USB'ler, Hafıza Kartları, Harici HDD, CD/DVD'ler ya da Mobile Telefonlar olsun, çıkarılabilir Media birçok kuruluş için bir güvenlik baş ağrısıdır. Özellikle USB saldırıları birçok farklı biçimde ortaya çıkmaktadır ve Ben-Gurion Üniversitesi'ndeki araştırmacılar 29 Farklı USB Tabanlı Saldırı Türü belirlemiştir. Catalin Cimpanu, bunlardan birinin " USB standardı tarafından desteklenen meşru bir süreçten yararlanarak yerel meşru aygıt yazılımını kötü niyetli bir sürüme güncelleyen" Aygıt Ürün Yazılımı Yükseltme (DFU) saldırısı olduğunu söyledi.
Bu blogda, bir çalışanın kötü amaçlı bir ürün yazılımı yükseltme yürütülebilir dosyası içeren bir USB sürücüsünü kurumsal bir ağa getirdiği bir DFU saldırısını ve OPSWAT'un nasıl çalıştığını simüle edeceğiz. MetaDefender Kiosk bu tür saldırıları önlemeye yardımcı olabilir.
Saldırıyı Geliştirmek
Kötü amaçlı bir ürün yazılımı yükseltme dosyası oluşturmak için birkaç gelişmiş seçenekle birlikte, yükleri oluşturmak ve kodlamak için yaygın bir istismar aracı olan msfvenom'u kullanacağız.
Burada, kötü amaçlı yük çalıştırıldığında kurbanın sistemi üzerinde kontrolü ele geçiren bir C2 (Komut ve Kontrol) sunucusu ile bir saldırı simülasyonu yapıyoruz. Görev yükü shikata_ga_nai veya SGN (Japonca'da "hiçbir şey yapılamaz" anlamına gelir) kullanılarak kodlanmıştır ve gösterim amacıyla bir IP/PORT belirten bir C2 sunucusu kurduk.
Bir Sistemi Tehlikeye Atmak
Bir çalışanın güvenilmeyen bir üçüncü taraftan USB adresine güvenliği ihlal edilmiş bir ürün yazılımı yükseltme dosyası indirdiği ve kullanmak üzere şirkete getirdiği gerçek dünya senaryosunu ele alalım.
Bu USB sürücüsü bir sisteme takılır ve kullanıcı tarafından çalıştırılırsa ne olur?
Çalışan bu USB sürücüsünü sisteme takıp çalıştırdığı anda, bu yük saldırgan tarafından kontrol edilen makineye veya C2 sunucusuna geri bağlanacaktır.
Bakalım nasıl olacak.
Artık kurban makineden kabuk komut satırı ekranına sahibiz ve bir saldırgan olarak C2 sunucusundan istediğimiz komutları çalıştırabiliriz.
Ancak asıl soru şu: Bu saldırının gerçekleşmesini önlemek için yapabileceğimiz bir şey var mı?
MetaDefender Kiosk Bu Tür Saldırıların Önlenmesine Nasıl Yardımcı Olur?
MetaDefender Kiosk , kuruma girmeden önce tüm medyayı kötü amaçlı yazılım, güvenlik açıkları ve hassas veriler açısından inceleyen dijital bir güvenlik görevlisi görevi görür. MetaDefender Kiosk , güvenli tesislerin fiziksel giriş noktasına veya hava boşluklu bir ağın girişine kurulmak üzere tasarlanmıştır.
Şimdi bunu çalışırken görelim.
Kötü amaçlı bir dosya ile birlikte DFU'yu içeren USB sürücüsünü MetaDefender Kiosk adresine yerleştireceğiz.
Şimdi USB Drive adresinin tamamını tarayalım ve MetaDefender Kiosk adresinin gücünü gözlemleyelim.
Birkaç saniye içinde, bu aygıt yazılımı yükseltme dosyasının aslında kötü amaçlı olduğunu ve MetaDefender Kiosk adresinin bunu zaten engellediğini söyleyen güzel bir raporla karşılaşıyoruz.
Tahmin edebileceğiniz gibi, OT/ICS (entegre kontrol sistemleri) ve kritik altyapı ortamlarınızı kötü amaçlı yazılımlara ve sıfırıncı gün saldırılarına karşı korumak için MetaDefender Kiosk yapabileceği çok daha fazla şey var. Bu ortamların çoğu hava boşlukludur ve yalnızca MetaDefender Kiosk kötü amaçlı yazılım kritik bir OT ağına ulaşmadan önce denetleyebildiği, tarayabildiği ve temizleyebildiği taşınabilir medya cihazları kullanılarak güncellenebilir. OPSWAT MetaDefender Kiosk gibi en iyi siber tehdit engelleme teknolojilerini kullanır: Çoklu Tarama Motorları, Önyükleme Sektörü Taraması, Deep Content Disarm and Reconstruction (CDR), Proaktif Veri Kaybı Önleme (DLP), File-based Vulnerability Assessment ve riskleri azaltmak ve uyumluluğu güçlendirmek için Menşe Ülke Kontrolü.
İlgili Diğer Bloglar:
