Видео: Ðнна Седокова Между нами кайф (Ноябрь 2024)
Если вы не отключили автозапуск USB на вашем ПК, возможно, что подключение зараженного USB-накопителя может привести к установке вредоносного ПО в вашей системе. Инженеры, чьи центрифуги для очистки урана были взорваны Stuxnet, узнали этот трудный путь. Однако оказывается, что вредоносное ПО с автоматическим воспроизведением - не единственный способ использования USB-устройств. На конференции Black Hat 2014 два исследователя из берлинской SRLabs раскрыли метод модификации чипа контроллера USB-устройства, чтобы он мог «подделывать различные типы устройств, чтобы контролировать компьютер, передавать данные или шпионить за пользователем». «. Это звучит немного плохо, но на самом деле это действительно ужасно.
Повернись к темной стороне
«Мы - хакерская лаборатория, которая, как правило, сосредоточена на встроенной безопасности», - сказал исследователь Карстен Нолл, выступая в переполненном помещении. «Это первый раз, когда мы посмотрели на компьютерную безопасность со встроенным углом зрения. Как USB может быть злонамеренно изменен?»
Исследователь Якоб Лелл прыгнул прямо в демо. Он подключил USB-накопитель к компьютеру под управлением Windows; это проявилось как драйв, как и следовало ожидать. Но вскоре он переопределил себя как USB-клавиатуру и выдал команду, которая загрузила троян удаленного доступа. Это вызвало аплодисменты!
«Мы не будем говорить о вирусах на USB-накопителе», - сказал Нолл. «Наша техника работает с пустым диском. Вы можете даже переформатировать его. Это не уязвимость Windows, которую можно исправить. Мы сосредоточены на развертывании, а не на трояне».
Управление контроллером
«USB очень популярен», - сказал Нолл. «Большинство (если не все) USB-устройства имеют микросхему контроллера. Вы никогда не взаимодействуете с микросхемой, и ОС не видит ее. Но именно этот контроллер« говорит по USB ».»
Чип USB идентифицирует тип своего устройства на компьютере, и он может повторить этот процесс в любое время. Нолл указал, что существуют веские причины для того, чтобы одно устройство представило себя как более одного, например, веб-камера, в которой есть один драйвер для видео, а другой - для подключенного микрофона. И действительно, определить USB-накопители сложно, потому что серийный номер не является обязательным и не имеет фиксированного формата.
Лелл прошел точные шаги, предпринятые командой, чтобы перепрограммировать прошивку на USB-контроллере определенного типа. Вкратце, им пришлось отслеживать процесс обновления прошивки, перепроектировать прошивку, а затем создавать модифицированную версию прошивки, содержащую их вредоносный код. «Мы не сломали все о USB», - отметил Нолл. «Мы перепроектировали два очень популярных чипа контроллера. Первый занял, возможно, два месяца, второй - один месяц».
Саморепликацию
Для второй демонстрации Лелл вставил совершенно новый пустой USB-накопитель в зараженный компьютер из первой демонстрации. Зараженный компьютер перепрограммировал прошивку пустого USB-накопителя, тем самым копируя себя. О, Боже.
Затем он подключил только что зараженный диск к ноутбуку Linux, где он явно выдавал команды клавиатуры для загрузки вредоносного кода. Еще раз демонстрация вызвала аплодисменты аудитории.
Кража паролей
«Это был второй пример, когда один USB повторяет другой тип устройства, - сказал Нолл, - но это только вершина айсберга. Для нашей следующей демонстрации мы перепрограммировали диск USB 3 на тип устройства, который сложнее обнаружить. Смотри внимательно, это почти невозможно увидеть ".
Действительно, я не мог обнаружить мерцание значка сети, но после подключения USB-накопителя появилась новая сеть. Нолл объяснил, что диск теперь эмулирует соединение Ethernet, перенаправляя поиск DNS на компьютере. В частности, если пользователь посещает веб-сайт PayPal, он будет незаметно перенаправлен на сайт кражи паролей. Увы, демо демоны заявили об этом; это не сработало.
Доверься USB
«Давайте на минутку обсудим, какое доверие мы оказываем к USB», - сказал Нолл. «Он популярен, потому что его легко использовать. Обмен файлами через USB лучше, чем использование незашифрованной электронной почты или облачного хранилища. USB покорил мир. Мы знаем, как сканировать USB-накопители на вирусы. Мы доверяем USB-клавиатуре еще больше. Это исследование разрушает это доверие ".
«Это не просто ситуация, когда кто-то дает вам USB», продолжил он. «Простое подключение устройства к компьютеру может заразить его. Для последней демонстрации мы будем использовать самый простой USB-атакующий, телефон Android».
«Давайте просто подключим этот стандартный телефон Android к компьютеру, - сказал Лелл, - и посмотрим, что произойдет. О, вдруг появилось дополнительное сетевое устройство. Пойдем в PayPal и войдем в систему. Там нет сообщений об ошибках, ничего. Но мы зафиксировали имя пользователя и пароль! На этот раз аплодисменты были громовыми.
«Вы обнаружите, что телефон Android превратился в устройство Ethernet?» спросил Нолл. «Обнаруживает ли это ваше устройство для управления устройством или предотвращения потери данных? По нашему опыту, большинство этого не делает. И большинство фокусируется только на USB-накопителе, а не на других типах устройств».
Возвращение загрузочного сектора Инфектор
«BIOS использует другой тип USB-перечисления, нежели операционная система», - сказал Нолл. «Мы можем воспользоваться этим с устройством, которое эмулирует два диска и клавиатуру. Операционная система будет когда-либо видеть только один диск. Второй появляется только в BIOS, который будет загружаться с него, если он настроен для этого. Если это не так мы можем отправить любое нажатие клавиши, например, F12, чтобы включить загрузку с устройства."
Нолл указал, что код руткита загружается раньше операционной системы и может заражать другие USB-накопители. «Это идеальное развертывание для вируса», - сказал он. «Он уже запущен на компьютере, прежде чем любой антивирус может загрузиться. Это возвращение вируса загрузочного сектора».
Что можно сделать?
Нолл отметил, что было бы чрезвычайно трудно удалить вирус, находящийся в прошивке USB. Извлеките его из флэш-накопителя USB, он может быть повторно заражен с клавиатуры USB. Даже устройства USB, встроенные в ваш компьютер, могут быть заражены.
«К сожалению, не существует простого решения. Почти все наши идеи по защите будут мешать использованию USB», - сказал Нолл. «Не могли бы вы занести в белый список доверенные USB-устройства? Ну, вы могли бы, если бы USB-устройства были однозначно идентифицируемыми, но это не так».
«Вы можете полностью заблокировать USB, но это влияет на удобство использования», - продолжил он. «Вы можете заблокировать критически важные типы устройств, но даже очень простыми классами можно злоупотреблять. Удалите их, и осталось не так много. Как насчет сканирования на наличие вредоносных программ? К сожалению, для чтения прошивки вы должны полагаться на функции самой прошивки, поэтому вредоносная прошивка может подделать легитимную."
«В других ситуациях поставщики блокируют вредоносные обновления прошивки с помощью цифровых подписей», - сказал Нолл. «Но защищенную криптографию сложно реализовать на небольших контроллерах. В любом случае миллиарды существующих устройств остаются уязвимыми».
«Единственная реальная идея, которую мы предложили, заключалась в том, чтобы отключить обновления прошивки на заводе», - сказал Нолл. «Самый последний шаг, вы делаете это так, чтобы прошивка не могла быть перепрограммирована. Вы могли бы даже исправить это в программном обеспечении. Запишите одно новое обновление прошивки, которое блокирует все дальнейшие обновления. Мы могли бы покорить часть сферы доверенных USB-устройств «.
Нолл подытожил, указав на некоторые положительные области применения техники модификации контроллера, описанной здесь. «Для людей, играющих с этим, есть смысл, - сказал он, - но не в надежной среде». Я, например, никогда не посмотрю ни на одно USB-устройство, как раньше.