Verdedigen tegen USB -drive -aanvallen met Wazuh

Cyberbeveiliging
Verdedigen tegen USB -drive -aanvallen met Wazuh

USB Drive -aanvallen vormen een aanzienlijk cybersecurity -risico, profiteren van het dagelijkse gebruik van USB -apparaten om malware te leveren en traditionele netwerkbeveiligingsmaatregelen te omzeilen. Deze aanvallen leiden tot datalekken, financiële verliezen en operationele verstoringen, met blijvende effecten op de reputatie van een organisatie. Een voorbeeld is de Stuxnet -worm die in 2010 is ontdekt, een malware die is ontworpen om zich te richten op industriële controlesystemen, met name de nucleaire verrijkingsfaciliteiten van Iran. Het gebruikte meerdere nul-daagse kwetsbaarheden en verspreidde zich voornamelijk via USB-schijven, waardoor het een van de eerste voorbeelden van een cyberaanval met fysieke effecten in de praktijk is. Stuxnet stelde de risico’s van verwijderbare media bloot en verhoogde het wereldwijde bewustzijn van cybersecurity -bedreigingen voor kritieke infrastructuur.

Hoe USB -drive aanvallen zich voortplanten

Aanvallers gebruiken verschillende methoden om kwaadaardige payloads te leveren via USB -schijven, gericht op individuen en organisaties.

  • Vallen aanvallen: Geïnfecteerde USB -schijven worden opzettelijk achtergelaten in openbare ruimtes, zoals parkeerplaatsen, om slachtoffers te verleiden ze aan te sluiten en hun computers te infecteren.
  • Mail-gebaseerde aanvallen: USB -schijven worden via e -mail naar doelen verzonden, vermomd als promotie -items of legitieme apparaten, om ze te misleiden om ze op hun systemen aan te sluiten.
  • Social engineering: Aanvallers gebruiken psychologische tactieken om slachtoffers te overtuigen om geïnfecteerde USB -schijven met hun computers te verbinden.
  • Ongevraagde stopcontact: Aanvallers sluiten geïnfecteerde USB -drives aan op onbeheerde systemen, waardoor malware wordt verspreid zonder slachtoffer -interactie.

Hoe USB Drive -aanvallen werken

USB-drive-aanvallen volgen meestal een multi-stappen proces om systemen te infiltreren en schade te veroorzaken.

  • Verkenning: Aanvallers onderzoeken hun doelwit om potentiële kwetsbaarheden te identificeren. In dit geval kunnen ze informatie verzamelen over de organisatie, haar werknemers en haar operationele omgeving om de kans te bepalen dat iemand een USB -drive gebruikt.
  • Weaponisatie: Dreigingsacteurs bereiden de USB -drive voor door malware in te bedden. Dit kan worden bereikt door direct de schijf te infecteren of een schijnbaar goedaardig bestand te maken, zoals een document, video of afbeelding, die verborgen kwaadaardige code bevat.
  • Levering: Aanvallers verspreiden de geïnfecteerde USB -drive naar doelen door het in openbare ruimtes te laten vallen, het weg te geven als een promotie -item of social engineering te gebruiken om het te leveren.
  • Exploitatie: Wanneer het doel verbinding maakt met de USB -station, wordt de malware automatisch geactiveerd of door gebruikersinteractie, waardoor de kwetsbaarheden van het systeem worden gebruikt.
  • Installatie: De malware is geïnstalleerd op het doelsysteem en wint persistentie. Met deze stap kan de aanvaller de controle over het geïnfecteerde apparaat behouden, zelfs als het opnieuw wordt opgestart of losgekoppeld.
  • Commando and Control (C2): De malware communiceert met de server van de aanvaller. Dit stelt de aanvaller in staat om opdrachten te geven, gegevens te exfiltreren of extra payloads te implementeren.
  • Acties op doelstellingen: De aanvallers bereiken hun doelen, zoals het stelen van gevoelige gegevens, het inzetten van ransomware of het vaststellen van aanhoudende toegang voor toekomstige uitbuiting.

Verbeter uw cybersecurity -houding tegen USB -drive -aanvallen met Wazuh

Wazuh is een open source beveiligingsplatform dat organisaties helpt bij het detecteren en reageren op beveiligingsbedreigingen door systeemactiviteiten te bewaken, van informatieve gebeurtenissen tot kritieke incidenten. Organisaties kunnen inbreuken proactief voorkomen en gevoelige gegevens beschermen door de USB -activiteit met WAZUH te controleren.

Het monitoren van USB -aandrijfactiviteiten in Windows met behulp van Wazuh

Wazuh bewaakt USB -aandrijfactiviteiten op Windows -eindpunten met behulp van de Audit PNP -activiteitenfunctie. Deze functielogboeken Plug and Play (PNP) -gebeurtenissen, die helpen identificeren wanneer USB -schijven zijn aangesloten. Het is beschikbaar op Windows 10 Pro en Windows 11 Pro, Windows Server 2016 en latere versies.

Organisaties kunnen Wazuh configureren om specifieke systeemgebeurtenissen te detecteren en USB-gerelateerde gebeurtenissen te controleren, met name gericht op Windows Event ID 6416, wat aangeeft wanneer een extern apparaat is aangesloten. Beveiligingsbeheerders kunnen USB -apparaatverbindingen detecteren door Wazuh aangepaste regels te maken om potentiële beveiligingsincidenten te identificeren.

De volgende stap omvat het maken van een constante database (CDB) van de unieke apparaatidentifiers van toegestane apparaten (DeviceID). Met deze lijst kunnen Wazuh onderscheid maken tussen geautoriseerde en ongeautoriseerde apparaten, waarmee u alerts voor beide categorieën genereert. Wanneer bijvoorbeeld een geautoriseerde USB-drive is aangesloten, activeert deze een waarschuwing op een lager niveau, terwijl ongeautoriseerde verbindingen waarschuwingen voor hoogwaardige meldingen kunnen genereren die wijzen op een potentiële inbreuk op de beveiliging.

Gebruik van bedreigingsdetectie: het detecteren van de Raspberry Robin USB-drive-activiteiten

Wazuh biedt een oplossing om USB-gerelateerde bedreigingen te verminderen, zoals Raspberry Robin, een Windows-worm.

Raspberry Robin richt zich op industrieën zoals olie, gas, transport en technologie, waardoor operationele verstoringen worden veroorzaakt. Het verspreidt zich via vermomde .lnk -bestanden, krijgt doorzettingsvermogen door het register van de UserAssist bij te werken en legitieme mappen na te bootsen. De worm maakt gebruik van legitieme Windows -processen zoals msiexec.exe, rundll32.exe, odbcconf.exe en fodhelper.exe om extra kwaadaardige componenten uit te voeren, aan te houden en te downloaden. Zijn afhankelijkheid van op Tor gebaseerde opdracht en controle (C2) -servers voor uitgaande communicatie voegt stealth toe en bemoeilijkt detectie.

Wazuh detecteert Raspberry Robin door aanpassingen van het register, ongebruikelijke opdrachtuitvoeringspatronen en binaire binaries van het verdachte systeem te monitoren. De real-time bestandsintegriteitsbewaking en dreigingsdetectieregels identificeren kwaadaardige activiteit, waardoor een snelle reactie mogelijk is om potentiële verstoringen te verminderen.

Wazuh detecteert en vermindert Raspberry Robin door te monitoren en te reageren op verdachte activiteiten zoals:

  • Abnormale cmd.exe -activiteiten: het beëindigen van verdachte processen of het isoleren van aangetaste eindpunten.
  • Flagging msiexec.exe downloads van obscure domeinen, het blokkeren van verbindingen en waarschuwingsbeheerders.
  • UAC -bypass detecteren via fodhelper.exehet beëindigen van het proces en het melden van beheerders.
  • Het blokkeren van ongebruikelijke uitgaande verbindingen door rundll32.exe en dllhost.exe.

Hieronder is een voorbeeldconfiguratie op maat die mogelijke Raspberry Robin -activiteiten detecteert.


<rule id="100100" level="12">
    <if_sid>92004</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)cmd.exe$</field>
    <field name="win.eventdata.commandLine" type="pcre2">(?i)cmd.exe.+((/r)|(/v.+/c)|(/c)).*cmd</field>
    <description>Possible Raspberry Robin execution on $(win.system.computer)</description>
    <mitre>
        <id>T1059.003</id>
    </mitre>
</rule>

<rule id="100101" level="7">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)msiexec.exe$</field>
    <field name="win.eventdata.commandLine" type="pcre2">(?i)msiexec.*(/q|-q|/i|-i).*(/q|-q|/i|-i).*http(s){0,1}://.+(.msi){0,1}</field>
    <description>msiexec.exe downloading and executing packages on $(win.system.computer)</description>
    <mitre>
        <id>T1218.007</id>
    </mitre>
</rule>

<rule id="100103" level="12">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.originalFileName" type="pcre2">(?i)(cmd|powershell|rundll32).exe</field>
    <field name="win.eventdata.parentImage" type="pcre2">(?i)fodhelper.exe</field>
    <description>Use of fodhelper.exe to bypass UAC on $(win.system.computer)</description>
    <mitre>
        <id>T1548.002</id>
    </mitre>
</rule>

<rule id="100105" level="10">
    <if_sid>61603</if_sid>
    <field name="win.eventdata.commandLine" type="pcre2">(regsvr32.exe|rundll32.exe|dllhost.exe).*";document.write();GetObject("script:.*).Exec()</field>
    <description>Possible Raspberry Robin execution on $(win.system.computer)</description>
    <mitre>
        <id>T1218.011</id>
    </mitre>
</rule>

Ga voor meer informatie over het detecteren van de Raspberry Robin Worm met Wazuh naar deze blog.

Het monitoren van USB -schijven in Linux met behulp van Wazuh

USB -schijven kunnen ook beveiligingsrisico’s voor Linux -eindpunten introduceren als potentiële vectoren voor malware en ongeautoriseerde gegevenstoegang. UDEV is een systeemhulpprogramma op Linux dat externe apparaten, zoals USB -schijven, automatisch detecteert en beheert wanneer het wordt aangesloten. Het maakt de benodigde apparaatbestanden in de /dev -directory zodat het systeem ermee kan communiceren. Beheerders kunnen aangepaste UDEV -regels maken die gedetailleerde gebeurtenissen genereren en inzichten bieden in USB -activiteiten. Wazuh heeft ingebouwde regels voor USB-monitoring, maar door UDEV gegenereerde evenementen bieden rijkere details, waardoor de dreigingsdetectie wordt verbeterd.

We configureren UDEV -regels op onze Linux -eindpunten om een ​​logboekscript te activeren wanneer een USB -apparaat is aangesloten. De Wazuh -agent moet worden ingesteld om het gegenereerde JSON -logbestand te lezen dat is geproduceerd uit het logboekscript, waardoor het USB -activiteit kan verwerken en analyseren.

Net als de Windows USB -drive -monitoring, hebt u een constante database (CDB) -lijst met geautoriseerde USB -apparaat serienummers nodig. Wazuh zal inkomende verbindingen vergelijken met deze lijst, waarschuwingen voor ongeautoriseerde apparaten.

Het blogbericht over het monitoren van USB -schijven in Linux met behulp van Wazuh biedt meer informatie over het bewaken van USB -schijven die zijn aangesloten op Linux -eindpunten.

USB -schijven in macOS monitoren met behulp van Wazuh

U kunt een aangepast script gebruiken om kritieke gebeurtenissen te loggen met betrekking tot USB -apparaten op MacOS -eindpunten en vervolgens Wazuh configureren om deze gebeurtenissen te controleren. Beheerders kunnen informatie extraheren zoals verbindings- en ontkoppelingsgebeurtenissen, leveranciers -ID’s, product -ID’s en serienummers van USB -drives aangesloten. Dit script werkt samen met het I/O -kit -framework van MacOS om USB -apparaatinformatie te verzamelen, die vervolgens wordt opgemaakt als JSON en opgeslagen in een logbestand. De loggegevens die zijn gegenereerd uit dit aangepaste script worden naar de WAZUH -server verzonden voor analyse met behulp van de Wazuh -agent.

Het blogbericht over het monitoren van USB -schijven in macOS met behulp van Wazuh toont de stappen om USB -schijven op MacOS -eindpunten te controleren.

Conclusie

USB -drive -aanvallen vormen een beveiligingsrisico in grote besturingssystemen, waardoor malware -propagatie en ongeautoriseerde toegang tot kwaadaardige actoren mogelijk zijn.

Wazuh biedt verschillende detectiemechanismen om de kansen op het detecteren van USB -drive -aanvallen te vergroten en de potentiële impact te beperken. Organisaties kunnen cybersecurity verbeteren door deze detectiemethoden te integreren en strikt USB -toegangsbeleid te handhaven.

Referenties

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google heeft net een Android Zero-Day-exploit opgelost die wordt gebruikt door de Servische autoriteiten

Apple introduceert 2025 Mac Studio als de krachtigste Mac ooit

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]