Media rimovibile è un problema di sicurezza per molte organizzazioni, sia che si tratti di USB, schede di memoria, HDD esterni, CD/DVD o Mobile telefoni. USB attacchi in particolare si presentano in molte forme diverse e i ricercatori della Ben-Gurion University hanno identificato 29 diversi tipi di attacchi basati su USB. Uno di questi è l'attacco Device Firmware Upgrade (DFU) che sfrutta "un processo legittimo supportato dallo standard USB per aggiornare il firmware locale legittimo a una versione dannosa", ha dichiarato Catalin Cimpanu.
In questo blog simuleremo un attacco DFU in cui un dipendente porta in una rete aziendale un'unità USB contenente un file eseguibile dannoso per l'aggiornamento del firmware, e come OPSWAT's MetaDefender Kiosk possono aiutare a prevenire questo tipo di attacco.
Sviluppare l'attacco
Utilizzeremo msfvenom, un comune strumento di exploit per la generazione e la codifica di payload, con alcune opzioni avanzate per generare un file di aggiornamento del firmware dannoso.
Qui stiamo simulando un attacco con un server C2 (Command-and-Control) che prende il controllo del sistema della vittima quando il payload dannoso viene eseguito. Il payload è codificato utilizzando shikata_ga_nai o SGN (in giapponese significa "non si può fare nulla") e abbiamo configurato un server C2 specificando un IP/PORT a scopo dimostrativo.
Compromissione di un sistema
Prendiamo uno scenario reale in cui un dipendente scarica un file di aggiornamento del firmware compromesso su USB da una terza parte non attendibile e lo porta in azienda per utilizzarlo.
Cosa accadrebbe se questa unità USB venisse inserita in un sistema ed eseguita dall'utente?
Beh, nel momento in cui il dipendente inserisce l'unità USB nel sistema e la esegue, questo payload si connetterà nuovamente alla macchina controllata dall'aggressore o al server C2.
Vediamo come va.
Ora abbiamo la schermata della riga di comando della shell dalla macchina vittima e possiamo eseguire tutti i comandi che vogliamo dal server C2 come attaccante.
Ma la domanda è: c'è qualcosa che possiamo fare per evitare che questo attacco si verifichi?
In che modo MetaDefender Kiosk aiuta a prevenire questo tipo di attacchi?
MetaDefender Kiosk agisce come una guardia di sicurezza digitale che ispeziona tutti i supporti alla ricerca di malware, vulnerabilità e dati sensibili prima di entrare nell'azienda. MetaDefender Kiosk è stato progettato per essere installato all'ingresso fisico di strutture sicure o all'ingresso di una rete protetta.
Vediamolo ora in azione.
Inseriamo il drive USB che contiene il DFU insieme a un file maligno in un MetaDefender Kiosk .
Ora analizziamo l'intero USB Drive e osserviamo la potenza di MetaDefender Kiosk .
Nel giro di pochi secondi, ci viene presentato un bel rapporto che dice che questo file di aggiornamento del firmware è in realtà dannoso e che MetaDefender Kiosk lo ha già bloccato.
Come potete immaginare, c'è molto altro che MetaDefender Kiosk può fare per proteggere gli ambienti OT/ICS (sistemi di controllo integrati) e le infrastrutture critiche dalle minacce informatiche e dagli attacchi zero-day. La maggior parte di questi ambienti è isolata dall'aria e può essere aggiornata solo attraverso l'uso di dispositivi multimediali portatili, che MetaDefender Kiosk possono controllare, scansionare e ripulire prima che il malware raggiunga una rete OT critica. OPSWAT MetaDefender Kiosk utilizza le migliori tecnologie per contrastare le minacce informatiche, come: Motori a scansione multipla, scansione del settore di avvio, Deep Content Disarm and Reconstruction (CDR), prevenzione proattiva della perdita di dati (DLP), File-based Vulnerability Assessment e il controllo del Paese di origine per ridurre i rischi e rafforzare la conformità.
Altri blog correlati di interesse:
