1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> skadelig programvare >>

Forstå logikken bombeangrep: Eksempler og countermeasures

Logiske bomber er vanligvis installert av privilegerte brukere som vet hva sikkerhetskontroller må omgås for å gå ubemerket før de detonerer

Det synes vi oppleve dette fenomenet over. og over med logikken bombeangrep. Hver gang en logisk bombe brukes i en høyprofilert angrep, virker det som det blir oppdaget for første gang. Denne gangen Whois hackergruppen sette av en logisk bombe å forstyrre sørkoreanske banker og kringkastingsselskaper, som igjen utløste en reaksjon rundt om i verden.

Selv om logiske bomber har blitt brukt i en eller annen form for en lang tid, oppdager logikk bombeangrep i en bedrift system er vanskelig å gjøre, men unnlater å gjøre det kan ha ødeleggende konsekvenser, spesielt når kritisk infrastruktur er berørt. I dette tipset, diskuterer vi hvordan logiske bomber fungerer, inkludert Whois angrep, samt gi begrensninger at bedrifter kan iverksette for å beskytte seg mot lignende angrep.
Hvordan logikk bombeangrep jobbe

Å kamp logiske bomber, må sikkerhets proffene først forstå hvordan de fungerer. En logikk bombe er en linje med kode i et system eller et stykke malware som utløser ondsinnet atferd når en bestemt betingelse er oppfylt, for eksempel bestått av en viss tid eller svikt i en bruker til å svare på en kommando. Logikken bombe kan være bare en linje med kode, eller det kan være skadelig programvare satt opp av gjerningsmannen til å forårsake skade på et system.

En typisk use case for en logikk bombe er en insider angrep. For eksempel, la oss si en privilegert bruker har en grudge mot hans selskap og er redd han kan snart bli avfyrt. I forkant av sin skyting, setter han opp en planlagt jobb som sjekker for å se om hans brukerkontoen har vært aktiv i løpet av de siste 90 dagene; Hvis ingen aktivitet blir funnet, sletter den planlagte jobben en kritisk database. Sikker nok, blir brukeren sparken, og noen måneder senere, når kontoen hans har vært inaktiv i 90 dager, er databasen slettet. I de fleste tilfeller vil dette være en synlig og tydelig handling, men hva gjør en logisk bombe spesielt snikende er at den skifter kode tilfeldig, noe som gjør det vanskeligere å oppdage og mer skadelig for målrettet organisasjon.

kode eller Programvaren inneholder en logisk bombe kan ikke bli oppdaget av tradisjonelle antimalware verktøy fordi de bruker egendefinert kode designet for et bestemt system og scenario; ingen signatur eksisterer for å oppdage dem. Som i tilfellet med det ovennevnte eksempel, er logiske bomber vanligvis installert etter privilegerte brukere som vet hvordan sikkerhetskontroller må omgås for å gå ubemerket før de detoneres. Den ondsinnede koden kan også inngå i en eksisterende stykke programvare som er installert på et mål system. En logikk bombe omgår ofte hvitlisting eller filsystemet integritet sjekker fordi en ondsinnet admin, vanligvis den som er ansvarlig for en logikk bombe, kunne tukle med eller deaktivere hvitlisting og fil integritetssystemer.
Outsiders, Whois og DarkSeoul

Det er verdt å merke seg at logiske bomber er ikke den eksklusive purview av innsidere. En ekstern angriper som får privilegert tilgang, gjennom å utnytte sårbarheten i systemet, kunne også satt opp en logisk bombe for å fjerne eventuelle bevis for hans eller hennes handlinger, eller deaktivere systemet hvis en bestemt kommando ikke er mottatt fra angriperen (ofte via en kommando-og-kontroll-kanal). Selvfølgelig ville angriperen fortsatt må først få tilgang til bedriftssystemer.

Få detaljer er offentlig utgitt om Whois angrepet. Det rammet flere kunder av ISP LG U + og forårsaket deres nettverk til å mislykkes. Angrepet skal ha brukt den DarkSeoul malware (selv om dette kan ha vært relatert til ISP problemer, ifølge Sophos), som forårsaket de infiserte systemer for å ikke starte opp, og inneholdt logikken bombe. DarkSeoul ser ut til å målrette sørkoreanske systemer spesielt fordi det deaktiverer populære sørkoreanske antimalware produkter. Det er foreløpig ingen bevis for at Nord-Korea eller Kina var involvert i å gjennomføre angrepene

DarkSeoul har blitt sammenlignet med Shamoon malware som rammet Saudi Aramco. Både resulterte i ødelagte harddisker skade master boot poster å deaktivere target systemer. Det er få detaljer om den sørkoreanske angrep som ville knytte de to sammen, annet enn begge deler av malware ta lignende handlinger. En annen mulig sammenligning punkt er 1989 virus Disk Killer, som også førte til ødelagte data på en harddisk skade master boot record.
Enterprise gjerder

For å beskytte seg mot logikk bombeangrep, bedrifter bør gjøre forberedelser i fire områder: backup, separasjon av oppgaver, overvåking og sterk Endpoint Protection. Selv om det ikke kan hindre en logikk bombe, er en grundig backup strategi en standard anbefaling til hjelp i sikkerhetshendelse utvinning og skal allerede være en del av noe sikkerhetsprogram. Separasjon av plikter kan bidra til å avskrekke ondsinnede innsidere som kan vurdere å installere en logisk bombe på et system. Dette ville kreve en annen person for å evaluere ny kode, programvare eller endringer for sikkerhetsproblemer. Uten den andre personen gjennomgang, kunne priviligert bruker potensielt installere malware uten gjenkjenning.

System og logge overvåking bør også brukes til å oppdage når en logisk bombe er installert. Logger kan bli vurdert av en tredjepart for å identifisere eventuell ondsinnet programvare eller endringer har blitt innført i systemet; Særlig oppmerksomhet bør vies til logger for kritiske systemer. For eksempel, hvis filsystemet integritet sjekke programvaren er deaktivert manuelt for en kort periode og deretter re-aktivert, undersøke våken for å finne ut hvilke endringer som er gjort i systemet, og hvis noen var skadelig. Endelig kan sterk endepunktbeskyttelse hindre logiske bomber ved å begrense muligheten for ikke-godkjente brukere for å gjøre endringer i et system; en logg over alle endringer skal regelmessig eller som del av en hendelse respons
Konklusjon
Fra redaktørene. Mer om logg ledelse

Finn ut hvordan brannmur logging kan brukes til å oppdage potensielle nettverk sikkerhetstrusler

Lær om logging strategier for nettskymiljøer

Selv om logiske bomber har eksistert nesten like lenge som databehandling, de forblir en effektiv teknikk for angripere.; i sin tur, sikkerhet beskyttelsene må tilpasse seg. Mange av begrensende faktorer for logiske bomber har vært tilgjengelig i mange år, men logiske bomber har bedret seg som nye verktøy og angrepsmetoder har blitt utviklet. Ved å implementere de anbefalte nye verktøy og ekstra overvåking, skjønt, bør det være mulig for bedrifter å kunne oppdage og forhindre logikk bombeangrep i fremtiden

Om forfatteren:.
Nick Lewis, CISSP, er en informasjonssikkerhet arkitekt ved Saint Louis University. Nick fikk sin Master of Science i informasjonsteknologi forsikring fra Norwich University i 2005, og i telekommunikasjon fra Michigan State University i 2002. Før han kom til Saint Louis University i 2011, Nick jobbet ved University of Michigan og ved Boston Children Hospital, primær pediatrisk undervisning sykehus fra Harvard Medical School, samt for Internet2 og Michigan State University.