Adversaries may move onto systems, possibly those on disconnected or air-gapped networks, by copying malware to removable media and taking advantage of Autorun features when the media is inserted into a system and executes. In the case of Lateral Movement, this may occur through modification of executable files stored on removable media or by copying malware and renaming it to look like a legitimate file to trick users into executing it on a separate system. In the case of Initial Access, this may occur through manual manipulation of the media, modification of systems used to initially format the media, or modification to the media's firmware itself.
Angreifer können in Systeme eindringen, die sich möglicherweise in getrennten oder abgehörten Netzwerken befinden, indem sie Malware auf Wechselmedien kopieren und die Autorun-Funktionen ausnutzen, wenn das Medium in ein System eingelegt und ausgeführt wird. Im Fall von Lateral Movement kann dies durch die Modifizierung von ausführbaren Dateien geschehen, die auf Wechselmedien gespeichert sind, oder indem Malware kopiert und umbenannt wird, so dass sie wie eine legitime Datei aussieht, um Benutzer dazu zu bringen, sie auf einem anderen System auszuführen. Im Falle des Erstzugriffs kann dies durch eine manuelle Manipulation des Datenträgers, eine Modifikation der Systeme, die zur ursprünglichen Formatierung des Datenträgers verwendet werden, oder eine Modifikation der Firmware des Datenträgers selbst erfolgen.
Les adversaires peuvent se déplacer sur des systèmes, éventuellement sur des réseaux déconnectés ou à couverture aérienne, en copiant des logiciels malveillants sur des supports amovibles et en profitant des fonctions Autorun lorsque le support est inséré dans un système et s'exécute. Dans le cas d'un mouvement latéral, cela peut se produire par la modification de fichiers exécutables stockés sur des supports amovibles ou en copiant des logiciels malveillants et en les renommant pour qu'ils ressemblent à des fichiers légitimes afin d'inciter les utilisateurs à les exécuter sur un autre système. Dans le cas de l'accès initial, cela peut se produire par la manipulation manuelle du support, la modification des systèmes utilisés pour formater initialement le support ou la modification du micrologiciel du support lui-même.
Gli avversari possono spostarsi su sistemi, possibilmente su reti scollegate o con air-gapped, copiando malware su supporti rimovibili e approfittando delle caratteristiche di Autorun quando il supporto viene inserito in un sistema ed eseguito. Nel caso di Movimento Laterale, questo può avvenire attraverso la modifica di file eseguibili memorizzati su supporti rimovibili o copiando il malware e rinominandolo per farlo sembrare un file legittimo per ingannare gli utenti ad eseguirlo su un sistema separato. Nel caso di Accesso Iniziale, questo può avvenire attraverso la manipolazione manuale del supporto, la modifica dei sistemi usati per formattare inizialmente il supporto o la modifica del firmware del supporto stesso.
Die Replikation über Wechselmedien ist nicht tatbestandsmässig. Bei der beabsichtigten Ausführung des Codes durch das Opfer, ist lediglich das Zugangstor geöffnet und somit die besondere Sicherung umgangen. Solange der Code nur den Zugang an sich verschafft und keine Daten übermittelt, ist die Tat nicht vollendet und es kommt höchstens die versuchte Tatbegehung in Frage.
La réplication via des supports amovibles ne constitue pas une infraction. Si la victime a l'intention d'exécuter le code, seule la porte d'accès est ouverte et la sécurité spéciale est ainsi contournée. Tant que le code ne fait qu'ouvrir l'accès en soi et ne transmet pas de données, l'infraction n'est pas consommée et seule la tentative de commission de l'infraction peut être prise en considération.
La replica tramite supporti rimovibili non è un reato. L'esecuzione prevista del codice da parte della vittima apre semplicemente la porta d'accesso e quindi aggira la sicurezza speciale. Finché il codice fornisce solo l'accesso e non trasmette dati, il reato non è completato e al massimo è possibile il tentativo di commettere il reato.
Replication via removable media does not constitute an offense. The intended execution of the code by the victim merely opens the access gate and thus bypasses the special security. As long as the code only provides access and does not transmit any data, the crime is not completed and at most the attempted commission of the crime is possible.
Article | Assessment |
---|---|
(Datenbeschaffung)
Contribution DetailsLast update: 2021-11-4 Autoren: Roman Kost ⓘ |
Les attaques via des supports amovibles peuvent être utilisées pour effacer des données sur le système cible (cela peut également inclure le cryptage, par exemple dans le cas d'attaques par ransomeware). Ce type d'attaque tombe sous le coup de l'article 144bis du Code pénal. Gli attacchi tramite supporti rimovibili possono essere usati per cancellare i dati sul sistema bersaglio (questo può anche includere la crittografia, per esempio nel caso di attacchi ransomware). Questo tipo di attacco rientra nell'art. 144bis SCC. Attacks via removable media can be used to delete data on the target system (this can also include encryption, for example in the case of ransomware attacks). This type of attack falls under Art. 144bis SCC. Angriffe über Wechselmedien können dazu benutzt werden, auf dem Zielsystem Daten zu löschen (darunter kann auch die Verschlüsselung fallen, bspw. bei Ransomeware-Angriffen). Diese Spielart des Angriffs fällt unter Art. 144bis StGB. |
(Hacking)
Contribution DetailsLast update: 2021-11-13 Autoren: Roman Kost, Viola Kost ⓘ |
Parmi les attaques classiques, on trouve la compromission via des supports de données tels que les clés USB. Ces supports présentent des mécanismes de démarrage automatique qui sont exécutés sans autre contrôle par un système insuffisamment sécurisé. Il est également possible de lancer des attaques par force brute via des périphériques USB (bien que nous ne parlions plus ici de médias ou de supports de données comme moyen d'action), qui simulent un clavier et effectuent d'innombrables saisies en quelques secondes. Les systèmes qui ne retardent pas délibérément les tentatives de connexion par un temps d'attente ou qui ne bloquent pas le compte après un certain nombre d'échecs peuvent être piratés très efficacement avec de telles méthodes. Il existe également des méthodes d'attaque qui dépendent de l'entrée de l'utilisateur, par exemple en cachant des applications troyennes derrière des noms de fichiers intéressants et en spéculant sur le fait que l'utilisateur exécute ces fichiers. Parmi les attaques classiques, on trouve la compromission via des supports de données tels que les clés USB. Ces supports présentent des mécanismes de démarrage automatique qui sont exécutés sans autre contrôle par un système insuffisamment sécurisé. Il est également possible de lancer des attaques par force brute via des périphériques USB (bien que nous ... Gli attacchi classici includono la compromissione tramite supporti di dati come le chiavette USB. Questi supporti dati hanno meccanismi di avvio automatico che vengono eseguiti da un sistema non sufficientemente sicuro senza ulteriore controllo. Sono concepibili anche attacchi brute-force tramite dispositivi USB (anche se non stiamo più parlando di supporti o supporti dati come mezzo di attacco), che simulano una tastiera e fanno innumerevoli inserimenti in pochi secondi. I sistemi che non ritardano intenzionalmente i tentativi di logon o non bloccano l'account dopo un certo numero di tentativi falliti possono essere craccati molto efficacemente con questi metodi. Poi ci sono metodi di attacco che si basano sull'input dell'utente, come nascondere applicazioni troianizzate dietro nomi di file interessanti e speculare che l'utente eseguirà questi file. Gli attacchi classici includono la compromissione tramite supporti di dati come le chiavette USB. Questi supporti dati hanno meccanismi di avvio automatico che vengono eseguiti da un sistema non sufficientemente sicuro senza ulteriore controllo. Sono concepibili anche attacchi brute-force tramite dispositivi USB (anche se non stiamo più parlando di supporti o supporti dati come mezzo ... One of the classic attacks is compromise via data carriers such as USB sticks. These data carriers have autostart mechanisms that are executed by an insufficiently secured system without further control. Also conceivable are brute-force attacks via USB devices (although we are no longer talking about media or data carriers as a means of committing the crime), which simulate a keyboard and make countless entries within seconds. Systems that do not intentionally delay login attempts or do not lock the account after a number of failed attempts can be cracked very efficiently with such methods. Next, there are attack methods that rely on user input, such as hiding Trojanized applications behind interesting-sounding file names and speculating that the user will execute these files. One of the classic attacks is compromise via data carriers such as USB sticks. These data carriers have autostart mechanisms that are executed by an insufficiently secured system without further control. Also conceivable are brute-force attacks via USB devices (although we are no longer talking about media or data carriers as a means of committing ... Zu den klassischen Angriffen gehört die Kompromittierung über Datenträger wie USB-Sticks. Diese Datenträger weisen Autostartmechanismen auf, die von einem ungenügend gesicherten System ohne weitere Kontrolle ausgeführt werden. Denkbar sind auch brute-force-Angriffe über USB-Geräte (wobei wir hier dann nicht mehr von Medien resp. Datenträgern als Tatmittel sprechen), die eine Tastatur simulieren und innert Sekunden unzählige Eingaben absetzen. Systeme, die Anmeldeversuche nicht absichtlich durch eine Wartezeit verzögern oder den Account nach einer Anzahl Fehlversuche nicht sperren, können mit solchen Methoden sehr effizient geknackt werden. Sodann gibt es Angriffsmethoden, die auf Benutzerinput angewiesen sind, so werden bspw. trojanisierte Anwendungen hinter interessant klingenden Dateinamen verborgen und darauf spekuliert, dass der Benutzer diese Dateien ausführt. Zu den klassischen Angriffen gehört die Kompromittierung über Datenträger wie USB-Sticks. Diese Datenträger weisen Autostartmechanismen auf, die von einem ungenügend gesicherten System ohne weitere Kontrolle ausgeführt werden. Denkbar sind auch brute-force-Angriffe über USB-Geräte (wobei wir hier dann nicht mehr von Medien resp. Datenträgern als Tatmittel sprechen), die eine Tastatur simulieren und innert Sekunden unzählige Eingaben ... |
(Datenbeschädigung)
Contribution DetailsLast update: 2021-11-13 Autoren: Roman Kost ⓘ |
Les attaques via des supports amovibles peuvent être utilisées pour effacer des données sur le système cible (cela peut également inclure le cryptage, par exemple dans le cas d'attaques par ransomeware). Ce type d'attaque tombe sous le coup de l'article 144bis du Code pénal. Gli attacchi tramite supporti rimovibili possono essere usati per cancellare i dati sul sistema bersaglio (questo può anche includere la crittografia, per esempio nel caso di attacchi ransomware). Questo tipo di attacco rientra nell'art. 144bis SCC. Attacks via removable media can be used to delete data on the target system (this can also include encryption, for example in the case of ransomware attacks). This type of attack falls under Art. 144bis SCC. Angriffe über Wechselmedien können dazu benutzt werden, auf dem Zielsystem Daten zu löschen (darunter kann auch die Verschlüsselung fallen, bspw. bei Ransomeware-Angriffen). Diese Spielart des Angriffs fällt unter Art. 144bis StGB. |
Forensic Domain | Assessment |
---|---|
Angriffe über Wechselmedien können zu einem gewissen Grad anhand der Einträge in Systemlogs nachvollzogen werden. Die allermeisten Betriebssysteme registrieren in irgendeiner Art, dass neue Medien am System angeschlossen oder gar ins System eingehängt wurden. Windows wie auch Linux-Systeme zeichnen das Einstecken z.B. eines USB-Sticks als Event auf. Ausserdem wird aufgezeichnet, zu welchem Zeitpunkt das Dateisystem des Sticks dem Benutzer zur Verfügung gestellt wurde.
There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.
Les attaques via des supports amovibles peuvent être suivies dans une certaine mesure grâce aux entrées dans les journaux système. La plupart des systèmes d'exploitation enregistrent d'une manière ou d'une autre que de nouveaux supports ont été connectés au système ou même montés sur le système. Les systèmes Windows et Linux enregistrent l'insertion d'une clé USB, par exemple, comme un événement. Ils enregistrent également le moment où le système de fichiers de la clé a été mis à la disposition de l'utilisateur. Les attaques via des supports amovibles peuvent être suivies dans une certaine mesure grâce aux entrées dans les journaux système. La plupart des systèmes d'exploitation enregistrent d'une manière ou d'une autre que de nouveaux supports ont été connectés au système ou même montés sur le système. Les systèmes Windows et Linux enregistrent l'insertion d'une clé ... Gli attacchi tramite supporti rimovibili possono essere rintracciati in una certa misura in base alle voci nei log di sistema. La grande maggioranza dei sistemi operativi registra in qualche modo che nuovi media sono stati collegati al sistema o addirittura montati nel sistema. I sistemi Windows e Linux registrano l'inserimento di una chiavetta USB, per esempio, come un evento. Inoltre, viene registrato il momento in cui il file system della chiavetta è stato reso disponibile all'utente. Gli attacchi tramite supporti rimovibili possono essere rintracciati in una certa misura in base alle voci nei log di sistema. La grande maggioranza dei sistemi operativi registra in qualche modo che nuovi media sono stati collegati al sistema o addirittura montati nel sistema. I sistemi Windows e Linux registrano l'inserimento di una chiavetta USB, per ... Attacks via removable media can be traced to a certain extent on the basis of entries in system logs. The vast majority of operating systems register in some way that new media have been connected to the system or even mounted in the system. Windows as well as Linux systems record the insertion of e.g. a USB stick as an event. In addition, it is recorded at which time the file system of the stick was made available to the user. |
|
HIDS detektieren ans System angeschlossene Datenträger oder das Einhängen von Datenträgern häufig dadurch, dass sie die Systemprotokolle monitoren. Sinnvollerweise senden HIDS ihre festgestellten Events an einen Logserver, da nicht ausgeschlossen werden kann, dass die HIDS nach einem erfolgreichen Angriff deaktiviert werden, oder im Falle versierterer Angreifer durch Modifikation sprichwörtlich blind gemacht werden, damit die einschlägigen Events nicht mehr weitergeleitet werden, das HIDS aber weiterhin mitteilt, es sei noch aktiv. HIDS detektieren ans System angeschlossene Datenträger oder das Einhängen von Datenträgern häufig dadurch, dass sie die Systemprotokolle monitoren. Sinnvollerweise senden HIDS ihre festgestellten Events an einen Logserver, da nicht ausgeschlossen werden kann, dass die HIDS nach einem erfolgreichen Angriff deaktiviert werden, oder im Falle versierterer Angreifer durch Modifikation sprichwörtlich blind gemacht werden, damit die einschlägigen Events nicht mehr weitergeleitet werden ... Les HIDS détectent souvent les disques connectés au système ou le montage de disques en surveillant les journaux du système. Il est préférable que les HIDS envoient les événements qu'ils détectent à un serveur de logs, car il n'est pas exclu que les HIDS soient désactivés après une attaque réussie ou, dans le cas d'attaquants plus expérimentés, qu'ils soient littéralement rendus aveugles par modification, de sorte que les événements pertinents ne soient plus transmis, mais que le HIDS continue à indiquer qu'il est encore actif. Les HIDS détectent souvent les disques connectés au système ou le montage de disques en surveillant les journaux du système. Il est préférable que les HIDS envoient les événements qu'ils détectent à un serveur de logs, car il n'est pas exclu que les HIDS soient désactivés après une attaque réussie ou, dans le cas d'attaquants ... L'HIDS spesso rileva i volumi attaccati al sistema o il montaggio di volumi monitorando i log di sistema. Ha senso che gli HIDS inviino i loro eventi rilevati a un server di log, poiché non si può escludere che gli HIDS vengano disattivati dopo un attacco riuscito o, nel caso di attaccanti più esperti, vengano letteralmente accecati dalla modifica in modo che gli eventi rilevanti non vengano più inoltrati, ma l'HIDS continui a segnalare che è ancora attivo. HIDS often detect volumes attached to the system or the mounting of volumes by monitoring the system logs. It makes sense for HIDS to send their detected events to a log server, since it cannot be ruled out that the HIDS are deactivated after a successful attack or, in the case of more experienced attackers, are literally made blind by modification so that the relevant events are no longer forwarded, but the HIDS continues to report that it is still active. |
|
Können die für den Angriff eingesetzten Datenträger sichergestellt werden, können sich durch deren Analyse wertvolle Hinweise auf die Täterschaft, deren Vorgehen und deren Motivation ergeben. Ist Schadsoftware auf den Datenträgern enthalten, die z.B. nach deren Ausführung eine Verbindung zu einem Controlserver aufbaut, lässt sich dieser Controlserver weiterverfolgen und es lässt sich die Kommunikation mit ihm untersuchen.
There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.
Si les supports de données utilisés pour l'attaque peuvent être récupérés, leur analyse peut fournir des informations précieuses sur les auteurs, leur mode opératoire et leur motivation. Si les supports de données contiennent un logiciel malveillant qui, par exemple, établit une connexion avec un serveur de contrôle après son exécution, il est possible de suivre ce serveur de contrôle et d'examiner la communication avec lui. Se i supporti dati usati per l'attacco possono essere protetti, la loro analisi può fornire informazioni preziose sugli autori, le loro azioni e la loro motivazione. Se i supporti dati contengono malware che, per esempio, stabilisce una connessione con un server di controllo dopo l'esecuzione, questo server di controllo può essere rintracciato e si può esaminare la comunicazione con esso. If the data carriers used for the attack can be recovered, their analysis can provide valuable information about the perpetrators, their actions and their motivation. If malware is contained on the data carriers, which, for example, establishes a connection to a control server after execution, this control server can be traced and the communication with it can be investigated. |
ID | Name | Description |
---|---|---|
S0092 | Agent.btz |
Agent.btz drops itself onto removable media devices and creates an autorun.inf file with an instruction to run that file. When the device is inserted into another system, it opens autorun.inf and loads the malware.[1] |
G0007 | APT28 |
APT28 uses a tool to infect connected USB devices and transmit itself to air-gapped computers when the infected USB device is inserted.[2] |
S0023 | CHOPSTICK |
Part of APT28's operation involved using CHOPSTICK modules to copy itself to air-gapped machines and using files written to USB sticks to transfer data and command traffic.[3][2] |
S0608 | Conficker |
Conficker variants used the Windows AUTORUN feature to spread through USB propagation.[4][5] |
S0115 | Crimson |
Crimson can spread across systems by infecting removable media.[6] |
G0012 | Darkhotel |
Darkhotel's selective infector modifies executables stored on removable media as a method of spreading across computers.[7] |
S0062 | DustySky |
DustySky searches for removable media and duplicates itself onto it.[8] |
S0143 | Flame |
Flame contains modules to infect USB sticks and spread laterally to other Windows systems the stick is plugged into using Autorun functionality.[9] |
S0132 | H1N1 |
H1N1 has functionality to copy itself to removable media.[10] |
G0129 | Mustang Panda |
Mustang Panda has used a customized PlugX variant which could spread through USB connections.[11] |
S0385 | njRAT |
njRAT can be configured to spread via removable drives.[12][13] |
S0650 | QakBot |
QakBot has the ability to use removable drives to spread through compromised networks.[14] |
S0458 | Ramsay |
Ramsay can spread itself by infecting other portable executable files on removable drives.[15] |
S0028 | SHIPSHAPE |
APT30 may have used the SHIPSHAPE malware to move onto air-gapped networks. SHIPSHAPE targets removable drives to spread to other systems by modifying the drive to use Autorun to execute or by hiding legitimate document files and copying an executable to the folder with the same name as the legitimate document.[16] |
S0603 | Stuxnet |
Stuxnet can propagate via removable media using an autorun.inf file or the CVE-2010-2568 LNK vulnerability.[17] |
G0081 | Tropic Trooper |
Tropic Trooper has attempted to transfer USBferry from an infected USB device by copying an Autorun function to the target machine.[18] |
S0130 | Unknown Logger |
Unknown Logger is capable of spreading to USB devices.[19] |
S0386 | Ursnif |
Ursnif has copied itself to and infected removable drives for propagation.[20][21] |
S0452 | USBferry |
USBferry can copy its installer to attached USB storage devices.[18] |
S0136 | USBStealer |
USBStealer drops itself onto removable media and relies on Autorun to execute the malicious file when a user opens the removable media on another system.[22] |
ID | Mitigation | Description |
---|---|---|
M1040 | Behavior Prevention on Endpoint |
On Windows 10, enable Attack Surface Reduction (ASR) rules to block unsigned/untrusted executable files (such as .exe, .dll, or .scr) from running from USB removable drives. [23] |
M1042 | Disable or Remove Feature or Program |
Disable Autorun if it is unnecessary. [24] Disallow or restrict removable media at an organizational policy level if it is not required for business operations. [25] |
M1034 | Limit Hardware Installation |
Limit the use of USB devices and removable media within a network. |
ID | Data Source | Data Component |
---|---|---|
DS0016 | Drive | Drive Creation |
DS0022 | File | File Access |
File Creation | ||
DS0009 | Process | Process Creation |
Monitor file access on removable media. Detect processes that execute from removable media after it is mounted or when initiated by a user. If a remote access tool is used in this manner to move laterally, then additional actions are likely to occur after execution, such as opening network connections for Command and Control and system and network information Discovery.
Überwachen Sie den Dateizugriff auf Wechselmedien. Erkennen Sie Prozesse, die von Wechseldatenträgern ausgeführt werden, nachdem diese eingehängt wurden oder wenn sie von einem Benutzer initiiert wurden. Wenn ein Fernzugriffs-Tool auf diese Weise verwendet wird, um sich seitlich zu bewegen, dann werden nach der Ausführung wahrscheinlich zusätzliche Aktionen durchgeführt, wie das Öffnen von Netzwerkverbindungen für Command and Control und die Ermittlung von System- und Netzwerkinformationen.
Surveillez l'accès aux fichiers sur les supports amovibles. Détectez les processus qui s'exécutent à partir d'un support amovible après son montage ou lorsqu'il est initié par un utilisateur. Si un outil d'accès à distance est utilisé de cette manière pour se déplacer latéralement, d'autres actions sont susceptibles de se produire après l'exécution, comme l'ouverture de connexions réseau pour la commande et le contrôle et la découverte d'informations système et réseau.
Monitorare l'accesso ai file su supporti rimovibili. Rileva i processi che vengono eseguiti da supporti removibili dopo che sono stati montati o quando vengono iniziati da un utente. Se uno strumento di accesso remoto viene usato in questo modo per muoversi lateralmente, è probabile che si verifichino ulteriori azioni dopo l'esecuzione, come l'apertura di connessioni di rete per Command and Control e Discovery di informazioni di sistema e di rete.