Rời Media là một vấn đề đau đầu về bảo mật đối với nhiều tổ chức, cho dù USB, Thẻ nhớ, HDD ngoài, CD / DVD hoặc Mobile Điện thoại. USB Các cuộc tấn công đặc biệt có nhiều hình thức khác nhau và các nhà nghiên cứu tại Đại học Ben-Gurion đã xác định 29 loại khác nhau USB-dựa trên các cuộc tấn công. Một trong số đó là cuộc tấn công Nâng cấp chương trình cơ sở thiết bị (DFU) khai thác "một quy trình hợp pháp được hỗ trợ bởi USB tiêu chuẩn, để cập nhật firmware hợp pháp cục bộ lên phiên bản độc hại", Catalin Cipanu nói.
Trong blog này, chúng tôi sẽ mô phỏng một cuộc tấn công DFU trong đó một nhân viên mang đến một USB ổ đĩa chứa phần sụn độc hại nâng cấp tệp thực thi vào mạng công ty và cách thức OPSWAT's MetaDefender Kiosk có thể giúp ngăn chặn kiểu tấn công này.
Phát triển cuộc tấn công
Chúng tôi sẽ sử dụng msfvenom, một công cụ khai thác phổ biến để tạo và mã hóa tải trọng, với một vài tùy chọn nâng cao để tạo tệp nâng cấp chương trình cơ sở độc hại.
Ở đây chúng tôi đang mô phỏng một cuộc tấn công với máy chủ C2 (Command-and-Control) kiểm soát hệ thống của nạn nhân khi payload độc hại được thực thi. Tải trọng được mã hóa bằng shikata_ga_nai hoặc SGN (trong tiếng Nhật có nghĩa là "không thể làm gì được") và chúng tôi thiết lập máy chủ C2 chỉ định IP / PORT cho mục đích trình diễn.
Thỏa hiệp một hệ thống
Hãy lấy một kịch bản trong thế giới thực, nơi một nhân viên tải xuống tệp nâng cấp chương trình cơ sở bị xâm phạm vào USB từ một bên thứ ba không đáng tin cậy và mang nó vào một công ty để sử dụng nó.
Điều gì sẽ xảy ra nếu điều này USB Ổ đĩa đã được chèn vào một hệ thống và được thực thi bởi người dùng?
Vâng, thời điểm nhân viên cắm cái này USB lái xe vào hệ thống và chạy nó, payload này sẽ kết nối trở lại với máy do kẻ tấn công điều khiển hoặc máy chủ C2.
Hãy xem nó diễn ra như thế nào.
Bây giờ chúng ta đã có màn hình dòng lệnh shell từ máy nạn nhân và có thể thực hiện bất kỳ lệnh nào chúng ta muốn từ máy chủ C2 với tư cách là kẻ tấn công.
Nhưng câu hỏi đặt ra là, liệu chúng ta có thể làm gì để ngăn chặn cuộc tấn công này xảy ra hay không?
Thế nào MetaDefender Kiosk Giúp ngăn chặn kiểu tấn công này?
MetaDefender Kiosk hoạt động như một nhân viên bảo vệ an ninh kỹ thuật số kiểm tra tất cả các phương tiện truyền thông để tìm phần mềm độc hại, lỗ hổng và dữ liệu nhạy cảm trước khi vào công ty. MetaDefender Kiosk được thiết kế để lắp đặt tại điểm vào vật lý của các cơ sở an ninh hoặc lối vào mạng không có kết nối mạng .
Bây giờ chúng ta hãy xem nó trong hành động.
Chúng ta sẽ chèn USB ổ đĩa chứa DFU cùng với một tệp độc hại vào một MetaDefender Kiosk.
Bây giờ chúng ta hãy quét toàn bộ USB Drive và quan sát sức mạnh của MetaDefender Kiosk.
Trong vòng vài giây, chúng tôi được trình bày với một báo cáo hay nói rằng tệp nâng cấp chương trình cơ sở này thực sự độc hại và điều đó MetaDefender Kiosk đã chặn nó.
Như bạn có thể tưởng tượng, còn nhiều điều hơn thế nữa MetaDefender Kiosk có thể làm gì để bảo vệ OT/ICS (hệ thống điều khiển tích hợp) của bạn và cơ sở hạ tầng trọng yếu môi trường chống lại phần mềm độc hại và các cuộc tấn công zero-day. Hầu hết các môi trường này đều bị chặn và chỉ có thể được cập nhật thông qua việc sử dụng các thiết bị phương tiện di động, MetaDefender Kiosk có thể kiểm tra, quét và dọn dẹp trước khi phần mềm độc hại xâm nhập vào mạng OT quan trọng. OPSWAT MetaDefender Kiosk sử dụng các công nghệ ngăn chặn mối đe dọa mạng hàng đầu như: Công cụ quét đa luồng , Quét khu vực khởi động, Deep Content Disarm and Reconstruction (CDR) , Phòng ngừa mất dữ liệu chủ động (DLP) , File-based Vulnerability Assessment và Kiểm tra quốc gia xuất xứ để giảm thiểu rủi ro và tăng cường tuân thủ.
Các blog liên quan khác được quan tâm:
