Ga naar inhoud

Usb-sticks zijn essentieel voor aanvallen op air-gapped netwerken


Aanbevolen berichten

Usb-sticks zijn essentieel voor aanvallen op air-gapped netwerken, zo stelt antivirusbedrijf ESET op basis van eigen onderzoek. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten. Dit wordt ook wel een air-gap genoemd.

Dergelijke niet op internet aangesloten computers kunnen echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Een bekend voorbeeld hiervan is Stuxnet. De afgelopen jaren zijn er meerdere malware-exemplaren gevonden die ontwikkeld zijn voor aanvallen op air-gapped netwerken. Onderzoekers van ESET onderzochten zeventien van dergelijke frameworks die sinds 2006 bij aanvallen zijn ingezet.

In veel gevallen is de initiële infectievector van deze malware-exemplaren niet bekend. Aanvallers moeten, wanneer er geen directe toegang tot het beoogde systeem is, bijvoorbeeld door een kwaadwillende medewerker, eerst een systeem in de organisatie zien te infecteren voordat verdere aanvallen mogelijk zijn. Een aantal van de frameworks maakt echter gebruik van e-mailbijlagen, zoals malafide documenten, lnk-bestanden en meegestuurde software.

Eenmaal actief op een besmet systeem wacht de malware totdat er een usb-stick wordt aangesloten. Alle onderzochte malware-exemplaren maken gebruik van usb-sticks om zich verder te verspreiden en air-gapped systemen aan te vallen. Er werden geen andere communicatiekanalen gebruikt voor bijvoorbeeld het stelen van data, hoewel onderzoekers de afgelopen jaren aantoonden dat dit op allerlei manieren mogelijk is, zoals het gebruik van speakers, toetsenbordlampjes en het geluid van de harde schijf.

Zodra de usb-stick met de malware besmet is, is het wachten totdat die op andere systemen wordt aangesloten. Hierbij blijken de onderzochte malware-exemplaren verschillende manieren te gebruiken om deze nieuwe systemen te infecteren. Het gaat dan om het gebruik van autorun, kwetsbaarheden in Windows bij het verwerken van LNK-bestanden en LNK-bestanden die naar de malware wijzen.

Zo maakte Stuxnet gebruik van een LNK-kwetsbaarheid in Windows, waardoor alleen het aansluiten van een usb-stick voldoende was. Er was geen interactie van gebruikers vereist en het maakte ook niet uit of autorun of autoplay stonden uitgeschakeld. Van de onderzochte frameworks, waaronder ook Stuxnet, blijkt driekwart malafide LNK- of autorun-bestanden op usb-sticks te gebruiken om het air-gapped netwerk te infecteren.

De malware op de air-gapped systemen verzamelt vervolgens allerlei documenten en andere belangrijke bestanden en plaatst die op de besmette usb-stick. Zodra de usb-stick op een met internet verbonden systeem wordt aangesloten zal de malware deze verzamelde data naar de aanvallers sturen. Alle onderzochte malware-exemplaren waren ontwikkeld voor spionage, aldus de onderzoekers.

Preventie

Om aanvallen op air-gapped systemen te voorkomen wordt aangeraden maatregelen tegen malafide LNK- en autorun-bestanden te nemen. Een andere optie is het uitschakelen van de usb-poorten van air-gapped systemen, het automatisch opschonen van aangesloten usb-sticks en het verwijderen van alle LNK- en autorun.inf-bestanden van usb-sticks.

De onderzoekers merken op dat air-gapped malware lastig te detecteren is, aangezien telemetrie hierover ontbreekt. "Systemen binnen air-gapped netwerken versturen geen telemetrie, wat voor een grote blinde vlek zorgt en bijdraagt aan de tijd dat het duurt voor de ontdekking en detectie van nieuwe malware die het op air-gapped netwerken heeft voorzien." In veel gevallen blijkt dat air-gapped malware al lange tijd actief is voordat het wordt ontdekt.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.