Ļauns usb disks var neapzināti pārņemt jūsu datoru

Ja savā datorā neesat izslēdzis USB automātisko atskaņošanu, ir iedomājams, ka, iespraužot inficētu USB diskdzini, jūsu sistēmā varētu tikt instalēta ļaunprogrammatūra. Inženieri, kuru urāna attīrīšanas centrifūgas uzspridzināja Stūksnets, uzzināja, ka tas ir cietais ceļš. Tomēr izrādās, ka automātiskās atskaņošanas ļaunprātīgā programmatūra nav vienīgais USB ierīču ieroču izmantošanas veids. Melnā cepure 2014 konferencē divi pētnieki no Berlīnē bāzētās SRLabs atklāja paņēmienu USB ierīces kontroliera mikroshēmas modificēšanai, lai tā varētu "sabojāt dažādus citus ierīču veidus, lai pārņemtu kontroli pār datoru, filtrētu datus vai spiegotu lietotāju.. " Tas izklausās diezgan slikti, bet patiesībā tas ir patiešām, ļoti drausmīgi.

Pagriezieties uz tumšo pusi

"Mēs esam uzlauzšanas laboratorija, kas parasti koncentrējas uz iestrādātu drošību, " sacīja pētniece Karstena Nolla, uzrunājot pārpildītu istabu. "Šī ir pirmā reize, kad mēs izskatījāmies datoru drošību ar iestrādātu leņķi. Kā USB var pārvietot ļaunprātīgā veidā?"

Pētnieks Jakobs Lels ielēca tieši demonstrācijā. Viņš pievienoja USB disku Windows datoram; tas parādījās kā piedziņa, tieši tā, kā jūs varētu gaidīt. Bet neilgu laiku vēlāk tas sevi definēja kā USB tastatūru un izdeva komandu, kas lejupielādēja attālinātās piekļuves Trojas zirgu. Tas izraisīja aplausus!

"Mēs nerunāsim par vīrusiem USB atmiņā, " sacīja Noll. "Mūsu tehnika darbojas ar tukšu disku. Jūs to pat varat pārformatēt. Tā nav Windows ievainojamība, kuru varētu labot. Mēs koncentrējamies uz izvietošanu, nevis uz Trojas karavānu."

Kontroliera vadīšana

"USB ir ļoti populārs, " sacīja Noll. "Lielākajai daļai (ja ne visām) USB ierīcēm ir kontroliera mikroshēma. Jūs nekad nedarbojaties ar mikroshēmu, kā arī OS to neredz. Bet šis kontrolieris ir tas, kas“ runā USB ”."

USB mikroshēma identificē ierīces tipu ar datoru, un tā var šo procesu atkārtot jebkurā laikā. Noll norādīja, ka ir pamatoti iemesli, lai viena ierīce sevi parādītu kā vairāk nekā vienu, piemēram, tīmekļa kamera, kurai ir viens draiveris video, bet otrs pievienotajam mikrofonam. USB disku patiesa identificēšana ir sarežģīta, jo sērijas numurs nav obligāts un tam nav fiksēta formāta.

Lell izgāja precīzus komandas veiktos pasākumus, lai pārprogrammētu programmaparatūru uz noteikta veida USB kontrolleri. Īsumā viņiem nācās atlikt programmaparatūras atjaunināšanas procesu, pārveidot programmaparatūru un pēc tam izveidot modificētu programmaparatūras versiju, kas satur viņu ļaunprātīgo kodu. "Mēs visu neizjaucām par USB, " atzīmēja Noll. "Mēs apgriezti izstrādājām divas ļoti populāras kontrolieru mikroshēmas. Pirmais aizņēma varbūt divus mēnešus, otrais - vienu mēnesi."

Pašreplikācija

Otrajai demonstrācijai Lell jau no pirmās demonstrācijas ievietoja pilnīgi jaunu tukšu USB diskdzini inficētajā datorā. Inficētais dators pārprogrammēja tukšā USB diska programmaparatūru, tādējādi replicējot sevi. Ak vai.

Pēc tam viņš tikko inficēto disku pievienoja Linux piezīmjdatoram, kur tas redzami izdeva tastatūras komandas, lai ielādētu ļaunprātīgu kodu. Demonstrācija kārtējo reizi uzņēma klausītāju aplausus.

Paroļu zagšana

"Tas bija otrais piemērs, kad viens USB atkārtojas cita veida ierīcei, " sacīja Nols, "taču tas ir tikai aisberga redzamā daļa. Nākamajai demonstrācijai mēs pārprogrammējām USB 3 diskdzini uz ierīces tipu, kuru ir grūtāk atklāt. Uzmanīgi vērojiet, to gandrīz neiespējami redzēt."

Patiešām, es nevarēju atklāt tīkla ikonas mirgošanu, bet pēc USB diskdziņa pievienošanas parādījās jauns tīkls. Noll paskaidroja, ka disks tagad imitēja Ethernet savienojumu, novirzot datora DNS meklēšanu. Konkrēti, ja lietotājs apmeklē vietni PayPal, viņš nemanāmi tiks novirzīts uz paroles zagšanas vietni. Diemžēl demonstrācijas dēmoni apgalvoja šo; tas nedarbojās.

