BadUSB

A BadUSB a hackertámadások  egy osztálya , amely az USB-eszközök sebezhetőségén alapul . Segít jelszó nélkül bejelentkezni. Egyes USB-eszközök flash-védelemének hiánya miatt a támadók módosíthatják vagy teljesen lecserélhetik az eredeti firmware -t , és az eszközt bármilyen más eszközt utánozhatják. A BadUSB rosszindulatú kódok szállítására és végrehajtására szolgál [1] .

Leírás

Az USB-eszközökön egy mikrokontroller található, amely az USB interfészen keresztül kommunikál a gazdagéppel . Az inicializálási folyamat során a mikrokontroller más szolgáltatási információkkal együtt közli a gazdagéppel, hogy az eszköz mely osztályokhoz tartozik. A gazdagép betölti a szükséges illesztőprogramot, és az osztálya és ezen adatok alapján dolgozik az eszközzel. Egy fizikai eszköz több osztályt is megvalósíthat, és több különálló eszköz is lehet a gazdagép számára: a webkamerák megvalósítanak egy videó- ​​és egy audioeszköz-osztályt is [2] .

A BadUSB kihasználja, hogy a gyártók nem védik eszközeiket a villogástól, a gazdagépek pedig nem ellenőrzik az USB-eszközök eredetiségét. Ennek köszönhetően a támadó megváltoztathatja a mikrokontroller firmware-jét, és átadhatja az egyik eszközt a másiknak. Továbbá, mivel minden kommunikáció ezen a mikrokontrolleren keresztül zajlik, a támadó elfoghat és lecserélhet bármilyen adatot és parancsot az eszköz és a gazdagép között [3] . Az eszközök automatikus fertőzése is lehetséges: az eszköz megfertőzi a gazdagépet úgy, hogy rosszindulatú programokat futtat rajta, majd a gazdagép automatikusan megfertőzi az összes hozzá csatlakoztatott USB-eszközt [3] .

Minden vezérlő egyedi, és mindegyikhez külön kell fejleszteni egy fertőzött firmware-t vagy javítást. Nem lehet általános szoftvert írni és semmilyen mikrokontrolleren használni. A firmware-eljárás vezérlőnként eltérő. Mindez jelentősen csökkenti a BadUSB-járvány valószínűségét, de nem véd a célzott támadás ellen [3] .

Történelem

A BadUSB koncepcióját 2014 augusztusában, a BlackHat USA 2014 konferencián mutatták be a Security Research Labs kutatói , Karsten Nohl és Jakob Lell , akik „BadUSB – On Accessories that Turn Evil” című előadást tartottak . Újratervezték a Phison 2251-03 (2303) USB-vezérlőt , és firmware-t fejlesztettek bizonyos típusú támadásokhoz. A vezérlő firmware-jét a DriveCom alkalmazás végezte . Kimutatták a billentyűzet hamisítását, a hálózati kártya támadásait, a pendrive-védelmi támadásokat és a flash meghajtó partícióinak elrejtését. A BadUSB támadások elleni védekezés néhány módszerét is figyelembe vették [1] [3] .   

2014. augusztus 5-én megjelent egy BadAndroid exploit , amely egy Android telefont hálózati forgalom szippantóvá változtat [4] .

2014. szeptember 26-án közzétették a Phison 2251-03 vezérlő firmware-jének és javításainak forráskódját, beleértve a billentyűzet-hamisítást, a meghajtójelszó-támadást és a meghajtópartíció elrejtését [ 5] .

Sebezhetőségi terület

A sérülékenységek minden olyan eszközt érintenek, amelyeken nem védett USB-vezérlők találhatók: flash meghajtók , webkamerák , egerek , billentyűzetek , Android készülékek . A BadUSB nem igényel speciális szoftvert az áldozat számítógépén, és minden olyan operációs rendszer alatt működik, amely támogatja az USB-HID eszközöket [3] [6] .

Az egyes USB-eszközök időigényes visszafejtésének szükségessége a támadások ezen osztályát a fekete PR-technológiák részeként meghatározott eszközök elleni egyedi támadásokra korlátozza, vagy egy adott áldozat ellen meghatározott eszközöket használó támadásokra.

Bizonyos típusú támadások

Billentyűzet szimuláció

Az eszköz billentyűzetként jelenik meg az áldozat számítógépe előtt, és egy idő után elkezdi küldeni a billentyűleütések sorozatát. Ennek eredményeként a támadó bármilyen műveletet végrehajthat az áldozat számítógépén, amely csak a billentyűzet használatával érhető el a jogosult felhasználó számára. Például egy támadó letölthet és futtathat rosszindulatú programokat az internetről [3] .

Az ilyen típusú támadások jelentős hátránya a képernyőn megjelenő információkhoz való hozzáférés hiánya, és ennek eredményeként a fertőzött eszközről érkező műveletekre vonatkozó visszajelzés hiánya. Például egy támadó nem tudja meghatározni az aktuális billentyűzetkiosztást és azt, hogy a felhasználó bejelentkezett-e [3] .

Hálózati kártya utánzat

Az eszköz az áldozat számítógépe számára hálózati kártyaként jelenik meg, így képes elfogni vagy átirányítani a hálózati forgalmat. Ha egy DHCP-kérésre válaszol a támadó DNS-kiszolgálójának címével, és nem biztosít alapértelmezett átjárót, a támadó átirányíthatja az áldozat forgalmát: az áldozat számítógépe a címet a támadó DNS-kiszolgálóján keresztül oldja meg, de ennek hiányában egy alapértelmezett átjáró, egy másik, valós hálózati interfészt fog használni [3] .

Boot injekció

A rosszindulatú kódok tárolására elegendő hellyel rendelkező eszköz, például egy flash meghajtó, képes észlelni a számítógép bekapcsolásának pillanatát, és abban a pillanatban, amikor a BIOS észleli, vírust bocsát ki a betöltésre, hogy megfertőzze az operációs rendszert. Ez annak a ténynek köszönhető, hogy a gazdagép viselkedése alapján, amikor az USB-mikrokontrollerrel kommunikál, meghatározható a gazdagép operációs rendszer, különösen a Windows , Linux , MacOSX , valamint a BIOS [7] .

Kilépés a virtuális környezetből

A támadás az eszköz újrainicializálásának lehetőségét használja ki [2] . A virtuális gépen futó vírus minden USB-n keresztül csatlakoztatott eszközt megfertőz. A fertőzött firmware újrainicializálást hajt végre, és két független eszközként jelenik meg: egy új és egy, amely már csatlakozott a virtuális géphez. Az új eszköz automatikusan csatlakozik a gazdagép operációs rendszerhez, a régi eszköz pedig visszacsatlakozik a virtuális géphez. Így a virtuális környezeten kívül is megtörténhet az átállás, vagyis megtörtént az átállás a kliensről a gazdagép operációs rendszerre [7] .

Ellenzék

A "BadUSB - On Accessories that Turn Evil" című jelentés számos módot javasolt a BadUSB elleni védelemre, azonban a kutatók szerint a védelem teljes integrálása sokáig tart [3] [7] .

Az egyik lehetséges ellenintézkedés az, hogy a hardver gyártója aláírja a firmware-t, és az eszköz használata előtt érvényesíti azt a gazdagép oldalon, amit a jelenlegi USB-specifikáció nem támogat. A probléma másik megoldása lehet, ha a gyártó blokkolja az eszközök villogásának lehetőségét [2] [6] .

Mark Shuttleworth , a Canonical Ltd. alapítója . , az USB-eszközök biztonságának kérdéséről is beszélt, és a probléma megoldásaként javasolta a firmware forráskódjának teljes megnyitását [8] .

Annak ellenére, hogy számos átfogó vírusvédelmi eszköz, mint például az ESET Endpoint Antivirus , a Kaspersky Endpoint Security , a Dr.Web AV-Desk szülői felügyeleti összetevője , lehetővé teszi a cserélhető adathordozókhoz való hozzáférés korlátozását és az aktiválást a "fehér lista", a Rossz USB esetén az ilyen intézkedések nem elegendőek. A felhasználó maga is engedélyezheti egy veszélyes eszköz csatlakoztatását, tévesen biztonságosnak tekintve. Andrey Vasilkov, a Computerra tudósítója szerint a vírusvédelmi megoldások fejlesztőinek a jövőben "külön modulokat kell hozzáadniuk az USB-csatlakozású eszközök rugalmasabb további vezérléséhez" [9] .

A BadUSB támadás elleni védelem megjelent a Kaspersky Endpoint Security 10-ben, egy 2015. december 7-i frissítésben [10] .

A Dr.Web biztonsági megoldásai a 11-es verzió óta védenek a billentyűzetet imitáló eszközök BadUSB-sebezhetősége ellen [11] .

Jegyzetek

1. ↑ 1 2 BlackHat USA Briefing  ( 2014). Letöltve: 2014. december 10. Az eredetiből archiválva : 2014. augusztus 8..
2. ↑ 1 2 3 USB specifikáció  . Letöltve: 2014. december 10. Az eredetiből archiválva : 2012. június 1..
3. ↑ 1 2 3 4 5 6 7 8 9 Andy Greenberg. Miért törik meg az USB biztonsága alapvetően   // wired.com . - 2014. Archiválva : 2014. augusztus 3.
4. ↑ BadUSB a Security Research Lab-ban (hivatkozás nem érhető el) . Letöltve: 2014. december 10. Az eredetiből archiválva : 2016. április 18.. (határozatlan) 
5. ↑ Andy Greenberg. Az USB-ket megfertőző, javíthatatlan rosszindulatú program szabadon van   // wired.com . - 2014. Archiválva : 2014. október 7.
6. ↑ 12 Andy Greenberg . Csak az USB-eszközök felének van javíthatatlan hibája, de senki sem tudja, melyik fele  // wired.com . - 2014. Archiválva : 2017. július 20.  
7. ↑ 1 2 3 BadUSB jelentésdiák (elérhetetlen link) (2014. augusztus). Letöltve: 2014. december 10. Az eredetiből archiválva : 2014. augusztus 8.. (határozatlan) 
8. ↑ Linux Magazine, 162. szám, 2014. május, 9. oldal.
9. ↑ Andrej Vaszilkov. Rossz USB – hogyan valósul meg egy új támadás a különböző eszközökön . Computerra (2014. október 6.). Hozzáférés dátuma: 2014. december 27. Az eredetiből archiválva : 2014. december 18. (határozatlan)
10. ↑ Kaspersky Endpoint Security 10 for Windows: Service Pack 1 Maintenance Release 2 (verzió 10.2.4.674) . support.kaspersky.com. Letöltve: 2017. július 17. Az eredetiből archiválva : 2017. július 15. (határozatlan)
11. ↑ A Dr.Web 11.0 termékek összetevőinek frissítése . news.drweb.ru. Letöltve: 2016. május 26. Az eredetiből archiválva : 2016. június 1. (határozatlan)

Linkek

• Biztonsági kutatólaboratóriumok:  BadUSB . - a BadUSB rövid leírása a Security Research Labs-nál.

• BlackHat USA 2014: BadUSB - On Accessories that Turn  Evil . - videó a „BadUSB – On Accessories that Turn Evil” című jelentésről a BlackHat USA 2014 konferencián.

• Biztonsági kutatólaboratóriumok: BadUSB Slides  (angol)  (hivatkozás nem érhető el) . - diák a "BadUSB - On Accessories that Turn Evil" című jelentésből a BlackHat USA 2014 konferencián. Archivált : 2014. augusztus 8.

•  BadUSB források . - közzétett forráskódot néhány, a „BadUSB – On Accessories that Turn Evil” jelentésben bemutatott sebezhetőséghez.