Главная Мой профиль РегистрацияВыход RSS
Вы вошли как Гость | Группа "Гости"Приветствую Вас, Гость
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Поиск
Архив записей
[ Добавить новость 

Опасность USB! Может ли прошивка флешки скрывать вредоносное ПО?

  1. Статьи по Теме:

Вы видите эту флешку в руке?

Тот, который был стерт и не содержит файлов, который, по вашему утверждению антивирусного программного обеспечения, безупречно чист и не содержит какого-либо вредоносного кода?

Ну, может быть, это не так просто.

Потому что пара исследователей безопасности планирует на следующей неделе продемонстрировать, как им удалось перепрограммировать прошивку на съемных USB-накопителях, чтобы она содержала вредоносное ПО, способное скомпрометировать компьютерные системы.

И поскольку вредоносная программа никогда не касается флэш-памяти USB-устройства (где обычно находятся ваши файлы), а в микропрограмме, которая вместо этого контролирует основные функции флешки, вредоносный код полностью невидим для обычных инструментов безопасности и операционной системы вашего компьютера.

Как утверждают исследователи, после перепрограммирования существует несколько способов, которыми некогда безвредный USB-накопитель может действовать злонамеренно:

  • Устройство может эмулировать клавиатуру и выдавать команды от имени вошедшего в систему пользователя, например, для удаления файлов или установки вредоносных программ. Такое вредоносное ПО, в свою очередь, может заразить микросхемы контроллера других USB-устройств, подключенных к компьютеру.
  • Устройство также может подделать сетевую карту и изменить настройки DNS компьютера для перенаправления трафика.
  • Модифицированный флэш-накопитель или внешний жесткий диск может - когда он обнаруживает, что компьютер запускается - загрузить небольшой вирус, который заражает операционную систему компьютера перед загрузкой.

Чтобы доказать эту концепцию, исследователи безопасности Karsten Nohl и Jakob Lell создали некоторый код, который они окрестили «BadUSB» Они утверждают, что могут превратить доброе устройство «зло».

BadUSB обманывает целевой компьютер, полагая, что это не флэш-накопитель USB, а клавиатура USB BadUSB обманывает целевой компьютер, полагая, что это не флэш-накопитель USB, а клавиатура USB. Когда вы подключаете USB-накопитель, он быстро отправляет строку символов, которые выглядят на компьютере так же, как если бы они были набраны пользователем на клавиатуре.

Короче говоря, это как если бы вы вошли в свой компьютер и позволили совершенно незнакомому человеку вытолкнуть вас из кресла и начать вводить команды на вашем ПК.

И если эти команды, скажем, открыли окно браузера, которое открывало веб-страницу, содержащую эксплойт нулевого дня, вы могли бы обнаружить, что ваш компьютер был скомпрометирован в мгновение ока. В качестве альтернативы, команды клавиатуры, отправленные вредоносной микропрограммой, могут попытаться выполнить опасный код на самой флэш-карте USB.

Инъекция нажатия клавиш через USB-устройства не является совершенно новой концепцией, и для тестировщиков проникновения и хакеров были доступны инструменты, которые можно купить онлайн в течение многих лет, которые использовали эту проблему, и позволили им воспользоваться физическим доступом в течение нескольких секунд к целевой ПК.

Но что отличает BadUSB от других, так это то, что они показали, как прошивка обычного USB-флешки может быть подорвана таким образом, что значительно снижает вероятность взлома. Ноль и Лелл потратили месяцы на изучение и перепроектирование микропрограммы микросхемы контроллера на USB-устройствах и выяснение того, как вредоносные программы на уже зараженном ПК могут сделать чистую флешку USB вредоносной, значительно увеличивая вероятность распространения инфекции.

Такой метод распространения был бы чрезвычайно полезен, конечно, хакерам, нацеленным на организации, работающие в воздушной среде, где компьютеры не имели доступа к Интернету и не были объединены в сеть по соображениям безопасности. Какие организации могут использовать воздушные зазоры для своих компьютеров? Ну, критическая инфраструктура была бы одним очевидным примером.

Помните Stuxnet ? Это вредоносное ПО, предназначенное для критически важной инфраструктуры на заводе по обогащению урана в Натанзе, Иран, распространялось через USB-накопители - используя уязвимость Windows нулевого дня.

Кроме того, существует Cottonmouth, сверхсекретное шпионское устройство, используемое АНБ, которое, согласно документам, просочившимся Эдвардом Сноуденом, могло без предупреждения устанавливать вредоносное ПО на целевой компьютер, маскируясь под USB-разъем.

Нет никаких доказательств того, что в Cottonmouth использовались прошивки, такие как BadUSB, но это вполне возможно.

Следует иметь в виду, что такие угрозы, как BadUSB, являются не просто потенциальной проблемой для традиционных компьютеров и ноутбуков.

В наши дни существует множество электронных устройств, которые подключаются через USB или используют USB-соединение для зарядки своих батарей. Теоретически, тщательно продуманная атака может попытаться вмешаться и в эти типы устройств.

Например, легко представить себе, что смартфоны могут быть целевыми, так как они часто подключаются к USB-соединениям для зарядки или синхронизации файлов с настольными компьютерами.

Нол и Лелл утверждают, что повсеместность USB - это его «ахиллесова пята»:

«Поскольку разные классы устройств могут подключаться к одним и тем же разъемам, один тип устройства может превратиться в более функциональный или вредоносный тип без уведомления пользователя».«Чтобы превратить один тип устройства в другой, необходимо перепрограммировать микросхемы контроллера USB в периферийных устройствах.Очень распространенные микросхемы USB-контроллеров, в том числе и в флэш-накопителях, не защищены от такого перепрограммирования ».

Итак, что вы можете сделать с угрозой вредоносной прошивки флешки?

Ну, во-первых, не паникуйте.

Это сложные атаки, которые требуют значительных исследований и усилий, чтобы успешно осуществить. И, как Иэн Томсон в Регистре указывает на то Атаки зависят от поставщика, поскольку каждый поставщик создает свои контроллеры по-своему.

Во-вторых, описанный выше сценарий BadUSB подробно описывает, как последовательность нажатий клавиш может привести ваш браузер к веб-сайту, на котором размещен вредоносный эксплойт, или запустить вредоносный код в другом месте на флэш-диске.

Если вы следовали рекомендациям, то, надеюсь, вы будете обновлять свои компьютерные системы последними обновлениями безопасности, веб-фильтрацией, контролем доступа и антивирусным программным обеспечением, чтобы уменьшить вероятность успеха такой атаки - даже если вы не можете остановить вредоносный код в прошивке USB-флешки от запуска, убедитесь, что он не справится со своей следующей задачей.

В-третьих, стонут производители USB. Они должны встраивать безопасность в свои устройства, чтобы предотвратить несанкционированное обновление микропрограммного обеспечения USB-накопителей, и разрешать только те обновления, которые были криптографически проверены на предмет их законности.

Наконец, всегда будьте осторожны с тем, какие устройства вы подключаете к компьютеру. Если вы когда-либо делили USB-устройство с кем-то еще, оно * могло бы * быть скомпрометировано, и * может * перестать быть заслуживающим доверия. Золотое правило - никогда не подключайте к компьютеру ничего, чему вы не доверяете на 100%.

Возможно, все время выглядит более привлекательным делиться файлами через Интернет (хотя это приносит свои проблемы), а не с USB-накопителями, и мы начнем видеть, как USB-накопитель идет по пути дискеты…

Статьи по Теме:

Ресурсы:

Руководство для топ-20 критичных   Контроль безопасности Руководство для топ-20 критичных Контроль безопасности

Tripwire составил электронную книгу под названием Руководство для руководителей по 20 важнейшим элементам контроля безопасности: ключевые выводы и возможности для улучшения , который доступен для скачивания [требуется регистрационная форма].

Тот, который был стерт и не содержит файлов, который, по вашему утверждению антивирусного программного обеспечения, безупречно чист и не содержит какого-либо вредоносного кода?
Какие организации могут использовать воздушные зазоры для своих компьютеров?
Итак, что вы можете сделать с угрозой вредоносной прошивки флешки?