Uzticieties USB

"Uz brīdi apspriedīsim uzticību, ko mēs uzticam USB, " sacīja Noll. "Tas ir populārs, jo to ir viegli lietot. Failu apmaiņa, izmantojot USB, ir labāka nekā nešifrēta e-pasta vai mākoņa krātuves izmantošana. USB ir iekarojis pasauli. Mēs zinām, kā vīrusu skenēt USB disku. Mēs vēl vairāk uzticamies USB tastatūrai. Šis pētījums sagrauj šo uzticību."

"Tā nav tikai situācija, kad kāds dod jums USB, " viņš turpināja. "Tikai ierīces pievienošana datoram to varētu inficēt. Pēdējā demonstrācijā mēs izmantosim vienkāršāko USB uzbrucēju - Android tālruni."

"Pievienosim datoram tikai šo standarta Android tālruni, " sacīja Lells, "un redzēsim, kas notiek. Ak, pēkšņi ir papildu tīkla ierīce. Dosimies uz PayPal un piesakīsimies. Nav kļūdas ziņojumu, nekas. Bet mēs notverti lietotājvārds un parole! " Šoreiz aplausi bija negaisa.

"Vai jūs atklāsit, ka Android tālrunis ir pārvērties par Ethernet ierīci?" jautāja Noll. "Vai jūsu ierīces vadības ierīce vai datu zaudēšanas novēršanas programmatūra to atrod? Pēc mūsu pieredzes lielākā daļa to nedara. Un lielākā daļa koncentrējas tikai uz USB atmiņu, nevis uz citiem ierīču veidiem."

Sākotnējā sektora inficētāja atgriešanās

"BIOS veic cita veida USB uzskaitījumu nekā operētājsistēma, " sacīja Noll. "Mēs to varam izmantot, izmantojot ierīci, kas atdarina divus diskus un tastatūru. Operētājsistēma kādreiz redzēs tikai vienu disku. Otrais parādīsies tikai BIOS, kurš no tā tiks sāknēts, ja ir konfigurēts to darīt. Ja tas nav, mēs varam nosūtīt jebkuru taustiņu, varbūt F12, lai iespējotu palaišanu no ierīces."

Noll norādīja, ka rootkit kods tiek ielādēts pirms operētājsistēmas un ka tas var inficēt citus USB diskus. "Tas ir ideāls vīrusa izvietojums, " viņš teica. "Tas jau darbojas datorā, pirms var ielādēt antivīruss. Tas ir sāknēšanas sektora vīrusa atgriešanās."

Ko var izdarīt?

Noll norādīja, ka būtu ārkārtīgi grūti noņemt vīrusu, kas atrodas USB programmaparatūrā. Izņemiet to no USB zibatmiņas diska, un tas varētu no jauna inficēties no jūsu USB tastatūras. Var tikt inficētas pat datorā iebūvētās USB ierīces.

"Diemžēl nav vienkārša risinājuma. Gandrīz visas mūsu aizsardzības idejas traucētu USB noderīgumu, " sacīja Noll. "Vai jūs varētu iekļaut uzticamo USB ierīču iekļaušanu baltajā sarakstā? Varētu arī tad, ja USB ierīces būtu unikāli identificējamas, bet tās nav."

"Jūs varētu pilnībā bloķēt USB, taču tas ietekmē lietojamību, " viņš turpināja. "Jūs varētu bloķēt kritiskos ierīču tipus, taču pat ļoti pamatklases var tikt ļaunprātīgi izmantotas. Noņemiet tās, un tām vairs nav daudz. Kā būtu ar ļaunprātīgas programmatūras skenēšanu? Diemžēl, lai lasītu programmaparatūru, jums jāpaļaujas uz pašas programmaparatūras funkcijām, tāpēc ļaunprātīga programmaparatūra var sabojāt likumīgu."

"Citās situācijās pārdevēji bloķē ļaunprātīgas programmaparatūras atjauninājumus, izmantojot ciparparakstus, " sacīja Noll. "Bet drošu kriptogrāfiju ir grūti ieviest maziem kontrolieriem. Jebkurā gadījumā miljardi esošo ierīču joprojām ir neaizsargātas."

"Vienīgā funkcionējošā ideja, ar kuru mēs nāca klajā, bija rūpnīcā atslēgt programmaparatūras atjauninājumus, " sacīja Nols. "Pats pēdējais solis, ko jūs veicat, lai nevarētu pārprogrammēt programmaparatūru. Jūs pat varētu to labot programmatūrā. Ierakstiet vienu jaunu programmaparatūras jauninājumu, kas bloķē visus turpmākos atjauninājumus. Mēs varētu nedaudz iekarot uzticamo USB ierīču sfēru.."

Noll ir iesaiņots, norādot uz dažiem šeit aprakstītajiem kontroliera modifikācijas tehnikas pozitīvajiem pielietojumiem. "Ir vajadzīgs gadījums, kad cilvēki ar to spēlējas, " viņš teica, "bet ne uzticamā vidē." Es, pirmkārt, nekad neuzskatīšu nevienu USB ierīci tā, kā es pieradu.