O Media amovível é uma dor de cabeça em termos de segurança para muitas organizações, quer se trate de USBs, cartões de memória, discos rígidos externos, CD/DVDs ou telemóveis Mobile . Os ataques ao USB , em particular, assumem muitas formas diferentes e os investigadores da Universidade Ben-Gurion identificaram 29 tipos diferentes de ataques baseados no USB. Um deles é o ataque Device Firmware Upgrade (DFU), que explora "um processo legítimo suportado pela norma USB , para atualizar o firmware local legítimo para uma versão maliciosa", afirmou Catalin Cimpanu.
Neste blogue, vamos simular um ataque DFU em que um funcionário traz uma unidade USB contendo um ficheiro executável de atualização de firmware malicioso para uma rede empresarial, e como o OPSWAT's MetaDefender Kiosk pode ajudar a evitar este tipo de ataque.
Desenvolver o ataque
Vamos utilizar o msfvenom, uma ferramenta de exploração comum para gerar e codificar cargas úteis, com algumas opções avançadas para gerar um ficheiro de atualização de firmware malicioso.
Neste caso, estamos a simular um ataque com um servidor C2 (Command-and-Control) que assume o controlo do sistema da vítima quando o payload malicioso é executado. O payload é codificado utilizando shikata_ga_nai ou SGN (em japonês significa "nada pode ser feito") e configuramos um servidor C2 especificando um IP/PORT para efeitos de demonstração.
Comprometendo um sistema
Vejamos um cenário real em que um funcionário descarrega um ficheiro de atualização de firmware comprometido para um USB a partir de um terceiro não fiável e leva-o para a empresa para o utilizar.
O que aconteceria se esta unidade USB fosse inserida num sistema e executada pelo utilizador?
Bem, no momento em que o funcionário liga esta unidade USB ao sistema e a executa, esta carga útil ligar-se-á novamente à máquina controlada pelo atacante ou ao servidor C2.
Vamos ver como corre.
Agora temos o ecrã da linha de comandos da shell da máquina da vítima e podemos executar quaisquer comandos que quisermos a partir do servidor C2 como um atacante.
Mas a questão é saber se há alguma coisa que possamos fazer para evitar que este ataque aconteça.
Como é que MetaDefender Kiosk ajuda a prevenir este tipo de ataque?
MetaDefender Kiosk actua como um guarda de segurança digital, inspeccionando todos os meios de comunicação em busca de malware, vulnerabilidades e dados sensíveis antes de entrar na empresa. O MetaDefender Kiosk foi concebido para ser instalado no ponto de entrada físico de instalações seguras ou na entrada de uma rede com air-gap.
Agora vamos vê-lo em ação.
Vamos inserir a unidade USB que contém o DFU juntamente com um ficheiro malicioso numa MetaDefender Kiosk .
Agora vamos analisar todo o USB Drive e observar o poder do MetaDefender Kiosk .
Em poucos segundos, é-nos apresentado um bom relatório que diz que este ficheiro de atualização de firmware é realmente malicioso e que o MetaDefender Kiosk já o bloqueou.
Como pode imaginar, há muito mais que MetaDefender Kiosk pode fazer para proteger os seus ambientes OT/ICS (sistemas de controlo integrados) e de infra-estruturas críticas contra malware e ataques de dia zero. A maioria destes ambientes está protegida por ar e só pode ser actualizada através da utilização de dispositivos multimédia portáteis, que MetaDefender Kiosk pode auditar, analisar e limpar antes que o malware chegue a uma rede OT crítica. OPSWAT MetaDefender Kiosk utiliza as principais tecnologias de combate a ameaças cibernéticas, tais como: Motores de análise múltipla, análise do sector de arranque, Deep Content Disarm and Reconstruction (CDR), prevenção proactiva de perda de dados (DLP), File-based Vulnerability Assessment e uma verificação do país de origem para mitigar os riscos e reforçar a conformidade.
Outros blogues de interesse relacionados:
