RECURSO No ano passado, Michael Sikorski da FireEye foi enviada uma peça muito incomum de malware.
O código personalizado tinha saltado uma abertura de ar em um cliente de defesa e infectado que deveria ter sido um computador altamente seguro. Os colegas de Sikorski de uma empresa sem nome arrancou o malware e enviou-o para a equipe FLARE da FireEye para análise.
"Este malware tem seus comandos remotos a partir de dispositivos removíveis", disse Sikorski. "Ele realmente procurou um arquivo formatado e escondido específico que tenha sido criptografada, e, então, decifrá-lo para acessar uma série de comandos que lhe diga o que fazer a seguir."
Links de rede externas são a alma de mais malware. Esta amostra forneceu os meios para códigos maliciosos para ser implantado em máquinas da vítima e serviu de ligação de comando e controle sobre quais dados roubados podem ser enviados para os atacantes, permitindo infecções adicionais e suplementares.
Malwares sem nome de Sikorski utilizou funcionários a se espalhar para outras máquinas e distribuir os comandos. Atacantes hackeado computadores internet permitiu que eles sabiam o pessoal com acesso à máquina air-gap usaria e virou qualquer dispositivo de armazenamento externo em em uma ponte digital.
Essas máquinas ponte permitiu Sikorski e seus colegas para recuperar o malware, o que lhes permite estabelecer que era parte de um ataque mais amplo sobre as máquinas de ar intervalos.
A análise mostrou que o malware poderia ser contada para realizar reconhecimento, procurar partes específicas de informações valiosas, lista de diretórios e executar novos malwares transitar nos pen drives de pessoal.
"Alguém poderia passar por aqui, conecte sua vara, puxe a unidade para fora, e todos os comandos teriam sido executados. O malware ainda é residente no sistema para que na próxima vez que um carro está ligado, ele poderia receber mais comandos."
Para o laboratório
Tais ataques são intrigantes porque muitas vezes é assumido que a poucos metros de ar implica segurança extra: hackers precisam de uma rede na qual a operar, por isso propriedades não condutores de ar (para dados) são, portanto, visto como a última palavra em segurança. É, portanto, não gera escassez de intriga quando essa teoria é refutada e um computador isolado é violada.
engenheiros queima (lr) FireEye Matthew Graeber, Richard Wartell, e Michael Sikorski.
Mas, como o conto de Sikorski prova, aberturas de ar pode ser derrotado.
E em todo o mundo, os investigadores estão provando que é possível, às vezes com meios bizarras de burlar a segurança física, como chupar dados de monitores e alto-falantes.
O hack Sikorski e amigos identifed saiu da Ben-Gurion University de Israel, onde quatro hackers do laboratório de segurança cibernética tinha afiado um ataque através do qual os computadores air-gap já infectados poderia exfiltrate dados para passar telefones móveis através de sinais de rádio FM emitidos por placas de vídeo . A técnica AirHopper, que em outras formas já existe há décadas e estava de acordo com documentos que vazaram Edward Snowden populares com a NSA e outras agências de espionagem, usados hardware off-the-shelf para canalizar informações off sistemas infectados a uma distância de até sete metros entre máquina e atacante.
"Esse tipo de cenário de ataque assume o computador gapped ar já está infectado por malware por meio de um stick USB ou arquivos maliciosos copiados para o computador", diretor de tecnologia de laboratórios de segurança da universidade israelense Dudu Mimran diz. "Essa infecção pode ocorrer a qualquer momento antes e pode ser muito rápido, uma vez que não envolve o vazamento de dados real e, como tal, pode passar despercebida. Mais tarde, o malware pode vazar os dados do computador infectado, seja os dados atuais que estão sendo digitados no teclado ou documentos existentes a partir do computador ".
Compartimentando e atrasando o roubo de dados até que após a infecção significava que havia menos chance a perda seria detectado, Mimran diz, e permite que um atacante para montar uma armadilha para roubar credenciais de funcionários que, posteriormente, utilizar a máquina. Ele assume embora não possa provar o ataque está sendo usado em meio selvagem para colmatar as lacunas de ar.
Outros têm encontrado meios para sugar dados sem a necessidade de primeiro infectar uma máquina gapped ar. Em dezembro Australian boffin governança da segurança Ian Últimos abalou o hacker Confab Kiwicon com um ataque que demonstrou como os dados podem ser exfiltrated através do monitor pixels em um ataque que contornado conhecidos métodos de detecção. Os invasores teriam acesso físico às máquinas para instalar um dispositivo comercial HDMI gravação e um teclado Arduino que deixaram vestígios do ataque para o forense para analisar, de lado, talvez perto do circuito de televisão imagens da manipulação.
Posteriormente, também o autor do ataque ThruGlassXfer, também gosta de um ataque desenvolvido em 2012 usando um do-it-yourself USB dispositivo de interface humana, onde os dados foram hoovered-off sistemas de ar-gap utilizando armadilhado PAC, número e vá teclas de bloqueio on um teclado.
"Eu não posso ir passado, para sua enorme sutileza - é a sua organização rastrear o status CAPS-lock em cada dispositivo?" Últimos diz, também dando um aceno para o trabalho de Mimran. O ataque foi melhorada em 2013 para exfiltrate dados a uma velocidade mais rápida de 10 Kbps e pode ter sido usada já em 2008.
Outros ataques de intervalo de ar também são intrigantes. Considere BadBios, o caso bizarro de malwares supostamente capaz de se espalhando ondas de rádio, auto-cura, e persistência. Ele levantou uma onda de dúvida como o descobridor do ataque e também a sua vítima, Dragos Ruiu, é um pesquisador de segurança respeitada. O rootkit detalhado no final de 2013 poderia supostamente esperança aberturas de ar, sobreviver regravações de firmware da placa-mãe e mexer com uma variedade de sistemas operacionais.
Menos de um mês após Ruiu relatou o malware brincando com seus computadores pessoais, os geeks alemão Michael Hanspach e Michael Goetz tinha inventado um ataque em que o malware pode lentamente se espalhou entre computadores próximas usando microfones e alto-falantes. Esse ataque foi uma adoção de comunicações robustas para o roubo secreta usando o próximo faixa de freqüência ultra-sônica.
Nenhum comentário:
Postar um comentário