem Blog werden wir einen DFU-Angriff simulieren, bei dem ein Mitarbeiter ein Laufwerk USB mit einer bösartigen ausführbaren Firmware-Upgrade-Datei in ein Unternehmensnetzwerk einschleust, und zeigen, wie OPSWAT's MetaDefender Kiosk helfen kann, diese Art von Angriff zu verhindern.
Die Entwicklung des Angriffs
Wir werden msfvenom verwenden, ein gängiges Exploit-Tool zum Generieren und Verschlüsseln von Nutzdaten, mit einigen erweiterten Optionen, um eine bösartige Firmware-Upgrade-Datei zu erzeugen.
Hier simulieren wir einen Angriff mit einem C2-Server (Command-and-Control), der die Kontrolle über das System des Opfers übernimmt, wenn die bösartige Nutzlast ausgeführt wird. Die Nutzlast ist mit shikata_ga_nai oder SGN verschlüsselt (auf Japanisch bedeutet dies "nichts kann getan werden"), und wir richten einen C2-Server ein, der zu Demonstrationszwecken eine IP/PORT angibt.
Ein System kompromittieren
Nehmen wir ein reales Szenario, in dem ein Mitarbeiter eine kompromittierte Firmware-Upgrade-Datei von einem nicht vertrauenswürdigen Dritten auf USB herunterlädt und in das Unternehmen mitbringt, um sie zu verwenden.
Was würde passieren, wenn dieses USB Laufwerk in ein System eingesetzt und vom Benutzer ausgeführt würde?
Nun, in dem Moment, in dem der Mitarbeiter dieses USB Laufwerk in das System einsteckt und es ausführt, wird diese Nutzlast eine Verbindung zurück zu dem vom Angreifer kontrollierten Rechner oder C2-Server herstellen.
Mal sehen, wie es läuft.
Wir haben nun den Shell-Befehlszeilenbildschirm des Opferrechners und können als Angreifer beliebige Befehle vom C2-Server ausführen.
Aber die Frage ist, ob wir etwas tun können, um diesen Angriff zu verhindern.
Wie MetaDefender Kiosk hilft, diese Art von Angriffen zu verhindern?
MetaDefender Kiosk fungiert als digitaler Sicherheitswächter, der alle Medien auf Malware, Schwachstellen und sensible Daten untersucht, bevor sie in das Unternehmen gelangen. Der MetaDefender Kiosk ist für die Installation am physischen Eingangspunkt von Sicherheitseinrichtungen oder am Eingang zu einem luftüberwachten Netzwerk konzipiert.
Jetzt wollen wir es in Aktion sehen.
Wir werden das Laufwerk USB , das die DFU zusammen mit einer bösartigen Datei enthält, in ein MetaDefender Kiosk einlegen.
Scannen wir nun die gesamte USB Drive und beobachten wir die Leistung von MetaDefender Kiosk .
Innerhalb weniger Sekunden erhalten wir einen netten Bericht, der besagt, dass diese Firmware-Upgrade-Datei tatsächlich bösartig ist und dass MetaDefender Kiosk sie bereits blockiert hat.
Wie Sie sich vorstellen können, gibt es noch viel mehr, was MetaDefender Kiosk tun kann, um Ihre OT/ICS-Umgebungen (integrierte Kontrollsysteme) und kritischen Infrastrukturen vor Malware und Zero-Day-Angriffen zu schützen. Die meisten dieser Umgebungen sind mit Luftschleusen versehen und können nur durch den Einsatz von tragbaren Mediengeräten aktualisiert werden, die MetaDefender Kiosk prüfen, scannen und säubern kann, bevor Malware ein kritisches OT-Netzwerk erreicht. OPSWAT MetaDefender Kiosk nutzt führende Technologien zur Abwehr von Cyber-Bedrohungen wie: Multi-Scan-Engines, Bootsektor-Scanning, Deep Content Disarm and Reconstruction (CDR), proaktive Datenverlustprävention (DLP), File-based Vulnerability Assessment und eine Überprüfung des Herkunftslandes, um Risiken zu mindern und die Einhaltung von Vorschriften zu verbessern.
Andere verwandte Blogs von Interesse:
