Плохой usb что это такое
Обновлено: 21.11.2024
Атака BadUSB является недавним открытием (хотя принцип сам по себе не нов) и позволяет превратить любое USB-устройство в кибероружие, способное мгновенно внедрить вредоносный код в компьютер без возможности быть обнаруженным.
BadUSB использует тот факт, что к разъемам USB подключается большое количество различных устройств. Изменяя поведение микроконтроллера USB «обычного» устройства, такого как, например, USB-накопитель, BadUSB может превратить его во что-то совершенно другое, например клавиатуру или сетевую карту.
Достаточно подключить модифицированное (BadUSB) устройство к компьютеру, и мошенническое устройство сможет выполнять команды или внедрять вредоносное ПО без предварительного подтверждения или согласия владельца.
При некоторых атаках программное обеспечение BadUSB преобразует прошивку USB-устройства таким образом, чтобы оно воспринималось операционной системой как клавиатура. Например, Rubber Ducky USB «Сделай сам» – это коммерческий хакерский пакет (45 долл. США), который загружает в компьютер около 1 000 слов в минуту после его подключения.
Атаки BadUSB опасны, поскольку большинство антивирусных программ и сканеров вредоносных программ обычно не имеют доступа к прошивке на USB-устройствах и не могут защитить компьютер.
Любой компьютер, к которому можно подключиться через USB-порт, потенциально уязвим. Это особенно актуально для промышленных систем, где вредоносный код можно внедрить в важные устройства, просто подключив к ним USB-устройство на несколько секунд.
Оглавление
Как работает атака BadUSB
Вот список атак, которые могут выполнять вредоносные устройства badUSB:
- BadUSB может выдавать себя за устройства с интерфейсом пользователя (HID), такие как клавиатура или мышь.
- Они могут отслеживать данные, отправляемые с главного компьютера на ведомое USB-устройство с заданного USB-концентратора. Например, они могут перехватывать данные, записанные на USB-диск или отправленные на принтер и т. д.…
- Управляйте системой с помощью низкоуровневой отладки на определенном типе BIOS;
- Они могут использовать драйверы класса USB или файловые системы с вредоносным вводом. Например, файлы, скопированные с легального USB-накопителя на компьютер, могут быть изменены и содержать вредоносный код.
USB – это протокол последовательной связи ("Универсальная последовательная шина"). Любое устройство с разъемом USB «папа» может быть подключено к одному из портов USB «современного» компьютера. То, как компьютеры реагируют на подключенное к ним USB-устройство, определяется протоколом USB. Компьютер реализует свою часть протокола (обычно внутри материнской платы в качестве контроллера USB), в то время как USB-устройство реализует протокол USB на своей стороне, а также внутри прошивки. Ничто не мешает кому-то сделать несколько вариантов USB-контроллеров, которые могут копировать данные, которые были переданы, например, в какое-то альтернативное резервное хранилище. На самом деле, это известно как устройство USB-шпионского анализатора протоколов, специальное оборудование, которое можно использовать для отладки реализации USB. Тем не менее, можно реализовать псевдо-клавиатуру USB на небольшой электронной плате и поместить ее во что-то похожее на корпус USB-накопителя. Псевдоклавиатура идентифицирует себя как HID-устройство с клавиатурой, и операционная система немедленно доверит ей это.
Возможные неисправные USB-устройства
Практически все, что можно миниатюризировать, можно вставить в форм-фактор USB-накопителя. Например:
- Клавиатура
- Сетевая карта;
- Мышь;
- Разъем Bluetooth.
Одним из наиболее ярких устройств badUSB являются USB-кабели для зарядки (или USB-адаптеры), которые используются во всем мире, например, для подзарядки смартфонов.
Некоторым экспертам по безопасности удалось создать плохую USB-версию «стандартного» USB-кабеля для зарядки (кодовое название «USB-гарпун»), который может почти мгновенно взломать компьютер. Как только поддельный зарядный кабель вставлен, он активируется как устройство, способное отправлять команды на главный компьютер. Некоторые атаки даже связаны с физическим разрушением компьютера из-за перегрузки по заряду!
Возможные меры против атаки BadUSB
Авторизация клавиатуры
Из-за характера атаки не так много возможных способов предотвращения. Некоторые антивирусные компании разработали компоненты для предотвращения атак BadUSB. Они не позволяют устройствам BadUSB эмулировать клавиатуру с помощью следующего трюка:
После того как USB-устройство подключается к компьютеру и идентифицируется операционной системой как клавиатура, антивирус требует от пользователя ввода числового контрольного кода, который генерируется антивирусом с «новой» USB-клавиатуры. Такая процедура называется авторизацией клавиатуры. Таким образом, антивирус разрешает использование только авторизованной клавиатуры и блокирует любую другую неавторизованную клавиатуру.
Все еще резидентное программное обеспечение безопасности — если оно не может заблокировать устройство badUSB, оно также может обнаружить само вредоносное ПО, запущенное с BadUSB.
Изменение стандарта USB
Одним из возможных способов защиты от атак badUSB может быть изменение стандарта USB, чтобы отпечатки пальцев или рукопожатия точно идентифицировали устройства.
Производители USB, безусловно, серьезно изучают эту проблему. Между тем, это вряд ли произойдет в ближайшее время, поскольку стандарт USB включает в себя множество крупных корпораций, которые должны все согласовать, прежде чем изменения будут внесены.
Внесение USB-устройств в белый список
Можно разрешить установку только определенных драйверов по их идентификатору GUID. Также можно ограничить авторизацию для установки USB-устройств, таких как клавиатуры и т. д..
USB-брандмауэры
Некоторые компании продают аппаратные брандмауэры USB, стоящие между компьютером и другими USB-устройствами. Брандмауэр фильтрует команды, отправляемые на гостевое USB-устройство.
Бдительность пользователей
Наконец, пользователь должен выполнить следующий контрольный список.
- Может ли кто-либо, кроме пользователя, получить доступ к USB-портам компьютера пользователя?
- Доверяет ли пользователь данному USB-устройству и может ли он утверждать, что компании, разработавшей его прошивку USB, можно доверять?
- Есть ли сертификация USB-прошивки устройства? Есть ли какие-либо гарантии того, что микропрограмма, работающая на USB-устройстве, не была изменена во время или после изготовления?
Если ответ не положительный на все проверки, то USB-устройству не следует доверять, по крайней мере, в контексте конфиденциальной среды, которая может стать мишенью для шпионов или других злонамеренных действий.
Acodez — известная индийская компания, занимающаяся веб-дизайном и веб-разработкой. Мы предлагаем нашим клиентам все виды услуг веб-дизайна и веб-разработки с использованием новейших технологий. Мы также являемся ведущей компанией цифрового маркетинга, предоставляющей услуги SEO, SMM, SEM, входящего маркетинга и т. д. по доступным ценам. Для получения дополнительной информации, пожалуйста, свяжитесь с нами.
Ищете хорошую команду
для вашего следующего проекта?
Свяжитесь с нами, и мы предоставим вам предварительную бесплатную консультацию
по веб- и мобильной стратегии, которая лучше всего соответствует вашим потребностям.
Ритеш Рагхаван
Ритеш Рагхаван, соучредитель и директор Acodez IT Solutions, обладающий более чем 16-летним опытом работы в сфере ИТ и цифрового маркетинга. Между своим плотным графиком, когда он находит время, он пишет свои мысли о последних тенденциях и событиях в мире ИТ и разработки программного обеспечения. И все благодаря его умственному развитию, стоящему за блестящим успехом Acodez.
Атака BadUSB — это когда USB-устройство имеет встроенную уязвимость прошивки, которая позволяет замаскировать его под устройство с интерфейсом пользователя. После подключения к целевому компьютеру BadUSB может незаметно выполнять вредоносные команды или внедрять вредоносную полезную нагрузку.
Распространенным типом атаки BadUSB является резиновая уточка. Это можно сделать с помощью флешки, созданной со скрытым эксплойтом, позволяющим имитировать клавиатуру. Это устройство можно предварительно запрограммировать, чтобы затем вводить многочисленные нажатия клавиш в компьютер ничего не подозревающих пользователей.
В организациях необходима такая превентивная мера, как программное обеспечение для блокировки USB, поскольку атаки BadUSB, если их не обнаружить или остановить, могут привести к несанкционированному выполнению команд, которые вызывают инциденты обхода системы безопасности, повышение привилегий, DDoS-атаки или заражение вредоносным ПО. хост-компьютеры, которые затем могут распространяться на целые сети.
Эта страница охватывает следующее:
Что такое BadUSB?
BadUSB – это флэш-накопитель со встроенной микропрограммой, который можно использовать для перепрограммирования устройства и использования его в качестве гаджета с интерфейсом пользователя, такого как клавиатура, мышь или гарнитура. Они используются для выполнения широкого спектра действий на компьютере, эффективно выдавая себя за устройство пользовательского интерфейса (HID).Другими словами, BadUSB — это виртуальные клавиатуры, которые можно заранее запрограммировать для ввода символов на компьютере, не делая этого физически.
После подключения они сразу же приступают к работе, выполняя даже сложные нажатия клавиш, требующие одновременного использования двух или более клавиш. Например, команда «Выполнить», которая требует одновременного нажатия клавиш Win + R.
Кто может использовать BadUSB?
BadUSB способны мгновенно набирать тысячи символов и быстро выполнять запросы, поэтому пентестеры часто используют эти устройства, чтобы получить контроль над целевыми компьютерами без необходимости вручную вводить длинные сценарии.
Даже системные администраторы часто прибегают к устройствам BadUSB при настройке новых компьютеров. Зачем тратить часы на выполнение подсказок, когда за них это может сделать BadUSB? Помимо законного использования BadUSB, его потенциал использования в качестве оружия в чужих руках до сих пор является широко обсуждаемой темой в киберсообществе.
Киберпреступники часто используют BadUSB в качестве внешнего инструмента для внедрения вредоносных скриптов, предназначенных для получения прав администратора, кражи паролей или загрузки вредоносных программ на компьютер.
Краткая история устройств BadUSB
BadUSB возникает из-за уязвимости, обнаруженной еще в 2006 году, которая позволяла компьютерам автоматически запускать программы, хранящиеся на компакт-дисках, когда они вставлены. Эта уязвимость проложила путь для одной из ранних версий BadUSB под названием USB Switchblade. Switchblade может выглядеть для компьютера как компакт-диск, а это означает, что любые программы, хранящиеся внутри устройства, будут автоматически запускаться и выполнять полезные нагрузки.
Сегодня устройства BadUSB можно найти с более продвинутыми функциями, такими как слот для SD-карты, улучшенные возможности подключения для поддержки удаленного доступа, встроенный компьютер и улучшенный форм-фактор, чтобы они выглядели как обычные USB-накопители. Эти устройства были предметом многочисленных конференций и семинаров на протяжении многих лет. Одним из таких случаев стала конференция Black Hat, состоявшаяся в 2014 году, на которой исследователи Карстен Нол и Якоб Лелль подробно продемонстрировали безопасность BadUSB.
Как работает BadUSB?
Устройства BadUSB основаны на предположении, что компьютеры по своей природе доверяют клавиатуре как действительному источнику ввода. По умолчанию компьютеры не доверяют загруженным исполняемым файлам; вместо этого они запускают сканирование, чтобы проверить свой источник и намерение. Если исполняемый файл создан неизвестным разработчиком или имеет злые намерения, скорее всего, компьютер не позволит ему запуститься.
Однако, если обычный пользователь откроет командную строку и введет команду, его компьютер будет слепо ей следовать, не оценивая намерений. Это означает, что, эмулируя клавиатуру, устройства BadUSB могут легко выполнять множество функций, имитирующих реальное взаимодействие пользователя с системой.
Любое USB-устройство с микроконтроллером, допускающим перезапись, можно легко превратить в BadUSB. Устройства BadUSB используют языки сценариев, которые сообщают им, что делать после подключения к целевой системе. Хотя в большинстве этих устройств используются довольно простые сценарии, некоторые устройства BadUSB даже совместимы с более сложными программами, такими как JavaScript.
Какие бывают типы BadUSB?
Резиновая уточка USB
Постоянные обновления дизайна USB-накопителей без указания точного изменения внутренней сборки усложняют поиск совместимых устройств. USB Rubber Ducky специально создан для работы в качестве BadUSB.
Этот хакерский инструмент был представлен в 2011 году компанией Hak5, независимым поставщиком, специализирующимся на наборах инструментов для тестировщиков на проникновение. Несмотря на то, что на рынке существует несколько итераций этого устройства, это устройство остается наиболее распространенным устройством BadUSB на сегодняшний день.
Это USB-устройство использует специальный язык сценариев под названием Ducky Script, который можно легко написать, практически не имея опыта программирования. Ducky Script использует простые строковые команды, чтобы сообщить «утке», что печатать. Простой пример Ducky Script можно найти ниже.
Хотя в приведенном выше примере это может показаться безобидным, легко представить, что это устройство находится всего в нескольких шагах от получения прав администратора через командную строку.
МалДуино
MalDuino — это BadUSB с открытым исходным кодом на основе Arduino, который внедряет вредоносные полезные нагрузки в целевой компьютер. В последнее время MalDuino, привлекший всеобщее внимание, обладает рядом дополнительных функций по сравнению с обычными устройствами BadUSB благодаря встроенному компьютеру.
Устройства MalDuino, которые широко распространены сегодня, поддерживают карты Micro SD, а также имеют набор DIP-переключателей, помогающих пользователю переключаться между программами, сохраненными на карте Micro SD.
BadUSB с поддержкой WiFi
Этот тип BadUSB похож на MalDuino тем, что плата Arduino служит основой для устройства, но специально разработана для поддержки Wi-Fi. После подключения к целевой системе эти устройства позволяют злоумышленникам внедрять вредоносную полезную нагрузку в компьютер жертвы с помощью протокола Wi-Fi.
BadUSB с поддержкой Wi-Fi может принимать различные формы в зависимости от конкретной цели и функции, которую они выполняют. Распространенные версии этого устройства, используемые сегодня, следующие.
Кнопочные инжекторы с поддержкой Wi-Fi
На сегодняшний день это наиболее распространенный тип WiFi BadUSB. При подключении к целевому компьютеру эти устройства остаются бездействующими до тех пор, пока злоумышленник не установит дальнейший контакт через смартфон или соседнюю систему. Подключиться к этому BadUSB так же просто, как подключиться к точке доступа Wi-Fi.
После подключения злоумышленник может ввести инъекции нажатия клавиш, используя подходящий язык сценариев. Эти устройства часто поставляются со своими собственными приложениями, которые позволяют хакерам выполнять сценарии удаленно.
Кейлоггеры Wi-Fi
Кейлоггеры Wi-Fi – это современное хакерское оборудование, предназначенное в первую очередь для настольных компьютеров. Они работают как мост между разъемом USB клавиатуры и самим компьютером. Этот BadUSB перехватывает входные сигналы с клавиатуры и передает их на компьютер хакера.
Кейлоггеры Wi-Fi фиксируют все, что вводит пользователь, включая конфиденциальную информацию и пароли, не вызывая никаких подозрений. В случае настольных компьютеров эти устройства могут быть полностью скрыты от посторонних глаз и не влияют на работу клавиатуры во время использования.
Деаутентификация Wi-Fi
WiFi Deauthers – это вредоносные устройства, которые используют недостатки протокола WiFi, чтобы заставить всех пользователей сети WiFi автоматически отключаться. Впоследствии WiFi Deauthers не позволяет пользователям снова подключаться к сети, пока устройство активно.
WiFi Deauthers отличается от других форм BadUSB тем, что они не влияют на системы, к которым они подключаются напрямую, а скорее используют их в качестве источника питания, чтобы нарушить сетевое подключение и установить время простоя.
Неисправные кабели USB
В последнее время кабель BadUSB, привлекший всеобщее внимание, выглядит и функционирует аналогично любому другому кабелю USB, но представляет собой скрытое вредоносное устройство, которое внедряет скрипты и вредоносное ПО в компьютер без ведома пользователя.
Также известные под такими названиями, как USB Ninja и USB Harpoon, эти стандартные кабели скрывают BadUSB во внутренней схеме и вводят в заблуждение больше, чем любой другой вариант, встречающийся сегодня. Кабель BadUSB может выполнять такие функции, как зарядка и передача данных, в то время как вся вредоносная активность происходит в фоновом режиме.
Как защититься от атак BadUSB
Устройства BadUSB работают на скоростях, которые обычным пользователям в организации практически невозможно обнаружить. Различные сценарии полезной нагрузки легко доступны для загрузки из Интернета. Это позволяет даже любителям, плохо разбирающимся в компьютерах, осуществить атаку BadUSB.
Вот три меры, которые вы можете предпринять, чтобы немедленно противодействовать уязвимости BadUSB.
Блокировщик USB-порта
Блокировщики USB-портов — это эффективный способ удержать пользователей от подключения несанкционированных USB-устройств, которые могут содержать вредоносную полезную нагрузку без их ведома. В случае атаки BadUSB злоумышленник с меньшей вероятностью нацелится на системы, на которых установлены блокираторы USB-портов.
Блокаторы USB-портов могут быть установлены на важных системах в сети, содержащих конфиденциальные файлы, и поставляются со специальным ключом, который разблокирует и блокирует устройство после установки. Например, вы можете установить блокировщики портов на настольных компьютерах в сети, где порты USB скрыты от глаз.
Однако недостатком блокировщиков USB-портов является то, что эти устройства по-прежнему подвержены физическому взлому, если они не контролируются должным образом. Любой злонамеренный пользователь с помощью нескольких основных инструментов может легко удалить блокировщики портов из целевой системы.
Использование специальных программ для контроля скорости печати
Некоторые программы, такие как DuckHunter, предназначены для работы в фоновом режиме и внимательно следят за скоростью набора текста. Поскольку устройства BadUSB печатают со скоростью, практически невозможной для людей, программа эффективно блокирует ввод с клавиатуры при обнаружении атаки BadUSB.
Недостаток использования этого метода предотвращения заключается в том, что этим программам требуется несколько миллисекунд для обнаружения атаки. В зависимости от длины полезной нагрузки она все же может попасть на целевой компьютер, прежде чем будет заблокирована программой.
Ограничение доступа к командной строке с повышенными правами
Запуск командной строки (CMD) от имени администратора открывает целый набор действий, которые можно выполнять на компьютере. В Windows вы можете получить доступ к командной строке с повышенными правами, сначала набрав «CMD» в команде «Выполнить», а затем удерживая Ctrl + Shift + Enter. Эти нажатия клавиш можно легко запрограммировать на устройстве BadUSB.
Как установить пароль для запуска CMD от имени администратора?
Установка пароля для использования командной строки с повышенными правами останавливает любой BadUSB, запрограммированный на поиск административных привилегий. Вот как вы можете установить пароль для запуска CMD в качестве администратора.
Примечание. Эта процедура включает в себя внесение изменений в системный реестр и должна выполняться ответственно, чтобы не нанести вред вашему компьютеру.
Шаг 1. Введите Regedit в меню "Пуск" и откройте приложение.
Шаг 2. Следуйте инструкциям на экране ConsentPomptBehaviorAdmin : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Шаг 3. Найдя ConsentPromptBehaviorAdmin, щелкните его правой кнопкой мыши и выберите "Изменить".
Шаг 4. Измените значение данных на 1 и нажмите "ОК".
Теперь всякий раз, когда вы пытаетесь получить доступ к командной строке с повышенными правами, Windows будет запрашивать системный пароль.
Как Device Control Plus может помочь вам в предотвращении атак BadUSB?
В зависимости от вашего предприятия полный отказ от использования USB-устройств может оказаться нецелесообразным, так как это может отрицательно сказаться на общей производительности. С другой стороны, внесение изменений в реестр может быть опасным делом, поскольку оно связано с вмешательством в основные компоненты системы. Это требует надежного метода предотвращения атак BadUSB.
Защита от угроз BadUSB:
Четыре столпа защиты от угроз BadUSB:
- Включить блокировку USB в разных системах
- Создайте политики, разрешающие доверенные устройства.
- Активно отслеживать доверенные устройства
- Предоставить временный доступ
Device Control Plus — это упреждающий подход к защите конечных точек на вашем предприятии. Это решение удобно устраняет ограничения, присущие обычным мерам противодействия атакам BadUSB, за счет блокировки портов USB во всех системах по умолчанию.
С этого момента вы можете выбирать, у кого есть разрешения на использование каких устройств для доступа к конечным точкам в вашей сети, путем создания политик, разрешающих или блокирующих USB-устройства. Кроме того, вы получаете уведомление всякий раз, когда пользователь подключает неавторизованное устройство к одной из ваших конечных точек.
Device Control Plus помогает обнаруживать системы в сети и управлять ими в кратчайшие сроки. Создавайте списки доверенных устройств, предоставляйте временный доступ и многое другое! Загрузите пробную версию сегодня.
Узнайте, что такое BadUSB, как он работает и как от него защититься.
Что такое атака BadUSB?
BadUSB — это атака, использующая внутреннюю уязвимость встроенного ПО USB. Такая атака перепрограммирует USB-устройство, заставляя его действовать как устройство пользовательского интерфейса; после перестройки USB-устройство используется для незаметного выполнения команд или запуска вредоносных программ на компьютере жертвы.
История BadUSB
Эксплойт BadUSB был впервые обнаружен и раскрыт исследователями безопасности Карстеном Нолом и Якобом Леллем на конференции Black Hat в 2014 году. Код BadUSB в настоящее время общедоступен через сайт обмена кодами Github, а это означает, что любой — даже тот, у кого мало или совсем нет опыта — может запустить полномасштабную атаку BadUSB.
Как работает BadUSB
К USB-кабелю можно подключать множество различных устройств, включая камеры, клавиатуры, модемы, веб-камеры, беспроводные сетевые устройства и другие. К сожалению, конструкция USB привела к этой уязвимости безопасности BadUSB.
Чип микроконтроллера USB, содержащий микропрограмму, используется для определения типа подключенного устройства и его возможностей. Как только прошивка будет скомпрометирована, это всего лишь вопрос времени, когда хакер реконструирует USB-устройство, чтобы вставить вредоносный код в рабочую станцию. Это подвергает организацию целому ряду атак безопасности, таких как логические бомбы, кража данных, программы-вымогатели и многое другое.
Как защитить свой бизнес от атак BadUSB
Наиболее надежным решением для защиты от атак BadUSB будет физическая блокировка всех USB-портов в организации. Однако такие устаревшие методы в конечном итоге снижают производительность сотрудников и препятствуют внедрению новых тенденций, таких как использование собственного устройства. Каждой организации нужно надежное решение для управления устройствами, которое может обнаруживать, предупреждать и останавливать мошеннические действия, исходящие от USB, и все это без ущерба для производительности.
Решение DataSecurity Plus
Нет лучшего способа обеспечить безопасное использование USB в вашей организации, чем DataSecurity Plus, комплексное решение для управления USB-устройствами.
Предотвращение кражи данных через USB
Заблокируйте файлы с особо конфиденциальными данными (например, PII или ePHI) от копирования или перемещения на внешние устройства хранения. Отчет о каждом доступе к файлу и ускорение криминалистического анализа после инцидента.
Защита от атак BadUSB
Обнаружение потенциальных вторжений вредоносного ПО, например программ-вымогателей, проникающих в организацию через атаки BadUSB, и мгновенная отправка предупреждений по электронной почте.
Поместить в карантин вредоносные программы-вымогатели BadUSB
Изолируйте и отключите поврежденную рабочую станцию от сети в течение нескольких секунд после заражения программой-вымогателем с помощью автоматического механизма реагирования на угрозы DataSecurity Plus.
Обнаружение рискованного использования USB-устройства
Находите, отслеживайте и анализируйте использование USB-накопителей в организации и выявляйте аномальное поведение, например использование USB-устройства в нерабочее время.
Включите безопасное использование USB-устройств в вашей организации с помощью функции управления USB-устройствами DataSecurity Plus
M-A-U / Getty Images
В январе 2022 г. ФБР опубликовало публичное предупреждение в связи с кампанией USB-атак, в ходе которой в период с августа по ноябрь 2021 года сотрудникам транспортных, оборонных и страховых организаций были отправлены многочисленные USB-накопители с вредоносным программным обеспечением. USB-накопители пришли с поддельными письмами от имени Министерства здравоохранения и социальных служб и Amazon, отправленными через Почтовую службу США и UPS. Кампания получила название «BadUSB», а виновником была названа хакерская организация FIN7. Вот что вам нужно знать о BadUSB и снижении рисков этой USB-атаки.
Неверное определение USB
"Атака BadUSB предоставляет жертве то, что выглядит как физический USB-накопитель, и соблазн подключить его к системе жертвы, например обещая подарочную карту в качестве благодарности или счета, которые необходимо обработать", – объясняет Карл. Сиглер, старший менеджер по исследованиям в области безопасности в Trustwave SpiderLabs. Его группа по исследованию вредоносного ПО впервые обнаружила эту кампанию в 2020 году, изучая вредоносный флэш-накопитель в рамках судебно-медицинской экспертизы для поставщика гостиничных услуг в США.
«USB-накопитель на самом деле настроен как USB-клавиатура, и компьютер идентифицирует его и настроит соответствующим образом», — говорит он CSO. «После подключения USB-клавиатура автоматически начинает печатать и, как правило, вызывает командную оболочку и вводит команды для загрузки вредоносного ПО».
Угрозы безопасности, исходящие от BadUSB
По словам Сиглера, BadUSB в случае успеха выступает в качестве начального загрузчика для всего, от захватчиков учетных данных до бэкдоров и программ-вымогателей. Эти типы атак часто обсуждаются специалистами по безопасности, но не являются обычным явлением. Он добавляет, что, учитывая редкость атаки, она, вероятно, эффективна во многих ситуациях.
"Этот вектор атаки может быть попыткой воспользоваться тенденцией работы из дома", – написал Йосси Наар, главный дальновидный директор и соучредитель Cybereason. «Меньше ограждений и больше вероятность того, что пользователь подключится к рабочему компьютеру или к своей домашней сети, к которой также подключен его рабочий компьютер».
Наар также отметил, что некоторые организации или отделы регулярно используют USB-накопители, и поэтому люди с большей вероятностью будут использовать USB-накопители без подозрений. «Это сделало бы эту тактику более эффективной», — продолжил он, предупредив, что, как только злоумышленники закрепятся, они могут повысить привилегии или провести разведку изнутри.
Возможно, самым рискованным элементом BadUSB является вероятность того, что кампания является просто отвлечением для другой или более широкой атаки, сказал Наар. «Существует множество более эффективных векторов атак, которые не полагаются на потенциально отслеживаемую и масштабную кампанию, подобную этой, — написал он, добавив, что FIN7 — изощренный субъект угроз, — поэтому все это кажется большим неверное направление».
Предотвращение рисков BadUSB
Компания может предпринять несколько шагов, чтобы не стать жертвой атаки BadUSB.Во-первых, включить эту и другие подобные кампании в программу обучения по вопросам безопасности и убедиться, что все сотрудники понимают, что они должны передать любое неопознанное оборудование своей команде внутренней безопасности, прежде чем пытаться вставить или подключить его к своей системе, — говорит Сиглер. /p>
«Системы также выиграют от современной защиты конечных точек, которая может отслеживать злоупотребление командной оболочкой и любые последующие загрузки вредоносных программ», а физические и программные блокировщики USB-портов для критически важных систем, По словам Сиглера, любые USB-аксессуары также полезны.
Если BadUSB действительно является попыткой атаки по ложному направлению, как заявил Наар, организациям необходимо изучить всю вредоносную операцию в своей среде, а не просто сосредоточиться на плацдарме USB-накопителя, чтобы распознать индикаторы поведения, а также выявить и остановить дополнительную вредоносную активность, пишет он. .
Подробнее о кибератаках:
Майкл Хилл – редактор CSO Online из Великобритании. Последние пять с лишним лет он посвятил изучению различных аспектов индустрии кибербезопасности, уделяя особое внимание постоянно меняющейся роли связанных с человеком элементов информационной безопасности.
BadUSB маскируется под устройство с интерфейсом пользователя и скрытно выполняет вредоносные команды или открывает вредоносные программы на целевом компьютере. Узнайте, как их предотвратить.
Может ли один USB-накопитель вывести из строя всю сеть? Вы можете быть удивлены. Давайте подробно рассмотрим, что такое атака BadUSB и как вы можете предотвратить ее.
Что такое BadUSB?
Короче говоря, BadUSB маскируется под устройство с человеческим интерфейсом и скрытно выполняет вредоносные команды или открывает вирусы на целевом компьютере. Это делается путем использования критической уязвимости, глубоко укоренившейся в прошивке USB, которую нелегко исправить.
Вместо того, чтобы хакер тратил время на открытие командной строки, ввод множества команд и открытие обратной оболочки, он может просто подключить BadUSB и выполнить всю ручную работу всего за несколько секунд.
Что делает устройства BadUSB еще более опасными, так это простота их настройки. Например, продукты для тестирования на проникновение, такие как Rubber Ducky от Hak5, используют «Ducky Script», который может быть быстро изучен даже человеком, не имеющим опыта программирования.
Такие продукты, как MalDuino, работают аналогично, но используют платформу с открытым исходным кодом на базе Arduino для атаки на конечные точки. MalDuino BadUSB может поставляться даже с небольшим бортовым компьютером с возможностью расширения памяти microSD. Это позволяет злоумышленнику запускать и выполнять полные программы и службы с устройства.
BadUSB могут быть спрятаны даже внутри безобидных на вид USB-кабелей. Эти кабели могут облегчить передачу данных и зарядку при выполнении вредоносного сценария. К сожалению, в грязной серверной комнате или на рабочем столе многим не придет в голову дважды поискать запасной USB-кабель.
Одна из последних версий BadUSB называется OMG Cable или Offensive MG Kit. Кабель выглядит как стандартный кабель Wi-Fi, но содержит скрытый микроконтроллер Wi-Fi, который может передавать данные по беспроводной сети через устройство. Это похоже на BadUSB, но хакер может управлять им удаленно.
Наконец, устройства BadUSB с поддержкой беспроводной связи могут выполнять так называемую атаку деаутентификации на находящиеся поблизости устройства Wi-Fi. Эти деаутентификации Wi-Fi используют недостатки, присущие протоколу Wi-Fi, чтобы заставить пользователей отключиться от беспроводной сети. Это не просто неудобно, поскольку злоумышленник может создать новую фальшивую мошенническую точку доступа, чтобы обманом заставить пользователей подключиться и украсть их данные.
Как работают BadUSB?
BadUSB использует доверие компьютеров к устройствам с интерфейсом пользователя (HID). Например, когда вы подключаете клавиатуру, компьютер автоматически доверяет этому устройству как устройству ввода. К сожалению, BadUSB имитируют HID, поэтому компьютер обманут, думая, что USB — это человек за клавиатурой. Это невероятно колоссальное упущение, и именно поэтому BadUSB представляют такую угрозу для сетей.
Если вы попытаетесь запустить те же команды на BadUSB через исполняемый файл или файл сценария, они, скорее всего, будут заблокированы. Это связано с тем, что адекватно защищенные машины будут сканировать и проверять автора и содержимое перед выполнением.
Неверные возможности USB
Если вы можете ввести его на клавиатуре, вы можете выполнить его на BadUSB. Такие функции, как «ожидание», «пауза» и сочетания клавиш, можно запускать с помощью сценария. Во многих случаях злоумышленникам достаточно открыть командную строку с повышенными правами или выполнить полезную нагрузку, чтобы полностью скомпрометировать компьютер.
Ниже приведен пример открытия блокнота BadUSB и ввода «Hello World». Это делается с помощью Ducky Script и некоторого простого синтаксиса.
Эта гибкость и простота использования позволяют даже неопытным злоумышленникам провести потенциально разрушительную атаку за считанные секунды. Как вы понимаете, с BadUSB можно сделать массу вещей, но как его остановить?
Как предотвратить атаки BadUSB
Поскольку устройства BadUSB маскируются под клавиатуры, их практически невозможно обнаружить. Некоторые программы, такие как DuckHunter, могут отслеживать отдельные конечные точки на предмет таких типов атак. Тем не менее, предприятиям потребуется более организованный подход к защите USB-портов и внедрению политик защиты. Итак, давайте рассмотрим несколько способов предотвратить заражение вашей сети вредоносными USB-носителями.
Заблокировать локальный доступ
Атаки BadUSB можно смягчить, а иногда и предотвратить, внедрив строгие локальные политики безопасности. Эти политики можно настроить с помощью групповой политики, сценария входа или редактирования реестра вручную.
Ограничение доступа к командной строке с повышенными правами может остановить атаки BadUSB, которые открывают порты для вредоносных служб. В некоторых случаях пользователям никогда не понадобится доступ к командной строке, и этот параметр можно полностью отключить.
Вы можете установить пароль для любого использования командной строки с повышенными правами, изменив реестр:
- Для доступа к редактору реестра введите «regedit» в меню «Пуск».
- Перейдите к «Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System» и найдите «ConsentPomptBehaviorAdmin».
- Нажмите «Изменить» и измените значение данных на 1. Нажмите «ОК».
Кроме того, вы можете полностью запретить доступ к командной строке с помощью групповой политики. Это позволяет вам включать или исключать определенные группы пользователей для этого изменения. Пропустите четвертый шаг, если вы используете сценарии входа или службы удаленного рабочего стола на этой конечной точке.
- Запустите редактор групповой политики из среды Windows Server.
- Перейдите к «Конфигурация пользователя > Административные шаблоны > Система».
- Найдите «Запретить доступ к командной строке» и включите его.
- Найдите «Отключить обработку сценария командной строки» и выберите «Да».
- Нажмите "Применить".
Использование этих команд и обеспечение того, чтобы у пользователей не было ненужных привилегий на их компьютерах, может остановить атаки BadUSB на своем пути.
Заблокировать доступ к USB-портам
Еще один вариант – полностью заблокировать USB-порты. Как вы можете себе представить, это не лучший вариант, если вы хотите, чтобы ваши пользователи использовали USB-устройства в офисе и по-прежнему использовали USB-устройства в офисе. Эти блокираторы физически вставляются в порт или над ним и запираются ключом.
Этот подход лучше всего подходит для критически важных систем и машин, предназначенных для конфиденциальной информации. Хотя злоумышленник вряд ли попытается заразить эту машину, любой злонамеренный злоумышленник с неконтролируемым доступом может обойти блокировщик USB с помощью нескольких простых инструментов.
Используйте инструменты мониторинга поведения
Как упоминалось выше, такие программы, как DuckHunter, могут предотвращать автоматизированные атаки с использованием сценариев через USB. Это делается в первую очередь путем обнаружения, когда клавиатура используется для ввода быстрее, чем это возможно для человека. Скрипты выполняют команды исключительно быстро, что крайне неестественно. Проблема заключается в том, что эти вредоносные полезные нагрузки могут быть реализованы до того, как такие программы, как DuckHunter, обнаружат поведение и прекратят его.
Использовать управление корпоративными устройствами
Лучший способ остановить масштабные атаки BadUSB для предприятий — использовать специализированное программное обеспечение для управления устройствами. Это программное обеспечение реализует несколько политик и методов мониторинга, чтобы пользователи не могли подключать непроверенные устройства.
Такие программы, как ManageEngine Device Control, останавливают атаки BadUSB, создавая среду только из белого списка. На первом этапе процесса собирается и идентифицируется список всех устройств с поддержкой USB. Затем вы можете разрешить только определенные устройства из этого списка, остановив все, что соответствует одобренному списку. При этом используется противоположный подход к USB-доступу и создается среда с нулевым доверием для новых устройств.
Контроль устройств позволяет просматривать существующие типы USB-устройств и их характеристики. Например, вы можете быстро идентифицировать такие устройства, как принтеры или устройства iOS, и установить пользовательские политики для каждого из них. Кроме того, вы также можете получать оповещения при обнаружении вредоносного устройства. Оповещение сообщает, что попытка была заблокирована, и предоставляет подробную информацию о том, с какого компьютера была совершена атака.
Если пользователям требуется доступ к ненадежному флэш-накопителю для проекта, администраторы могут разрешить ограниченный или ограниченный по времени доступ к этому устройству. Кроме того, для каждого устройства можно настроить доступ только для чтения или запретить добавление на него файлов. Это позволит пользователям оставаться продуктивными, сохраняя при этом защиту от атак BadUSB.
Борьба с неисправными USB-устройствами
К сожалению, атаки BadUSB никуда не делись. Но есть множество способов защитить от них окружающую среду.Самый простой способ остановить автоматизированную USB-атаку — защитить локальную среду рабочего стола. Убедитесь, что на всех конечных точках установлены исправления, на них работает антивирус, и ограничьте права доступа локального администратора.
Рассмотрите возможность внедрения DLP или системы управления устройствами для компаний, которые хотят защитить интеллектуальную собственность и предотвратить кражу данных. Хотя эти инструменты предназначены больше для корпоративного использования, они обеспечивают надежные средства управления безопасностью, которые помогают системным администраторам масштабировать свои усилия по мониторингу файлов и устройств.
Читайте также: