נוזקה חדשה Brutal Kangaroo מאפשרת הדבקת מחשבים מבודלים
מאת:
מערכת Telecom News, 26.6.17, ;19:09
התקיפות מיועדות בעיקר לארגונים ותשתיות קריטיות, שמשיקולי אבטחה מפעילים לעיתים רשתות מבודלות העושות שימוש במערכת ההפעלה Windows, ללא גישה לאינטרנט או לרשת חיצונית כלשהי. פורסמה דרך פעולת הנוזקה.
במהלך סוף השבוע
הודלפה נוזקה חדשה המנצלת חולשה הקיימת בקבצים מסוג
LNK וביכולתה לתקוף מחשבים ורשתות עצמאיים ומבודלים (שאינם מחוברים לאינטרנט או לרשת חיצונית כלשהי). במסגרת ההדלפה פורסם תיאור של פעולות הנוזקה ללא הכלי עצמו
.
וקטור ההדבקה הראשונית יכול להגיע באמצעות דוא"ל, הורדת קבצים וכו'. לאחר מכן, כל התקן נייד (
Disk on Key) המוכנס למחשב מודבק באופן אוטומטי ומאפשר לתוקף 'לדלג' למחשב מבודל.
כלומר, ברגע שאותו התקן נייד יוכנס למחשב מבודל, יודבק גם הוא. התקיפות מיועדות בעיקר לארגונים, מפעלים ותשתיות קריטיות, שמשיקולי אבטחה מפעילים לעיתים רשתות מבודלות ללא גישה רשתית.
נוזקת
Brutal Kangaroo משמשת לתקיפת רשתות מבודלות העושות שימוש במערכת ההפעלה
Windows. התקיפה מתבצעת באמצעות התקן נייד ומבוססת על חולשה הקיימת בקבצים מסוג
LNK. יש לציין, שהכלי עצמו לא פורסם, אלא רק מסמכים לגבי אופן פעולתו.
שיטת הפעולה:
שלב ראשון – חדירה למחשב עם חיבור אינטרנטי בתוך הארגון והתקנת הנוזקה.
שלב שני – ברגע שההתקן הנייד מוכנס למחשב, הוא מודבק באמצעות הכלי
,Shattered Assurance שמתקין עליו נוזקה המכונה
Drifting Deadline או
Emotional Simian
שלב שלישי – ברגע שההתקן הנייד המודבק מוכנס למחשב מבודל (קרי מחשב, שאינו מחובר לרשת חיצונית כלשהי), הנוזקה מותקנת ומתחילה להפיץ עצמה בין המערכות ברשת המבודלת. באופן זה מיוצרת מעין רשת סמויה בתוך הרשת הסגורה של היעד, ומאפשרת איסוף נתונים וניתוח מידע
.
ההדבקה מבוססת על פגיעות הקיימת ב-
Windows המאפשרת לעשות שימוש בקבצי
LNK לטובת הרצת תוכניות (
DLL) ללא התערבות המשתמש. עצם הצפייה בקובץ באמצעות
Windows Explorer מפעילה את הנוזקה.
הוצאת המידע החוצה מבוצעת באופן דומה אך בכיוון הפוך - הסתרת המידע על התקן נייד המוכנס לרשת המבודלת ופריקתו ברשת החיצונית.
המלצות:
מיקרוסופט פרסמה עדכון אבטחה לחולשה
CVE-2017-8464 הקיימת בקבצי
LNK ומאפשרת הרצת קוד מרחוק. את העדכון ניתן למצוא -
כאן. מומלץ לבחון את התקנתו בהקדם האפשרי.
מומלץ לבחון ביצוע תהליך מחמיר של הלבנה באמצעות כלים המבצעים חיפוש אחר פוגענים, המרת פורמטים, והגבלת סוגי קבצים המורשים להכנסה לרשת המבודלת.
מומלץ לבחון הגבלה למינימום הנדרש של סוגי הקבצים המורשים להכנסה.
מומלץ לבחון יישום מדיניות האוסרת ומונעת בפועל שימוש בהתקני אחסון ניידים ברשתות ארגוניות למעט במספר מצומצם של עמדות, תחת נהלים, שיוגדרו לכך מראש, ולאחר בדיקות מתאימות.
.