Veri Diyotu Aracılığıyla Günlükler, Uyarılar ve Telemetri Verilerinin Gönderilmesi

Nasıl Yapılır?
Site çevirileri için yapay zeka kullanıyoruz ve doğruluk için çaba göstersek de her zaman %100 kesin olmayabilir. Anlayışınız için teşekkür ederiz.
Ana Sayfa/ Blog / APT37, LNK Dosyaları ve Hava Boşluklu Sistemlerdeki USB …
Kritik Ağ Güvenliği

APT37, LNK Dosyaları ve Hava Boşluklu Ortamlarda USB

Yazan OPSWAT
Bu Gönderiyi Paylaş

APT37 ile ilgili son istihbarat bilgileri, aksini gösteren kanıtlara rağmen birçok kuruluşun hâlâ fiziksel olarak izole edilmiş ağları aşılmaz olarak gördüğü kritik gerçeğini ortaya koydu. Saldırganlar ağ tabanlı giriş noktalarına erişemediğinde, fiziksel vektörlere yöneliyorlar. Sanayi, savunma ve kritik altyapı ortamlarında bu vektör neredeyse her zaman çıkarılabilir depolama ortamlarıdır.

USB , ürün yazılımı güncellemeleri, günlük dosyalarının çıkarılması, satıcı bakımı ve mühendislik dosyalarının aktarımı gibi görevler için operasyonel açıdan hâlâ gereklidir. APT37'nin kötü amaçlı LNK kısayol dosyalarını kullanması, bu saldırı yüzeyinin minimum teknik karmaşıklıkla ve maksimum operasyonel etkiyle nasıl kullanıldığının en iyi örneği niteliğindedir.

LNK Dosyaları Neden Yalıtılmış Ortamlar İçin Önemli Bir Tehdit Oluşturuyor?

LNK dosyası, Windows'un kendi kısayol dosyasıdır. Görünüşü, gerçek bir klasör veya belgeden ayırt edilemez; bu da saldırganların kasten istismar etmeye çalıştığı bir ayrıntıdır.

Görünüşte zararsız gibi görünse de, kötü amaçlı bir LNK dosyası şunları yapabilir:

  • PowerShell veya diğer yerel sistem yorumlayıcılarını çalıştırma
  • Çıkarılabilir aygıtta depolanan gizli komut dosyalarını çalıştırma
  • Harici bağlantı gerektirmeden yüklerin hazırlanması ve tetiklenmesi
  • Tespit edilmekten kaçınmak için güvenilir işletim sistemi yardımcı programlarından yararlanma

Bu yürütme yollarının hiçbiri ağ erişimi, kullanıcının makro onayını veya bağımsız bir kötü amaçlı yazılım dosyasının varlığını gerektirmez. Bu durum, kısayolun kendisini tehdit dağıtım mekanizması haline getirir ve bu da izole edilmiş bir ortamda önemli bir etki yaratabilir. Örneğin, bir operatör bir USB takar, sıradan bir mühendislik belgesi gibi görünen dosyaya çift tıklar ve saldırı, anında alarm vermeden yerel ortamda sessizce başlar.

Çıkarılabilir Media Uygulamadaki Gerçeği 

Asıl sorun, USB varlığı değildir. Sorun, bu USB kullanımına ilişkin bir düzenleme mekanizmasının bulunmamasıdır. Birçok OT ortamında, mevcut durum önemli bir kontrol eksikliğini ortaya koymaktadır:

  • Çıkarılabilir ortamlar, ön kontrol yapılmaksızın doğrudan üretim ve mühendislik iş istasyonlarına takılır
  • Dosyalar, herhangi bir içerik denetiminden geçmeden açılır
  • Hangi verilerin ne zaman ve kim tarafından aktarıldığına dair merkezi bir görünürlük bulunmamaktadır
  • LNK, EXE veya komut dosyası gibi çalıştırılabilir dosya türlerini düzenleyen ilkeler ya mevcut değildir ya da tutarsız bir şekilde uygulanmaktadır

Gelişmiş siber suçlular, operasyonel uygulamalar engelsiz bir yol sağladığında teknik önlemleri aşmaya gerek duymazlar. İşte bu, APT37 ile bu tür açıkları aktif olarak istismar eden benzer aktörler arasındaki farktır.

simge alıntısı

OT güvenliği konusunda en tehlikeli varsayım, fiziksel izolasyonun koruma ile eşdeğer olduğu düşüncesidir. Çalıştığım her kritik altyapı ortamında, çıkarılabilir depolama araçları operasyonel açıdan bir gerekliliktir ve tehdit aktörleri tam da bu gerekliliğe güvenmektedir. Bir USB denetimden geçip bir mühendislik iş istasyonuna ulaştığında, artık bir ağ sorunuyla karşı karşıya değilsinizdir. Artık bunun sonuçlarıyla uğraşıyorsunuzdur.

Itay Glick
Genel Müdür, OT Security Hardware

USB  Kiosk Neden Önemli Kiosk Kontrol Kiosk ?

Bir USB üretim sistemine takılmasından sonra uç nokta algılamasına güvenmek, reaktif bir yaklaşımdır. OT ortamlarında reaktif bir yaklaşım, bir güvenlik ihlalini kontrol altına almak için çok geç kalınmasına neden olur. Operasyonel açıdan en sağlam yaklaşım, çıkarılabilir ortamların herhangi bir üretim sistemine ulaş madan önce içerik denetimini zorunlu kılmaktır.

Bir USB kiosku, dış ortam ile OT/ICS ağ sınırı arasında kontrollü ve zorunlu bir kontrol noktası oluşturan bir çözümdür. Çıkarılabilir ortamlar, kullanıma sunulmadan önce uygun bir denetim istasyonundan geçirildiğinden, her bir cihaz aşağıdakilere tabi tutulur:

  • Bilinen tehditleri tespit etmek için birden fazla tarama motoru kullanılarak yapılan kötü amaçlı yazılım taraması
  • Dosya İçeriğinin Etkisizleştirilmesi ve Yeniden Oluşturulması: Dosyalardaki etkin içeriği etkisiz hale getirmek için
  • Onaylanmamış dosya formatlarının ortama girmesini engellemek için dosya türü kuralının uygulanması
  • Medyanın kendisinin bütünlüğünü değerlendirmek için cihaz düzeyinde inceleme
  • Her aktarım için eksiksiz bir izleme zinciri sağlamak üzere kapsamlı denetim günlüğü

Bu mimari, denetim sürecini üretim sistemlerinden fiziksel olarak ayırarak, yüksek riskli içeriğin herhangi bir operasyonel varlığa ulaşmadan etkisiz hale getirilmesini sağlar.

Kiosklar, LNK Tabanlı Saldırı Zincirlerini Nasıl Doğrudan Azaltıyor?

Doğru şekilde yapılandırılmış bir tarama kiosku iş akışı, LNK dosyalarını ve benzer çalıştırılabilir öğeleri varsayılan olarak yüksek riskli nesneler olarak değerlendirir. Uygulamada bu şu anlama gelir:

  • Kısayol ve komut dosyaları denetim aşamasında otomatik olarak engellenir
  • Onaylanmış dosya türlerinden yürütülebilir içerik kaldırılır
  • Dosyalara gömülmüş şüpheli komut yapıları tespit edilip etkisiz hale getirilir
  • Yalnızca açıkça izin verilen dosya türlerinin OT ortamına aktarılmasına izin verilir

Bir siber saldırgan, bir LNK dosyasına zararlı bir yük yerleştirirse, bu yük, USB mühendislik iş istasyonuna ulaşmadan önce engellenir ve ortadan kaldırılır. Kurumsal politika kısayol dosyalarını tamamen yasaklıyorsa, bunlar kioskta filtrelenir ve saldırı zinciri başlatılmadan önce kesilir.

Fiziksel Çevrenin Güvenliğinin Sağlanması

Hava boşlukları, fiziksel katmanda denetimler uygulandığında en yüksek güvenlik garantisini sunar. Bir USB kiosku, kuruluşlara şunları sağlar:

  • Dağınık tesisler ve operasyonel sahalar genelinde merkezi politika uygulaması
  • Bireysel kullanıcı kararlarına olan bağımlılığı azaltan tutarlı kontrol uygulaması
  • Tüm çıkarılabilir ortamlardaki faaliyetlere ilişkin tam operasyonel görünürlük
  • Yasal ve sektörel çerçevelere uygunluk için denetime hazır belgeler
  • Mühendislik iş istasyonları, güvenlik sistemleri ve diğer kritik öneme sahip varlıklar için risk maruziyetinin azaltılması

Bu durum, tek bir güvenlik ihlali yaşayan uç cihazın yayılabileceği ve üretim sürekliliğini, personel güvenliğini veya şebeke güvenilirliğini etkileyebileceği ortamlarda özellikle hayati önem taşır.

simge alıntısı

Yerleştirmeden önce inceleme yapmak en iyi uygulama değildir. Bu, aradaki boşluğu kapatan tek uygulamadır.

Itay Glick
Genel Müdür, OT Security Hardware

OPSWAT , Kritik Secure Nasıl OPSWAT ?

Hava boşluklu ortamlar, ağa bağlı oldukları için tehlikeye girmezler. Bu ortamlar, çıkarılabilir ortamların varsayılan olarak güvenilir kabul edilmesi nedeniyle tehlikeye girerler. Kritik altyapılara yönelik sofistike ve hedefli saldırı kampanyaları karşısında, bu varsayılan varsayım artık kuruluşların üstlenemeyeceği bir risk haline gelmiştir. Çıkarılabilir ortamlar operasyonel iş akışınızın bir parçasıysa, OPSWAT Aygıt ve Çıkarılabilir Media çözümleri bu açığı kapatan çok katmanlı denetimler sunar.

MetaDefender Kiosk™: Giriş Noktasında Secure Media Secure  

USB saldırı vektörlerine karşı savunma sağlamak için, MetaDefender Kiosk , kuruluşların varlıklarını korumak için fiziksel bir tarama istasyonu görevi görür. Kanıtlanmış, sektör lideri çözümler ve teknolojilerle entegre olarak, verilerin kritik ortamlara girmeden önce temizlenmesini sağlar. MetaDefender File Transfer™ (MFT) ve MetaDefender Media gibi çözümlerle birleştirildiğinde, MetaDefender Kiosk , güvenli dosya aktarımlarını desteklemek ve tarama politikalarını uygulamak için ek savunma katmanlarıKiosk .

MetaDefender Endpoint™: Çalıştırma Öncesi Koruma ve Cihaz Kontrolü 

MetaDefender Endpoint , uç nokta güvenliğini güçlendirir ve kritik ortamlarda çevre birimleri ile çıkarılabilir ortamlar için koruma sağlar. Çıkarılabilir ortam cihazlarını aktif olarak algılar ve engeller; cihazlar kapsamlı bir şekilde taranıp temiz oldukları doğrulanana kadar sisteme erişim izni verilmez.

Ekstra Bir Savunma Katmanı Olarak Media Doğrulama 

OPSWAT , ortamları doğrulayarak ve tarama ile temizleme ilkelerini uygulayarak çok katmanlı koruma sağlamak üzere derinlemesine savunma stratejisini destekleyen ek çözümler OPSWAT .

MetaDefender Media Firewall , kritik ana bilgisayar sistemlerini çıkarılabilir ortamların taşıdığı tehditlerden korumak için tasarlanmış, kullanımı kolay bir donanım çözümüdür. OT ortamlarında fiziksel bir katmanKiosk MetaDefender Kiosk ile birlikte çalışır ve taranmamış hiçbir çıkarılabilir ortamın giriş noktalarından geçememesini sağlar.

MetaDefender Validation, uç noktalara yüklenen hafif bir araçtır ve yalnızca MetaDefender Kiosk tarafından taranan dosyaların uç nokta tarafındanKiosk , seçilebilmesini veKiosk sağlamak üzere bir kontrol noktası işlevi görür.

Sektörün Önde Gelen Teknolojileri

Hem MetaDefender Kiosk MetaDefender Endpoint , 30'dan fazla kötü amaçlı yazılım önleme motoru kullanarak %99,2'lik kötü amaçlı yazılım tespit oranına ulaşan Metascan™ Multiscanning gibi, kendini kanıtlamış ve dünya çapında güvenilen teknolojilerdenEndpoint . Ayrıca, işlevselliği tehlikeye atmadan dosyalardaki zararlı içeriği proaktif olarak temizlemek için Deep CDR™ Teknolojisini kullanırlar. Her iki çözüm de, çıkarılabilir ortamlardaki bilinen yazılım kusurlarını tespit etmek için güvenlik açığı değerlendirmeleri gerçekleştirmenin ve hassas verilerin sızmasına karşı sağlam koruma sağlamanın yanı sıra, IT/OT ağları için çevresel ve çıkarılabilir ortam tehditlerine karşı derin, çok katmanlı bir savunma sağlar.

Yöneticiler için Özet

APT37, ağ güvenlik mimarisini aşarak hava boşluğu izolasyonunu aşmadı. Tamamen kuruluşun kontrolü altında bulunan işletim sistemi işlevlerini ve çıkarılabilir ortam iş akışlarını istismar ettiler.

Bu sorunu çözmek için, çıkarılabilir ortamlar operasyonel iş akışınızın bir parçasıysa, yürütme işlemi uç noktaya ulaşmadan önce önlem alınması gerekir. Çoğu OT/ICS ortamında durum böyledir. Sonuç olarak, bu durum herhangi bir ağ sınır kontrolü gibi sıkı bir şekilde yönetilmelidir:

  • Yüklemeden önce kontrol edin: Hiçbir cihaz, önceden taranmadan üretim sistemine ulaşmamalıdır
  • Aktarımdan önce kayıt altına alın: Her medya etkileşimi, denetlenebilir bir kayıt oluşturmalıdır
  • Erişmeden önce düzeltin: Risk, olay gerçekleştikten sonra tespit edilmemeli, sınırda etkisiz hale getirilmelidir

OPSWAT , çıkarılabilir ve harici ortamlardan kaynaklanan tehditleri kritik ortamınıza ulaşmadan nasıl etkisiz hale getirmenize yardımcı OPSWAT öğrenmek için bugün bir uzmanla görüşün.

Bir Uzmanla Konuşun
Etiketler:

Son Gönderiler

OPSWAT Bültenine kaydolun

Etkinlik bilgilerinin yanı sıra en son OPSWAT şirket güncellemelerini alın ve sektörü ileriye götüren haberler.
Beni Kaydedin

Bizi Sosyal Medyada Takip Edin Media

Daha fazlası için OPSWAT adresini LinkedIn, Facebook, Twitter ve YouTube'da takip edin!

OPSWAT ile Güncel Kalın!

En son şirket güncellemelerini almak için bugün kaydolun, hikayeler, etkinlik bilgileri ve daha fazlası.
Abone Olun