Gửi nhật ký, cảnh báo và dữ liệu đo lường qua bộ Data Diode

Tìm hiểu cách thức
Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và mặc dù chúng tôi luôn cố gắng đảm bảo độ chính xác, nhưng đôi khi bản dịch có thể không đạt độ chính xác tuyệt đối. Mong quý vị thông cảm.
Trang chủ/ Blog / APT37, các tệp LNK và USB trong hệ thống cách ly mạng…
Bảo mật Hệ thống mạng Trọng yếu

APT37, các tập tin LNK và... USB Rủi ro trong môi trường cách ly mạng

Qua OPSWAT
Chia sẻ bài viết này

Thông tin tình báo gần đây về APT37 đã nhấn mạnh thực tế quan trọng rằng nhiều tổ chức vẫn coi các mạng không kết nối mạng (air-gapped networks) là bất khả xâm phạm, bất chấp bằng chứng ngược lại. Khi kẻ thù bị từ chối các điểm truy cập dựa trên mạng, chúng sẽ chuyển sang các phương thức vật lý. Trong lĩnh vực công nghiệp, quốc phòng và... cơ sở hạ tầng trọng yếu Trong các môi trường đó, vectơ hầu như luôn là phương tiện lưu trữ có thể tháo rời.

USB vẫn là công cụ không thể thiếu trong các tác vụ như cập nhật phần mềm cơ sở, trích xuất nhật ký, bảo trì của nhà cung cấp và truyền tải tệp kỹ thuật. Việc APT37 triển khai các tệp lối tắt LNK độc hại là một ví dụ điển hình cho thấy cách thức khai thác lỗ hổng bảo mật này với mức độ phức tạp kỹ thuật tối thiểu nhưng lại gây ra tác động hoạt động tối đa.

Tại sao các tệp LNK lại là mối đe dọa nghiêm trọng đối với các môi trường cách ly

Tệp LNK là một lối tắt gốc của Windows. Về mặt hình thức, nó không thể phân biệt được với một thư mục hoặc tài liệu hợp lệ, và đây chính là chi tiết mà kẻ tấn công sẽ cố tình lợi dụng.

Dù có vẻ ngoài vô hại, một tệp LNK bị khai thác có thể:

  • Gọi PowerShell hoặc các trình thông dịch hệ thống gốc khác
  • Chạy các tập lệnh ẩn được lưu trữ trên thiết bị di động
  • Triển khai và kích hoạt các gói dữ liệu mà không cần kết nối bên ngoài
  • Sử dụng các công cụ hệ điều hành đáng tin cậy để tránh bị phát hiện

Không có đường dẫn thực thi nào trong số này yêu cầu quyền truy cập mạng, sự chấp thuận của người dùng đối với macro hay sự hiện diện của tệp nhị phân phần mềm độc hại độc lập. Điều này khiến chính lối tắt trở thành cơ chế phát tán mối đe dọa, có thể gây ra tác động đáng kể trong môi trường cách ly mạng. Ví dụ, một người vận hành cắm USB , nhấp đúp vào một tệp trông giống như tài liệu kỹ thuật thông thường, và quá trình xâm nhập sẽ bắt đầu âm thầm trong môi trường cục bộ mà không gây ra cảnh báo ngay lập tức.

Thực trạng Media liên quan đến Media di động 

Vấn đề cốt lõi không phải là sự tồn tại của USB một công nghệ. Mà là sự thiếu vắng các quy định quản lý liên quan đến việc sử dụng nó. Trong nhiều môi trường OT, tình hình hiện tại cho thấy một lỗ hổng kiểm soát đáng kể:

  • Phương tiện lưu trữ di động được lắp trực tiếp vào các máy trạm sản xuất và kỹ thuật mà không cần kiểm tra trước
  • Các tệp được mở mà không qua bất kỳ hình thức kiểm tra nội dung nào
  • Không có cái nhìn tổng quan tập trung về dữ liệu nào đã được chuyển, vào thời điểm nào hay do ai thực hiện
  • Các chính sách quản lý các loại tệp có khả năng thực thi, chẳng hạn như tệp LNK, EXE hoặc tệp kịch bản, hoặc là không tồn tại, hoặc là không được áp dụng một cách nhất quán

Các tác nhân đe dọa tinh vi không cần phải vượt qua các biện pháp kiểm soát kỹ thuật khi các quy trình vận hành đã tạo ra một lối đi thông thoáng. Đây chính là điểm khác biệt giữa APT37 và các tác nhân tương tự đang tích cực khai thác lỗ hổng này.

Trích dẫn biểu tượng

Giả định nguy hiểm nhất trong lĩnh vực an ninh OT là việc cách ly vật lý đồng nghĩa với việc bảo vệ. Trong mọi cơ sở hạ tầng trọng yếu mà tôi từng làm việc, phương tiện lưu trữ di động là điều cần thiết về mặt vận hành, và chính sự cần thiết đó lại là điều mà các tác nhân đe dọa nhắm đến. Khi một USB lọt qua khâu kiểm tra và xâm nhập vào máy trạm kỹ thuật, bạn không còn đối mặt với một vấn đề mạng nữa. Bạn đang phải đối mặt với những hậu quả.

Itay Glick
Giám đốc OT Security Hardware

Tại sao Kiosk USB  Kiosk yếu tố kiểm soát quan trọng

Việc chỉ dựa vào cơ chế phát hiện tại điểm cuối sau khi USB đã được cắm vào tài sản sản xuất là một phương pháp mang tính phản ứng. Trong môi trường OT, phương pháp phản ứng này khiến việc ngăn chặn sự cố xâm nhập trở nên quá muộn. Phương pháp hiệu quả nhất về mặt vận hành là thực hiện kiểm tra nội dung trước khi phương tiện lưu trữ di động tiếp cận bất kỳ hệ thống sản xuất nào.

Kiosk USB là một giải pháp thiết lập một điểm kiểm tra bắt buộc và được kiểm soát giữa môi trường bên ngoài và ranh giới mạng OT/ICS. Do các phương tiện lưu trữ di động được xử lý qua một trạm kiểm tra chuyên dụng trước khi sử dụng, mỗi thiết bị sẽ phải trải qua:

  • Quét phần mềm độc hại bằng nhiều công cụ quét để phát hiện các mối đe dọa đã biết
  • Vô hiệu hóa và tái cấu trúc nội dung tệp để vô hiệu hóa các thành phần hoạt động bên trong tệp
  • Áp dụng chính sách về loại tệp để ngăn chặn các định dạng không được phê duyệt xâm nhập vào môi trường
  • Kiểm tra ở cấp độ thiết bị để đánh giá tính toàn vẹn của chính phương tiện lưu trữ
  • Ghi nhật ký kiểm toán toàn diện nhằm duy trì chuỗi lưu giữ đầy đủ cho mọi giao dịch

Kiến trúc này tách biệt về mặt vật lý quy trình kiểm tra khỏi các hệ thống sản xuất, đảm bảo rằng nội dung có rủi ro cao sẽ bị vô hiệu hóa trước khi có thể tiếp cận bất kỳ tài sản vận hành nào.

Cách các kiosk trực tiếp giảm thiểu các chuỗi tấn công dựa trên LNK

Một quy trình làm việc của kiosk quét được cấu hình đúng cách sẽ mặc định coi các tệp LNK và các tệp có khả năng thực thi tương tự là các đối tượng có rủi ro cao. Về mặt vận hành, điều này có nghĩa là:

  • Các tệp lối tắt và tệp kịch bản sẽ tự động bị chặn ở giai đoạn kiểm tra
  • Nội dung có thể thực thi sẽ bị loại bỏ khỏi các định dạng tệp đã được phê duyệt
  • Các cấu trúc lệnh đáng ngờ được nhúng trong các tệp tin được phát hiện và vô hiệu hóa
  • Chỉ các loại tệp được phép rõ ràng mới được phép đưa vào môi trường OT

Nếu một tác nhân đe dọa nhúng mã độc vào tệp LNK, tệp này sẽ bị chặn và xử lý trước khi USB tiếp cận máy trạm kỹ thuật. Nếu chính sách của tổ chức cấm hoàn toàn các tệp lối tắt, chúng sẽ bị lọc ra tại kiosk, và chuỗi tấn công sẽ bị cắt đứt trước khi có thể được khởi động.

Bảo vệ ranh giới vật lý

Các khoảng trống không khí mang lại mức độ bảo mật cao nhất khi các biện pháp kiểm soát được áp dụng ở lớp vật lý. Một kiosk USB mang lại cho các tổ chức:

  • Áp dụng chính sách tập trung trên các cơ sở và địa điểm hoạt động phân tán
  • Việc áp dụng các biện pháp kiểm soát nhất quán giúp giảm sự phụ thuộc vào phán đoán chủ quan của từng người dùng
  • Có cái nhìn toàn diện về mọi hoạt động trên các thiết bị lưu trữ di động
  • Hồ sơ sẵn sàng cho việc kiểm toán nhằm đảm bảo tuân thủ các khung pháp lý và tiêu chuẩn ngành
  • Giảm thiểu rủi ro đối với các trạm làm việc kỹ thuật, hệ thống an toàn và các tài sản có tác động lớn khác

Điều này đặc biệt quan trọng trong những môi trường mà chỉ cần một thiết bị đầu cuối bị xâm nhập cũng có thể lan rộng và gây ảnh hưởng đến sự liên tục của hoạt động sản xuất, an toàn của nhân viên hoặc độ tin cậy của hệ thống lưới điện.

Trích dẫn biểu tượng

Việc kiểm tra trước khi lắp đặt không phải là phương pháp tốt nhất. Đó là phương pháp duy nhất giúp lấp đầy khoảng trống.

Itay Glick
Giám đốc OT Security Hardware

Cách OPSWAT Secure cơ sở hạ tầng trọng yếu Secure

Các môi trường cách ly vật lý không bị xâm nhập vì chúng được kết nối. Chúng bị xâm nhập vì các thiết bị lưu trữ di động được coi là an toàn theo mặc định. Trước các chiến dịch tấn công tinh vi và có chủ đích nhắm vào cơ sở hạ tầng trọng yếu, giả định mặc định này đã trở thành một rủi ro mà các tổ chức không thể tiếp tục chấp nhận. Khi các thiết bị lưu trữ di động là một phần của quy trình làm việc, các giải pháp Media Thiết bị Ngoại vi và Media Di động OPSWAT cung cấp các biện pháp kiểm soát đa lớp để khắc phục lỗ hổng này.

MetaDefender Kiosk™: Secure Media Secure ngay tại điểm tiếp cận  

Để phòng ngừa các phương thức tấn công USB, MetaDefender Kiosk hoạt động như một trạm quét vật lý để bảo vệ tài sản của tổ chức. Nó tích hợp với các giải pháp và công nghệ hàng đầu trong ngành đã được chứng minh để làm sạch dữ liệu trước khi dữ liệu đó xâm nhập vào các môi trường quan trọng. Kết hợp với các giải pháp như MetaDefender File Transfer™ (MFT) và MetaDefender Media , MetaDefender Kiosk thêm các lớp bảo vệ để hỗ trợ việc truyền tệp an toàn và thực thi các chính sách quét.

MetaDefender Endpoint™: Bảo vệ trước khi thực thi và kiểm soát thiết bị 

MetaDefender Endpoint tăng cường bảo mật điểm cuối và cung cấp khả năng bảo vệ cho các thiết bị ngoại vi và phương tiện lưu trữ di động trong các môi trường quan trọng. Giải pháp này chủ động phát hiện và chặn các thiết bị lưu trữ di động cho đến khi chúng được quét kỹ lưỡng và xác minh là an toàn trước khi cho phép truy cập vào hệ thống.

Xác thực thiết bị lưu trữ như một lớp bảo vệ bổ sung 

OPSWAT các giải pháp bổ sung nhằm hỗ trợ chiến lược phòng thủ đa tầng, giúp thiết lập hệ thống bảo vệ nhiều lớp thông qua việc xác thực các phương tiện truyền thông và thực thi các chính sách quét và làm sạch dữ liệu.

