Le site Media est un casse-tête pour la sécurité de nombreuses organisations, qu'il s'agisse d'USB, de cartes mémoire, de disques durs externes, de CD/DVD ou de téléphones Mobile . Les attaques USB en particulier se présentent sous de nombreuses formes différentes, et des chercheurs de l'université Ben-Gurion ont identifié 29 types différents d'attaques basées sur USB. L'une d'entre elles est l'attaque DFU (Device Firmware Upgrade) qui exploite "un processus légitime pris en charge par la norme USB , pour mettre à jour un micrologiciel local légitime vers une version malveillante", a déclaré Catalin Cimpanu.
Dans ce blog, nous allons simuler une attaque DFU dans laquelle un employé apporte un disque USB contenant un fichier exécutable malveillant de mise à jour du micrologiciel dans un réseau d'entreprise, et nous allons voir comment OPSWAT's MetaDefender Kiosk peut aider à prévenir ce type d'attaque.
Développer l'attaque
Nous utiliserons msfvenom, un outil d'exploitation courant pour générer et encoder des charges utiles, avec quelques options avancées pour générer un fichier malveillant de mise à jour du micrologiciel.
Nous simulons ici une attaque avec un serveur C2 (Command-and-Control) qui prend le contrôle du système de la victime lorsque la charge utile malveillante est exécutée. La charge utile est codée à l'aide de shikata_ga_nai ou SGN (en japonais, cela signifie "rien ne peut être fait") et nous mettons en place un serveur C2 spécifiant une IP/PORT à des fins de démonstration.
Compromettre un système
Prenons un scénario réel dans lequel un employé télécharge un fichier de mise à jour de micrologiciel compromis sur un site USB à partir d'un tiers non fiable et l'apporte dans une entreprise pour l'utiliser.
Que se passerait-il si ce lecteur USB était inséré dans un système et exécuté par l'utilisateur ?
Dès que l'employé insère ce lecteur USB dans le système et l'exécute, cette charge utile se connecte à la machine contrôlée par l'attaquant ou au serveur C2.
Voyons ce qu'il en est.
Nous avons maintenant l'écran de la ligne de commande shell de la machine victime et pouvons exécuter toutes les commandes que nous voulons depuis le serveur C2 en tant qu'attaquant.
Mais la question est de savoir si nous pouvons faire quelque chose pour empêcher cette attaque de se produire.
Comment MetaDefender Kiosk aide à prévenir ce type d'attaque ?
MetaDefender Kiosk agit comme un gardien de sécurité numérique qui inspecte tous les supports à la recherche de malwares, de vulnérabilités et de données sensibles avant d'entrer dans l'entreprise. MetaDefender Kiosk est conçu pour être installé au point d'entrée physique des installations sécurisées ou à l'entrée d'un réseau à air comprimé.
Voyons maintenant ce qu'il en est.
Nous allons insérer le lecteur USB qui contient le DFU ainsi qu'un fichier malveillant dans un MetaDefender Kiosk .
Analysons maintenant l'ensemble du site USB Drive et observons la puissance du site MetaDefender Kiosk .
En l'espace de quelques secondes, nous recevons un joli rapport indiquant que ce fichier de mise à jour du micrologiciel est en fait malveillant et que MetaDefender Kiosk l'a déjà bloqué.
Comme vous pouvez l'imaginer, MetaDefender Kiosk peut faire beaucoup plus pour protéger vos environnements OT/ICS (systèmes de contrôle intégrés) et vos infrastructures critiques contre les logiciels malveillants et les attaques de type "zero-day". La plupart de ces environnements sont confinés à l'air et ne peuvent être mis à jour que par l'utilisation d'appareils multimédias portables, que MetaDefender Kiosk peut auditer, scanner et nettoyer avant que les logiciels malveillants n'atteignent un réseau OT critique. OPSWAT MetaDefender Kiosk utilise des technologies de pointe pour contrecarrer les cybermenaces, telles que : moteurs de balayage multiples, balayage du secteur d'amorçage, Deep Content Disarm and Reconstruction (CDR), prévention proactive de la perte de données (DLP), File-based Vulnerability Assessment et une vérification du pays d'origine pour atténuer les risques et renforcer la conformité.
Autres blogs intéressants :
