Защо ни е нужен надежден Device Control в системата за киберзащита
Изследователи от университета „Бен Гурион“ в израелския град Негев са успели да идентифизцират 29 начина, по които могат да използват флашки за компрометиране компютрите на потребителите. Всички тези начини са класифицирани в 4 основни категории според начина на извършване на атаката.
1. Чрез препрограмиране на вътрешния миниконтролер на USB устройството. Флашката изглежда като специално USB устройство ( например зарядно), но извършва операциите на друго (например клавиатура – вкарва натискане на клавиши).
2.1. Чрез препрограмиране на фърмуера на USB устройството за извършване на злонамерени действия ( изтегляне на вреден софтуер, извличане на данни и пр.).
2.2. Без препрограмиране на фърмуера, но чрез използване на недостатъци в начина, по който операционните системи обикновено взаимодействат с USB протоколи/стандарти.
3. Електрически атаки.
Начини:
Чрез репрограмиране на микроконтролера:
- Rubber Ducky – платформена атака, пусната през 2010 г. След като се свърже с хост компютър, Rubber Ducky се появява като клавиатура и инжектира предварително заредена клавишна комбинация.
- PHUKD / URFUKED атакуващи платформи – подобно на Rubber Ducky, но позволява на нападателя да избере времето, когато инжектира злонамерените натискания на клавиши.
3) USBdriveby – осигурява бърза тайна инсталация на задните и преобладаващите DNS настройки на отключен OS X хост чрез USB за секунди, като емулира USB клавиатура и мишка.
4) Evilduino – подобно на PHUKD / URFUKED, но използва микропроцесори Arduino вместо Teensy. Също така работи чрез емулиране на клавиатура / мишка и може да изпраща на клавиатурата / курсора на мишката курсора към хоста според предварително зареден скрипт.
5) Непредвиден USB канал – хардуерен троянски кон, който извлича данни, базирани на нежелани USB канали (като например използването на USB високоговорители за извличане на данни).
6) TURNIPSCHOOL (COTTONMOUTH-1) – хардуерен имплант, скрит в USB кабел. Разработен от NSA.
7) RIT атака чрез USB mass storage – атака описана в изследователска статия. Разчита се на промяна на съдържанието на файловете, докато USB устройството за масово съхраняване е свързано към компютъра на жертвата.
8) Атаки на безжични USB dongles – категорията на атаките, изследвана с пускането на платформата за атаки KeySweeper от Samy Kamkar, инструмент, който скриптно записва и декодира натисканията на клавиши от много безжични клавиатури на Microsoft RF.
9) Замяна на шлюза по подразбиране – атака, която използва микроконтролер, целящ да заблуди USB Ethernet адаптера, за да замени настройките на DHCP и да отвлече локалния трафик.
Злонамерено препрограмирани USB периферни фърмуерни атаки
10) HID атаки, базирани на смартфони – за първи път са описани в изследователска книга, за която изследователите създадоха персонализирани драйвери за притурки за Android, за да презапишат взаимодействието на Android с USB устройства. Злонамереният драйвер си взаимодейства с приложния програмен интерфейс за Android USB gadget, за да симулира USB устройства с клавиатура и мишка, свързани с телефона.
11) Override на DNS чрез модифициран USB фърмуер – изследователите модифицират фърмуера на USB флаш устройство и го използват, за да подражават на USB–Ethernet адаптер, което им позволява да отвлекат местния трафик.
12) Емулация на клавиатурата чрез модифициран USB фърмуер – няколко изследователи показаха как с отравянето на фърмуера на USB флаш паметта, атакуващият може да инжектира удари на клавиатурата.
13) Скрита папка на дяловете – изследователите демонстрираха как USB флаш паметта може да бъде препрограмирана да действа като нормално устройство, създавайки скрит дял, който не може да бъде форматиран, което позволява скрито извличане на данни.
14) Парола за защита с парола – малка модификация на фърмуера на USB флаш устройство позволява на атакуващите да заобиколят USB флаш памети, защитени с парола.
15) Пробив на виртуалната машина – изследователите са използвали USB фърмуер, за да излязат от средите на виртуалната машина.
16) Инфектира буут сектора на компютъра – изследователите са използвали USB флаш устройство, за да заразят компютъра преди да го задействат.
17) Програма iSeeYou – POC, която препрограмира фърмуера на класа на вътрешните камери iSight на Apple, така че нападателят да може да заснеме скрито видео без предупреждението на светодиодния индикатор.
Атаки, базирани на непрограмирани USB устройства
18) CVE-2010-2568 .LNK exploit, използван от зловреден софтуер Stuxnet и Fanny
19) USB Backdoor в хостовете на Air-Gapped – атака, използвана от злонамерения софтуер Fanny, разработена от Equation Group (кодово име за NSA). Атаката използва USB скрито хранилище, за да съхранява предварително зададени команди за картографиране на компютри в мрежи с пропуски във въздуха. Информацията за мрежите се запазва обратно в скритото хранилище на USB флаш устройството.
20) Закриване на данни на USB устройства за масово съхраняване – голяма колекция от трикове за скриване на злонамерен софтуер или откраднати данни в USB флаш устройство (например: съхранение на данни извън нормалните дялове, скриване на файла в невидима папка чрез иконка на тази папка и име прозрачно и т.н.).
21) Използване на AutoRun – в зависимост от това как са конфигурирани хост компютрите, някои компютри автоматично ще изпълнят предварително зададени файлове, разположени на хранилището на USB устройството. Има цяла категория злонамерен софтуер, посветена на това злонамерен софтуер.
22) Студената ботуална атака – известен още като атака на RAM. Нападателите могат да съхраняват диспечер на памет на USB флаш устройство и да извлекат остатъчни данни от RAM чрез зареждане от USB устройство.
23) Атаки, базирани на претоварване с буфер – Няколко атаки, които разчитат на експлоатиране на буфер на OS, преливат, когато USB устройство бъде вкарано в компютър. Това се случва, защото операционните системи ще изброят устройствата и функциите (изпълняват определени предварително определени операции), когато се постави USB устройство.
24) Актуализиране на драйверите – много сложна атака, която се основава на получаване на сертификат за организационен клас VeriSign Class 3 и изпращане на драйвери до Microsoft, които автоматично се доставят и инсталират на потребителски персонални компютри, когато се вмъкне определено устройство SUB. Тази атака е възможна, но е много трудна за решаване в реалния свят.
25) Надстройване на фърмуера на устройство (DFU) – атакуващите могат да използват надстройката на фърмуера на устройството (DFU), легитимен процес, поддържан от стандарта USB, за да актуализира локалния легитимен фърмуер към злонамерена версия.
26) USB Thief – USB флаш устройство, базирано на кражба на данни, което наскоро беше открито.
27) Атаки на смартфони през USB порт – атакуващите могат да скриват и доставят зловреден софтуер (злонамерен) чрез USB зарядни устройства за телефони.
28) USBee атака – направи автобус за данни на USB конектора да дава електромагнитни излъчвания, които могат да бъдат използвани за извличане на данни.
29) USB Убиец – да унищожите завинаги устройствата, като поставите USB устройство, което задейства електрически заряд и по този начин даде на късо .
30) Още докато четете този материал, може да е измислен и нов начин за злонамерено поведение с помощта на USB устройство.
Екипът на Бен Гурион разясни всички тези атаки в статия, публикувана миналата година в списание ScienceDirect.
Целта на това изследване беше да предупреди потребителите за многобройните начини, по които USB устройства могат да бъдат злоупотребявани да заразяват своите системи и скрито да крадат данни от защитени мрежи с пропуски в мрежата. Препоръката на изследователския екип е, че USB устройствата са забранени или поне стриктно контролирани в защитени мрежи. Ето защо ни е нужен Device Control.
Корпоративните решения на Panda Security разполагат с отличен модул за Device Control, както и с опцията да се ваксинират USB устройства, свързани с компютъра.