Злий USB-накопичувач може непомітно захопити ваш ПК

Якщо ви не вимкнули автоматичне відтворення USB на своєму ПК, можливо, підключення зараженого USB-накопичувача може встановити зловмисне програмне забезпечення у вашій системі. Інженери, чиї центрифуги для очищення урану були підірвані Stuxnet, дізналися, що це важкий шлях. Однак виявляється, що автоматичне відтворення зловмисного програмного забезпечення - не єдиний спосіб USB-пристроїв можна озброїти. На конференції Black Hat 2014 двоє дослідників з берлінської SRLabs виявили методику модифікації мікросхеми контролера USB-пристрою, щоб вона могла "підробляти різні типи пристроїв для того, щоб взяти під контроль комп'ютер, уточнити дані або шпигувати за користувачем . " Це звучить якось погано, але насправді це справді, дуже жахливо.

Поверніть на Темну сторону

"Ми хакерська лабораторія, як правило, орієнтована на вбудовану безпеку", - сказала дослідниця Карстен Нолл, виступаючи перед переповненою кімнатою. "Це перший раз, коли ми розглядали комп'ютерну безпеку із вбудованим кутом. Як USB можна було переробити шкідливими способами?"

Дослідник Якоб Лелл скочив прямо на демонстрацію. Він підключив USB-накопичувач до комп'ютера Windows; це показало як драйв, так, як ви і очікували. Але через деякий час він переосмислив себе як USB-клавіатуру і видав команду, яка завантажувала троянський віддалений доступ. Це привернуло оплески!

"Ми не будемо говорити про віруси в USB-накопичувачі", - сказав Нолл. "Наша техніка працює з порожнім диском. Ви можете навіть переформатувати її. Це не вразливість Windows, яку можна виправити. Ми зосереджені на розгортанні, а не на трояні".

Управління контролером

"USB дуже популярний", - сказав Нолл. "Більшість (якщо не всі) USB-пристроїв мають мікросхему контролера. Ви ніколи не взаємодієте з мікросхемою, а також ОС це не бачить. Але цей контролер - це те, що" говорить USB "."

USB-чіп ідентифікує свій тип пристрою для комп'ютера, і він може повторити цей процес у будь-який час. Нолл зазначав, що є поважні причини, коли один пристрій представляє себе більш ніж одним, наприклад, веб-камера, яка має один драйвер для відео, а інший - приєднаний мікрофон. Істинно визначити USB-накопичувачі важко, тому що серійний номер необов’язковий і не має фіксованого формату.

Лелл пройшов точні кроки, зроблені командою для перепрограмування мікропрограмного забезпечення на певний тип USB-контролера. Якщо коротко, їм довелося перервати процес оновлення мікропрограмного забезпечення, інженерувати програмне забезпечення, а потім створити модифіковану версію мікропрограмного забезпечення, що містить їх шкідливий код. "Ми не зламали все про USB", - зазначив Нолл. "Ми реверсували дві дуже популярні мікросхеми контролера. Перший зайняв, можливо, два місяці, другий - один місяць".

Самовідтворення

Для другої демонстрації Lell вставив абсолютно новий пустий USB-накопичувач у заражений ПК із першого демонстраційного. Інфікований ПК перепрограмував прошивку порожнього USB-накопичувача, тим самим реплікувавши себе. О Боже.

Далі він підключив щойно заражений диск до ноутбука Linux, де він помітно видав команди клавіатури для завантаження шкідливого коду. Ще раз демонстрація викликала оплески глядачів.

Крадіжка паролів

"Це був другий приклад, коли один USB перегукується з іншим типом пристроїв", - сказав Нолл, - але це лише верхівка айсберга. Для наступної демонстрації ми перепрограмували USB 3-накопичувач, щоб бути типом пристрою, який важче виявити. Пильно стежте, це майже неможливо побачити ".

Дійсно, я не міг виявити мерехтіння піктограми мережі, але після підключення USB-накопичувача з'явилася нова мережа. Нолл пояснив, що накопичувач тепер емулює з'єднання Ethernet, перенаправляючи пошук DNS комп'ютера. Зокрема, якщо користувач відвідає веб-сайт PayPal, він буде непомітно переспрямований на сайт для викрадення пароля. На жаль, демони цього стверджували; це не спрацювало.

Довіряйте USB

"Давайте на хвилину обговоримо довіру, яку ми надаємо USB", - сказав Нолл. "Це популярно, тому що він простий у використанні. Обмін файлами через USB краще, ніж використання незашифрованої електронної пошти або хмарного сховища. USB завоював світ. Ми знаємо, як вірусно-сканувати USB-накопичувач. Ми ще більше довіряємо клавіатурі USB. Це дослідження руйнує цю довіру ".

"Це не просто ситуація, коли хтось дає тобі USB", - продовжив він. "Просто підключення пристрою до комп'ютера може заразити його. Для останньої демонстрації ми використаємо найпростіший USB-зловмисник, телефон Android".

"Давайте просто прикріпимо цей стандартний Android-телефон до комп'ютера, - сказав Лелл, - і подивимося, що станеться. О, раптом з'явиться додатковий мережевий пристрій. Давайте перейдемо на PayPal і увійдемо. Повідомлення про помилку немає, нічого. Але ми захопили ім’я користувача та пароль! " Цього разу гучні оплески.

"Ви виявите, що телефон Android перетворився на пристрій Ethernet?" - запитав Нолл. "Чи визначає це програмне забезпечення для контролю чи запобігання втратам даних? На наш досвід, більшість цього не робить. А більшість фокусується лише на USB-накопичувачі, а не на інших типах пристроїв."

Повернення зараження сектора завантаження

"BIOS робить інший тип перерахування USB, ніж операційна система", - сказав Нолл. "Ми можемо скористатись цим у пристрої, який імітує два накопичувачі та клавіатуру. Операційна система побачить лише один привід. Другий з'являється лише в BIOS, який завантажиться з нього, якщо налаштований так. Якщо це не так, ми можемо надіслати будь-яке натискання клавіші, можливо F12, щоб увімкнути завантаження з пристрою. "

Нолл зазначив, що код rootkit завантажується перед операційною системою і що він може заразити інші USB-накопичувачі. "Це ідеальне розгортання вірусу", - сказав він. "Він вже працює на комп'ютері, перш ніж будь-який антивірус може завантажити. Це повернення вірусу завантажувального сектора."

Що можна зробити?

Нолл зазначав, що видалити вірус, що знаходиться в мікропрограмі USB, буде надзвичайно важко. Вийміть його з USB-накопичувача, він може повторно заразитися від вашої USB-клавіатури. Навіть USB-пристрої, вбудовані у ваш ПК, можуть бути заражені.

"На жаль, не існує простого рішення. Майже всі наші ідеї щодо захисту заважатимуть корисності USB", - сказав Нолл. "Ви можете додати до списку надійних USB-пристроїв? Ну, ви могли б, якщо USB-пристрої були однозначно ідентифіковані, але вони не є."

"Ви можете повністю заблокувати USB, але це впливає на зручність використання", - продовжив він. "Ви можете заблокувати критичні типи пристроїв, але навіть дуже основні класи можна зловживати. Видаліть їх, і залишилося не так багато. Як щодо сканування шкідливих програм? На жаль, для того, щоб прочитати прошивку, ви повинні покластися на функції самої прошивки, так що шкідливе програмне забезпечення може підробити законний ".

"В інших ситуаціях продавці блокують оновлення зловмисного програмного забезпечення за допомогою цифрових підписів", - сказав Нолл. "Але безпечну криптографію важко реалізувати на невеликих контролерах. У будь-якому випадку мільярди існуючих пристроїв залишаються вразливими."

"Єдиною реальною ідеєю, яку ми придумали, було відключення оновлень прошивки на заводі", - сказав Нолл. "Останній крок, ви робите це так, щоб прошивку не можна було перепрограмувати. Ви навіть можете виправити це в програмному забезпеченні. Запишіть нове оновлення мікропрограми, яке блокує всі подальші оновлення. Ми можемо завоювати трохи сферу надійних USB-пристроїв. . "

Noll завершився, вказавши на деякі позитивні можливості для описаної тут техніки модифікації контролера. "Необхідно створити справу для людей, які грають із цим", - сказав він, - але не в надійних умовах ". Я, наприклад, ніколи не буду дивитись на будь-який USB-пристрій, як раніше.