Описание[ | код]
USB устройства несут в себе микроконтроллер, отвечающий за общение с хостом по интерфейсу USB. В процессе инициализации микроконтроллер сообщает хосту, наряду с другой служебной информацией, классы, к которым принадлежит устройство. Хост загружает нужный драйвер и работает с устройством исходя из его класса и этих данных. Одно физическое устройство может реализовывать несколько классов и для хоста являться несколькими отдельными устройствами: веб-камеры реализуют одновременно класс видео и класс аудио устройств.
BadUSB пользуется тем фактом, что производители не защищают свои устройства от перепрошивки, а хосты не проверяют USB устройства на подлинность. Благодаря этому злоумышленник может подменить прошивку микроконтроллера и выдать одно устройство за другое. Также, так как все коммуникации ведутся через этот микроконтроллер, злоумышленник может перехватывать и подменять любые данные и команды между устройством и хостом. Возможно и автоматическое заражение устройств: устройство заражает хост, запуская на нём вредоносное ПО, затем хост автоматически заражает все подключенные к нему USB устройства.
Каждый контроллер уникален, и для каждого необходимо разрабатывать зараженную прошивку или патч отдельно. Невозможно написать универсальное программное обеспечение и использовать его на любом микроконтроллере. Процедура прошивки различается от одного контроллера к другому. Все это значительно уменьшает вероятность эпидемии BadUSB, однако не защищает от целенаправленной атаки.
Некоторые виды атак[ | код]
Имитация клавиатуры | код
Устройство представляется компьютеру жертвы клавиатурой, а по истечении некоторого времени начинает отправлять последовательности нажатий клавиш. В результате злоумышленник может выполнить на компьютере жертвы любые действия, доступные авторизованному пользователю с помощью одной только клавиатуры. К примеру, злоумышленник может загрузить из интернета и запустить вредоносное ПО.
Существенным минусом данного вида атак является отсутствие доступа к информации на экране и, как следствие, отсутствие обратной связи на любые действия со стороны зараженного устройства. Например, злоумышленник не может определить как текущую раскладку клавиатуры, так и произведен ли вход в систему.
Имитация сетевой карты | код
Устройство представляется компьютеру жертвы сетевой картой и, таким образом, может перехватывать или перенаправлять сетевой трафик. В частности, отвечая на DHCP запрос адресом DNS сервера злоумышленника и не предоставляя шлюза по умолчанию, злоумышленник может перена трафик жертвы: компьютер жертвы будет производить разрешение адреса через DNS сервер злоумышленника, но, в отсутствие шлюза по умолчанию, будет использовать другой, настоящий сетевой интерфейс.
Boot Injection | код
Устройство с достаточным местом для хранения вредоносного кода, например, флеш-накопитель, может определить момент включения компьютера и в момент определения BIOS’ом выдать на загрузку вирус для заражения операционной системы. Это становится возможным благодаря тому, что по поведению хоста при общении с USB микроконтроллером возможно определить ОС хоста, в частности Windows, Linux, MacOSX, а также BIOS.
Выход из виртуального окружения | код
Атака использует возможность повторной инициализации устройства. Выполняясь в виртуальной машине, вирус заражает любое подключенное по USB устройство. Зараженная прошивка выполняет переинициализацию и представляется двумя независимыми устройствами: неким новым и тем, которое уже было подключено к виртуальной машине. Новое устройство будет автоматически подключено к хостовой ОС, а старое — обратно в виртуальную машину. Таким образом, может быть произведен выход за пределы виртуального окружения, то есть осуществлен переход от клиентской до хостовой ОС.
Противодействие
В рамках доклада «BadUSB — On Accessories that Turn Evil» было предложено несколько способов защиты от BadUSB, однако, по словам исследователей, полноценная интеграция защиты займет продолжительное время.
Одним из возможных способов противостояния является подпись прошивки производителем оборудования и соответствующая проверка на стороне хоста перед использованием устройства, что не предусмотрено текущей спецификацией USB. Другим решением проблемы может стать блокировка возможности перепрошивки устройств самим производителем.
Марк Шаттлворт, основатель Canonical Ltd., также высказывался по вопросу безопасности USB устройств и как решение проблемы предлагал полностью открыть исходный код прошивок.
Несмотря на то, что ряд средств комплексной антивирусной защиты, такие как ESET Endpoint Antivirus, Kaspersky Endpoint Security, компонент «Родительский контроль» у Dr.Web AV-Desk, позволяют ограничивать доступ к сменным носителям и разрешать активацию согласно «белому списку», в случае с Bad USB, таких мер недостаточно. Пользователь сам может разрешить подключение опасного устройства, ошибочно посчитав его безопасным. По утверждению корреспондента «Компьютерры» Андрея Василькова, разработчики антивирусных решений будут вынуждены в будущем добавить «отдельные модули для более гибкого дополнительного контроля над подключаемыми по USB устройствами».
Защита от атак BadUSB появилась в Kaspersky Endpoint Security 10, в обновлении от 7 декабря 2015 года.
Некоторые виды атак
Имитация клавиатуры
Устройство представляется компьютеру жертвы клавиатурой, а по истечении некоторого времени начинает отправлять последовательности нажатий клавиш. В результате злоумышленник может выполнить на компьютере жертвы любые действия, доступные авторизованному пользователю с помощью одной только клавиатуры. К примеру, злоумышленник может загрузить из интернета и запустить вредоносное ПО.
Существенным минусом данного вида атак является отсутствие доступа к информации на экране и, как следствие, отсутствие обратной связи на любые действия со стороны зараженного устройства. Например, злоумышленник не может определить как текущую раскладку клавиатуры, так и произведен ли вход в систему.
Имитация сетевой карты
Устройство представляется компьютеру жертвы сетевой картой и, таким образом, может перехватывать или перенаправлять сетевой трафик. В частности, отвечая на DHCP запрос адресом DNS сервера злоумышленника и не предоставляя шлюза по умолчанию, злоумышленник может перенаправить трафик жертвы: компьютер жертвы будет производить разрешение адреса через DNS сервер злоумышленника, но, в отсутствие шлюза по умолчанию, будет использовать другой, настоящий сетевой интерфейс.
Boot Injection
Устройство с достаточным местом для хранения вредоносного кода, например, флеш-накопитель, может определить момент включения компьютера и в момент определения BIOS’ом выдать на загрузку вирус для заражения операционной системы. Это становится возможным благодаря тому, что по поведению хоста при общении с USB микроконтроллером возможно определить ОС хоста, в частности Windows, Linux, MacOSX, а также BIOS.
Выход из виртуального окружения
Атака использует возможность повторной инициализации устройства. Выполняясь в виртуальной машине, вирус заражает любое подключенное по USB устройство. Зараженная прошивка выполняет переинициализацию и представляется двумя независимыми устройствами: неким новым и тем, которое уже было подключено к виртуальной машине. Новое устройство будет автоматически подключено к хостовой ОС, а старое — обратно в виртуальную машину. Таким образом, может быть произведен выход за пределы виртуального окружения, то есть осуществлен переход от клиентской до хостовой ОС.
Противодействие
В рамках доклада «BadUSB — On Accessories that Turn Evil» было предложено несколько способов защиты от BadUSB, однако, по словам исследователей, полноценная интеграция защиты займет продолжительное время.
Одним из возможных способов противостояния является подпись прошивки производителем оборудования и соответствующая проверка на стороне хоста перед использованием устройства, что не предусмотрено текущей спецификацией USB. Другим решением проблемы может стать блокировка возможности перепрошивки устройств самим производителем.
Марк Шаттлворт, основатель Canonical Ltd., также высказывался по вопросу безопасности USB устройств и как решение проблемы предлагал полностью открыть исходный код прошивок.
Несмотря на то, что ряд средств комплексной антивирусной защиты, такие как ESET Endpoint Antivirus, Kaspersky Endpoint Security, компонент «Родительский контроль» у Dr.Web AV-Desk, позволяют ограничивать доступ к сменным носителям и разрешать активацию согласно «белому списку», в случае с Bad USB, таких мер недостаточно. Пользователь сам может разрешить подключение опасного устройства, ошибочно посчитав его безопасным. По утверждению корреспондента «Компьютерры» Андрея Василькова, разработчики антивирусных решений будут вынуждены в будущем добавить «отдельные модули для более гибкого дополнительного контроля над подключаемыми по USB устройствами».
Защита от атак BadUSB появилась в Kaspersky Endpoint Security 10, в обновлении от 7 декабря 2015 года.
Некоторые виды атак
Имитация клавиатуры
Устройство представляется компьютеру жертвы клавиатурой, а по истечении некоторого времени начинает отправлять последовательности нажатий клавиш. В результате злоумышленник может выполнить на компьютере жертвы любые действия, доступные авторизованному пользователю с помощью одной только клавиатуры. К примеру, злоумышленник может загрузить из интернета и запустить вредоносное ПО.
Существенным минусом данного вида атак является отсутствие доступа к информации на экране и, как следствие, отсутствие обратной связи на любые действия со стороны зараженного устройства. Например, злоумышленник не может определить как текущую раскладку клавиатуры, так и произведен ли вход в систему.
Имитация сетевой карты
Устройство представляется компьютеру жертвы сетевой картой и, таким образом, может перехватывать или перенаправлять сетевой трафик. В частности, отвечая на DHCP запрос адресом DNS сервера злоумышленника и не предоставляя шлюза по умолчанию, злоумышленник может перенаправить трафик жертвы: компьютер жертвы будет производить разрешение адреса через DNS сервер злоумышленника, но, в отсутствие шлюза по умолчанию, будет использовать другой, настоящий сетевой интерфейс.
Boot Injection
Устройство с достаточным местом для хранения вредоносного кода, например, флеш-накопитель, может определить момент включения компьютера и в момент определения BIOS’ом выдать на загрузку вирус для заражения операционной системы. Это становится возможным благодаря тому, что по поведению хоста при общении с USB микроконтроллером возможно определить ОС хоста, в частности Windows, Linux, MacOSX, а также BIOS.
Распространенные сообщения об ошибке
Как и большинство приложений Windows, Acrobat и Reader используют технологию установщика Microsoft Windows для установки обновлений. Если во время обновления произошел сбой, может быть отображено одно из следующих сообщений об ошибке установщика Microsoft. Это не полный список. Компания Adobe обновляет список, по мере обнаружения решений для распространенных ошибок. Если ошибки нет в списке, можно проверить сообщения об ошибке установщика Windows на сайте Microsoft.
Попробуйте использовать средство устранения неполадок Microsoft Troubleshooter | Windows 10, Windows 8/8.1/7.
Отказ от ответственности:
Adobe не поддерживает стороннее программное обеспечение и предоставляет эту информацию исключительно в качестве совета.
Если проблема не устранена после использования средства устранения неполадок, см. раздел Ошибка 1606 | Установка | Acrobat 8, 9 | CS4.
Источник установки для этого продукта не доступен.Убедитесь, что источник существует и доступен.
Не удалось открыть этот пакет исправлений. Убедитесь, что пакет исправлений существует и доступен. Или свяжитесь с поставщиком приложения, чтобы убедиться, что это действительный пакет исправлений для установщика Windows.
Отказ от ответственности:
Adobe не поддерживает стороннее программное обеспечение и предоставляет эту информацию исключительно в качестве совета.
Если ошибка по-прежнему возникает, используйте Adobe Reader и инструмент Acrobat Cleaner, чтобы удалить следы предыдущей установки, а затем переустановите Adobe Acrobat Reader или Adobe Acrobat.
Данная ошибка указывает на то, что ваша установка Acrobat или Reader была изменена с помощью файла Transforms (.MST). Возможно, файл .MST отсутствует в исходном расположении или поврежден.
Эта ошибка также может возникнуть при загрузке и обновлении с помощью Adobe Application Manager. Ошибку можно обойти, если загрузить обновление отдельно от установки. Другими словами, необходимо сохранить файл обновления локально (на компьютере), а запустить его отдельно.
Чтобы загрузить и установить обновление, найдите новейшую версию Acrobat или Reader по адресу:
Выберите «Продолжить для загрузки»
и«Загрузить сейчас» , а затем выберите«Сохранить» или«Сохранить как» для сохранения файла на компьютер. После загрузки найдите файл исправления на компьютере и дважды щелкните на файле для запуска обновления.
В операционной системе Windows имена файлов имеют расширение . MSP и именуются для каждого продукта и обновления, например AcrobatUpd11009. msp , AcrobatUpd1014.msp или AdbeRdrUpd11007.msp.
Отказ от ответственности:
Adobe не поддерживает стороннее программное обеспечение и предоставляет эту информацию исключительно в качестве совета.
Если ошибка по-прежнему возникает, используйте Adobe Reader и инструмент Acrobat Cleaner, чтобы удалить следы предыдущей установки, а затем переустановите Adobe Acrobat Reader или Adobe Acrobat.
Попробуйте использовать мастер диагностики Microsoft Fix it, доступный по адресу https://support.microsoft.com/kb/971187.Мастер обновляет реестр Windows, чтобы дать возможность удалить обычным способом предыдущие версии программы и установить или обновить текущую версию.
Отказ от ответственности:
Adobe не поддерживает стороннее программное обеспечение и предоставляет эту информацию исключительно в качестве совета.
Если вы не можете удалить, установить или обновить программу после применения мастера диагностики Fix it, см. решения в разделе Ошибка 1714 | Acrobat, Reader.
Остановите службу поиска Windows с помощью диспетчера задач Windows:
- Щелкните правой кнопкой мыши на панели задач и выберитеДиспетчер задач .
- На вкладке «Службы» щелкните правой кнопкой мыши поиск Windows , а затем выберитеОстановить .
Утилита HP USB Disk Storage Format Tool (качается с softpedia.com) – простая утилита для форматирования и создания загрузочных USB Flash накопителей, которая позволяет корректно обновить и исключить битые и проблемные секторы, и обойти другие ошибки. Несмотря на то, что изначально утилита разрабатывалась для нужд HP (HP Drive Key и DiskOnKey USB), она одинаково хорошо работает с USB/SD накопителями любых производителей. В большинстве она позволяет отформатировать накопители, которые не удается отформатировать стандартными средствами Windows.
Утилита USB Disk Storage Format Tool бесплатна и не требует установки. Достаточно запустить ее с правами администратора, выбрать USB/SD накопитель, нужную файловую системы и запустить форматирование (Не нужно включать опцию Quick Format!).
Реализация Bad USB с использованием серийно выпускаемых устройств
Особо подчеркну, что Bad USB – это не какая-то недавно открытая
проблема на уровне самого интерфейса. Речь идёт лишь о том, что
благодаря работе нескольких гиков пользователю без соответствующей
квалификации стало значительно проще вмешаться в работу контроллеров
некоторых устройств, допускающих обновление прошивки без использования
специализированной техники.
Если раньше желающие подсунуть под видом флэшки виртуальную
клавиатуру или сетевой контроллер использовали штучные экземпляры таких
устройств, то сейчас их можно штамповать в домашних условиях.
Малоизвестные методы, которые были прерогативой спецслужб и продвинутых
хакерских групп, стали более доступны – только и всего.
В самой возможности сделать это мне трудно усмотреть что-то
негативное. Часть пользователей получит более глубокие представления о
работе современных устройств и ещё один стимул быть осторожнее. Просто
теперь флэшку нельзя считать безопасной, даже если её дисковый раздел
совершенно чист.
Опубликовано:
7.11.2014
Вернуться на главную страницу …
|
|
Автоматическое создание текстового документа с ASCII-графикой с помощью BadUSB (изображение: DerbyCon 4.0)
Вероятность успеха такой сложной тактики в неизвестном системном
окружении считается низкой, однако она ненулевая. Действительно, для
слепой атаки этот метод подходит мало: трудно предугадать конфигурацию
компьютера, к которому подключат хакнутую флэшку, и перечень незакрытых
на нём уязвимостей. Скорее, метод упрощает проведение целенаправленной
атаки на компьютер конкретного пользователя, чьи данные требуется
получить или от чьего имени совершить какую-то операцию.
Сходным образом реализована
атака Bad USB группой Offensive Security в специализированном
дистрибутиве Kali Linux NetHunter (https://www.kali.org/kali-linux-nethunter/). Это дальнейшее развитие проекта
BackTrack, предназначенного для выполнения тестов на проникновение с
использованием мобильных устройств. Его можно установить на современные
смартфоны и планшеты серии Nexus. Поддерживаются Asus Nexus 7 (версии
2012 и 2013 года), Samsung Nexus 10 и LG Nexus 5. Любой из этих гаджетов
NetHunter превращает в мощный инструмент для выполнения аудита
безопасности.
Противодействие
В рамках доклада «BadUSB — On Accessories that Turn Evil» было предложено несколько способов защиты от BadUSB, однако, по словам исследователей, полноценная интеграция защиты займет продолжительное время.
Одним из возможных способов противостояния является подпись прошивки производителем оборудования и соответствующая проверка на стороне хоста перед использованием устройства, что не предусмотрено текущей спецификацией USB. Другим решением проблемы может стать блокировка возможности перепрошивки устройств самим производителем.
Марк Шаттлворт, основатель Canonical Ltd., также высказывался по вопросу безопасности USB устройств и как решение проблемы предлагал полностью открыть исходный код прошивок.
Несмотря на то, что ряд средств комплексной антивирусной защиты, такие как ESET Endpoint Antivirus, Kaspersky Endpoint Security, компонент «Родительский контроль» у Dr.Web AV-Desk, позволяют ограничивать доступ к сменным носителям и разрешать активацию согласно «белому списку», в случае с Bad USB, таких мер недостаточно. Пользователь сам может разрешить подключение опасного устройства, ошибочно посчитав его безопасным. По утверждению корреспондента «Компьютерры» Андрея Василькова, разработчики антивирусных решений будут вынуждены в будущем добавить «отдельные модули для более гибкого дополнительного контроля над подключаемыми по USB устройствами».
Защита от атак BadUSB появилась в Kaspersky Endpoint Security 10, в обновлении от 7 декабря 2015 года.
Защитные решения Dr.Web с 11-й версии защищают от BadUSB-уязвимости для устройств, имитирующих клавиатуру.
На самом деле такая функция в Windows существует уже давно
Работа фунции по умолчанию зависит от сборки Windows. Для внешних накопителей, подключаемых через USB или Thunderbolt, в Windows реализованы две основные политики: «Быстрое удаление» и «Оптимальная производительность». В Windows 10 версии 1809 по умолчанию установлена первая. Ранее же операционная система делала упор на лучшую производительность устройства.
В соответствии с потребностями любой пользователь может изменить параметры политик для своих устройств хранения. Доступно два варианта со следующими характерными особенностями:
Быстрое удаление. Эта политика управляет обменом данными с внешними накопителями таким образом, чтобы их можно удалить из системы в любой момент. Таким образом, можно просто вытащить флешку из USB порта без процедуры «Безопасное извлечение». Но для реализации такой политики Windows отказалась от кэширования операций записи на диск. Скорость обмена данными из-за этого ухудшилась.
Оптимальная производительность. За счет применения такой политики работа с накопителем ведется таким способом, чтобы максимально повысить производительность обмена данных. После применения политики Windows начинает кэшировать операции записи при работе с флешкой. Но для извлечения устройства из компьютера придется использовать процедуру «Безопасное извлечение». Она позволит защитить данные на устройстве и обеспечивает завершение всех запланированных операций.
ПО ТЕМЕ: Как ускорить Windows 10, 8 или 7, отключив ненужные службы операционной системы.
Универсальный контроллер Phison 2251-03
Такой двухканальный контроллер USB 3.0 со встроенным восьмиразрядным
микропроцессором архитектуры Intel 8051 встречается во многих съёмных
носителях. Для демонстрации авторами был выбран сменный носитель Patriot
Supersonic Xpress ёмкостью 8 ГБ.
Изначально Phison 2303 поддерживает создание нескольких дисковых
разделов. Он может ограничивать доступ к одному из них паролем, скрывая
присутствие других логических дисков. Последнее обстоятельство
используется в некоторых вариантах атаки Bad USB. Во-первых, на скрытом
разделе удобно хранить «боевую нагрузку». Во-вторых, так можно подсунуть
«сейф без задней стенки»: пользователь будет продолжать считать скрытый
раздел своего USB-Flash носителя защищённым, в то время как контроллер с
изменённой прошивкой откроет его при вводе любого пароля.
Также Phison 2303 позволяет изменять идентификаторы производителя,
продукта и серийный номер, что удобно для имитации других устройств.
Однако этот контроллер был выбран прежде всего потому, что его прошивку
можно обновлять непосредственно по USB и безо всякой проверки
подлинности. Соответственно, её можно заменить не просто на новую
официальную версию, а записать вместо неё свою, содержащую любые
изменения и дополнительный функционал.
Как работает BadUSB
О BadUSB мы рассказывали много раз. Как вы знаете, данный тип атаки позволяет за маленький промежуток времени выполнить действия на целевом компьютере.
Происходит это так: в разъем USB вставляется заранее подготовленная флешка или обычный кабель USB со встроенным микроконтроллером и с специальной прошивкой. Эти устройства определяются операционной системой как HID (Human Interface Device), например как обычная клавиатура. После этого по заранее написанному сценарию эмулируется ввод команд, как если бы их вводил обычный живой человек, сидящий за компом.
Это удобно если вы пентестер. Плюсы подобных хакерских девайсов очевидны.
- Не нужно садиться за комп и этим привлекать к себе внимание и вызывать подозрение. Достаточно просто вставить в компьютер обычную флешку или кабель.
- Скорость автоматического ввода команд с помощью хакерской флешки BadUSB намного выше, чем скорость ввода команд человеком.
Атака с автоматическим вводом текста посредством USB-флешки появилась раньше, чем сам термин BadUSB. В далеком 2010 году хакеры Hak5 представили небольшой гаджет в ввиде флешки — Rubber Ducky (резиновый утенок). Кстати, мы писали, как сделать Rubber Ducky своими руками.
Широко известный в узких кругах девайс Rubber Ducky
Это было специальное устройство, которое напрямую никак не связано с темой BadUSB. Создатели Rubber Ducky создали специальный скриптовый язык, на котором можно было писать сценарии. Позже был создан создан сайт, на котором пользователи делились своими скриптами.
Ресурс, на который пользователи выкладывали собственные скрипты
Говоря о BadUSB невозможно не упомянуть Bash Bunny. Это неплохая альтернатива Rubber Ducky. Это более улучшенный вариант девайса для HID-атак. Помимо клавиатуры, он способен эмулировать различные устройства.
О других хакерских гаджетах, которые можно купить, вы можете прочитать в статье «Лучшие хакерские девайсы».
Как правило, применение Rubber Ducky и самодельных BadUSB сводится к получению удаленного доступа или получению паролей из системы. Школьниками используется избитая схема: залить на файлопомойку вредонос и запрограммировать BadUSB на его скачивание и выполнение.
В моем случае знакомство с BadUSB произошло при других обстоятельствах. Когда-то я установил на телефон Kali NetHunter. Среди богатого функционала NetHunter в ней также есть возможность выпопнять скрипты при подключении телефона к компу. Все это хорошо, но вариант с заливкой файлов куда‑то вовне мне не нравится, и я попробал усовершенствовать алгоритм атаки.
Вся информация предоставлена исключительно в ознакомительных целях. Не автор статьи не редакция сайта spy-soft.net не несут ответственности за любой возможный вред, причиненный с использованием материалами из данной статьи. Устройства приведенные в этой статье предназначены для атак, ответственность за их использование несете только вы! Не забывайте, что применение этих знаний во вред карается по закону.