MetaDefender Media Firewall là một giải pháp phần cứng dễ sử dụng nhằm bảo vệ các hệ thống máy chủ quan trọng khỏi các mối đe dọa từ phương tiện lưu trữ di động. Giải pháp này hoạt động cùng với MetaDefender Kiosk một lớp bảo vệ vật lý trong môi trường OT để đảm bảo rằng không có phương tiện lưu trữ di động nào chưa được quét có thể vượt qua các điểm truy cập.

MetaDefender Validation là một công cụ nhẹ được cài đặt trên các thiết bị đầu cuối, đóng vai trò như một điểm kiểm tra để đảm bảo rằng chỉ những tệp đã được quét bởi MetaDefender Kiosk được mở, sao chép, chọn và truy cập trên thiết bị đầu cuối.

Các công nghệ hàng đầu trong ngành

Cả MetaDefender Kiosk MetaDefender Endpoint các công nghệ đã được chứng minh và tin cậy trên toàn cầu, chẳng hạn như Metascan™ Multiscanning, giúp đạt tỷ lệ phát hiện phần mềm độc hại lên tới 99,2% nhờ sử dụng hơn 30 công cụ chống phần mềm độc hại. Hai giải pháp này cũng áp dụng công nghệ Deep CDR™ để chủ động loại bỏ nội dung độc hại khỏi các tệp tin mà không làm ảnh hưởng đến chức năng của chúng. Bên cạnh việc thực hiện đánh giá lỗ hổng để xác định các lỗi phần mềm đã biết trên phương tiện lưu trữ di động và cung cấp khả năng bảo vệ dữ liệu nhạy cảm khỏi rò rỉ một cách mạnh mẽ, cả hai giải pháp đều cung cấp hệ thống phòng thủ sâu và đa lớp cho các mạng IT/OT trước các mối đe dọa từ thiết bị ngoại vi và phương tiện lưu trữ di động.

Điểm chính

APT37 không vượt qua được cơ chế cách ly không gian mạng bằng cách phá vỡ kiến trúc bảo mật mạng. Chúng đã lợi dụng các tính năng của hệ điều hành và quy trình xử lý phương tiện lưu trữ di động, vốn hoàn toàn nằm trong phạm vi kiểm soát của tổ chức.

Để giải quyết thách thức này, việc phòng ngừa phải được thực hiện trước khi quá trình thực thi tiếp cận điểm cuối nếu phương tiện lưu trữ di động là một phần của quy trình làm việc vận hành của bạn. Trong hầu hết các môi trường OT/ICS, điều này là đúng. Do đó, nó phải được quản lý chặt chẽ như bất kỳ biện pháp kiểm soát biên mạng nào:

  • Kiểm tra trước khi triển khai: Không thiết bị nào được phép đưa vào hệ thống sản xuất mà không qua quá trình kiểm tra trước
  • Ghi lại trước khi chuyển giao: Mọi tương tác với phương tiện truyền thông đều phải tạo ra một bản ghi có thể kiểm tra được
  • Xử lý trước khi truy cập: Rủi ro phải được loại bỏ ngay tại ranh giới, chứ không phải phát hiện sau khi sự việc đã xảy ra

Để tìm hiểu cách OPSWAT giúp bạn vô hiệu hóa các mối đe dọa từ thiết bị lưu trữ di động và thiết bị ngoại vi trước khi chúng xâm nhập vào môi trường quan trọng của bạn, hãy liên hệ với chuyên gia ngay hôm nay.

Tìm hiểu với chuyên gia
Tags:

Bài viết mới nhất

Đăng ký nhận bản tin OPSWAT

Nhận các cập nhật mới nhất từ OPSWAT cùng thông tin sự kiện và xu hướng đang định hình ngành an ninh mạng
Đăng ký cho tôi

Theo dõi chúng tôi trên mạng xã hội

Theo dõi OPSWAT trên LinkedIn, Facebook, Twitter và YouTube để biết thêm thông tin!

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về doanh nghiệp, câu chuyện, thông tin sự kiện và nhiều thông tin khác.
Đăng ký