Эта статья входит в число добротных статей

BadUSB (BadUSB)

Перейти к навигации Перейти к поиску

BadUSB — класс хакерских атак, основанный на уязвимости USB устройств. Благодаря отсутствию защиты от перепрошивки в некоторых USB-устройствах, злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство. BadUSB предназначен для доставки и исполнения вредоносного кода[1].

USB устройства несут в себе микроконтроллер, отвечающий за общение с хостом по интерфейсу USB. В процессе инициализации микроконтроллер сообщает хосту, наряду с другой служебной информацией, классы, к которым принадлежит устройство. Хост загружает нужный драйвер и работает с устройством исходя из его класса и этих данных. Одно физическое устройство может реализовывать несколько классов и для хоста являться несколькими отдельными устройствами: веб-камеры реализуют одновременно класс видео и класс аудио устройств[2].

BadUSB пользуется тем фактом, что производители не защищают свои устройства от перепрошивки, а хосты не проверяют USB устройства на подлинность. Благодаря этому злоумышленник может подменить прошивку микроконтроллера и выдать одно устройство за другое. Также, так как все коммуникации ведутся через этот микроконтроллер, злоумышленник может перехватывать и подменять любые данные и команды между устройством и хостом[3]. Возможно и автоматическое заражение устройств: устройство заражает хост, запуская на нём вредоносное ПО, затем хост автоматически заражает все подключенные к нему USB устройства[3].

Каждый контроллер уникален, и для каждого необходимо разрабатывать зараженную прошивку или патч отдельно. Невозможно написать универсальное программное обеспечение и использовать его на любом микроконтроллере. Процедура прошивки различается от одного контроллера к другому. Все это значительно уменьшает вероятность эпидемии BadUSB, однако не защищает от целенаправленной атаки[3].

Понятие BadUSB было введено в августе 2014 года на конференции BlackHat USA 2014 исследователями организации Security Research Labs Карстеном Нолом (англ. Karsten Nohl) и Джейкобом Леллом (англ. Jakob Lell), которые выступили с докладом «BadUSB — On Accessories that Turn Evil». Они провели реинженеринг USB контроллера Phison 2251-03 (2303) и разработали прошивки для некоторых видов атак. Прошивка контроллера осуществлялась приложением DriveCom. Была продемонстрирована атака с помощью имитации клавиатуры, сетевой карты, атака на защиту флеш-накопителей и сокрытие раздела флеш-накопителя. Также были рассмотрены некоторые способы защиты от атак BadUSB[1][3].

5 августа 2014 года был опубликован эксплойт BadAndroid, превращающий телефон на базе Android в сниффер сетевого трафика[4].

26 сентября 2014 года был опубликован исходный код прошивки и патчей для контроллера Phison 2251-03, включая атаку имитацией клавиатуры, атаку на пароль накопителя и скрытие раздела накопителя[5].

Область уязвимости

[править | править код]

Уязвимости подвержены все устройства с незащищенными USB контроллерами на борту: флеш-накопители, вебкамеры, мышки, клавиатуры, андроид-устройства. BadUSB не требует особого программного обеспечения на компьютере жертвы и работает под любыми операционными системами, поддерживающими USB-HID устройства[3][6].

Необходимость трудоемкого реверс-инжиниринга каждого USB-устройства ограничивает этот класс атак заказными атаками на конкретные устройства в рамках черных пиар-технологий либо атаками против конкретной жертвы, пользующейся определенными устройствами.

Некоторые виды атак

[править | править код]

Имитация клавиатуры

[править | править код]

Устройство представляется компьютеру жертвы клавиатурой, а по истечении некоторого времени начинает отправлять последовательности нажатий клавиш. В результате злоумышленник может выполнить на компьютере жертвы любые действия, доступные авторизованному пользователю с помощью одной только клавиатуры. К примеру, злоумышленник может загрузить из интернета и запустить вредоносное ПО[3].

Существенным минусом данного вида атак является отсутствие доступа к информации на экране и, как следствие, отсутствие обратной связи на любые действия со стороны зараженного устройства. Например, злоумышленник не может определить как текущую раскладку клавиатуры, так и произведен ли вход в систему[3].

Имитация сетевой карты

[править | править код]

Устройство представляется компьютеру жертвы сетевой картой и, таким образом, может перехватывать или перенаправлять сетевой трафик. В частности, отвечая на DHCP запрос адресом DNS сервера злоумышленника и не предоставляя шлюза по умолчанию, злоумышленник может перенаправить трафик жертвы: компьютер жертвы будет производить разрешение адреса через DNS сервер злоумышленника, но, в отсутствие шлюза по умолчанию, будет использовать другой, настоящий сетевой интерфейс[3].

Устройство с достаточным местом для хранения вредоносного кода, например, флеш-накопитель, может определить момент включения компьютера и в момент определения BIOS’ом выдать на загрузку вирус для заражения операционной системы. Это становится возможным благодаря тому, что по поведению хоста при общении с USB микроконтроллером возможно определить ОС хоста, в частности Windows, Linux, MacOSX, а также BIOS[7].

Выход из виртуального окружения

[править | править код]

Атака использует возможность повторной инициализации устройства[2]. Выполняясь в виртуальной машине, вирус заражает любое подключенное по USB устройство. Зараженная прошивка выполняет переинициализацию и представляется двумя независимыми устройствами: неким новым и тем, которое уже было подключено к виртуальной машине. Новое устройство будет автоматически подключено к хостовой ОС, а старое — обратно в виртуальную машину. Таким образом, может быть произведен выход за пределы виртуального окружения, то есть осуществлен переход от клиентской до хостовой ОС[7].

Противодействие

[править | править код]

В рамках доклада «BadUSB — On Accessories that Turn Evil» было предложено несколько способов защиты от BadUSB, однако, по словам исследователей, полноценная интеграция защиты займет продолжительное время[3][7].

Одним из возможных способов противостояния является подпись прошивки производителем оборудования и соответствующая проверка на стороне хоста перед использованием устройства, что не предусмотрено текущей спецификацией USB. Другим решением проблемы может стать блокировка возможности перепрошивки устройств самим производителем[2][6].

Марк Шаттлворт, основатель Canonical Ltd., также высказывался по вопросу безопасности USB устройств и как решение проблемы предлагал полностью открыть исходный код прошивок[8].

Несмотря на то, что ряд средств комплексной антивирусной защиты, такие как ESET Endpoint Antivirus, Kaspersky Endpoint Security, компонент «Родительский контроль» у Dr.Web AV-Desk, позволяют ограничивать доступ к сменным носителям и разрешать активацию согласно «белому списку», в случае с Bad USB, таких мер недостаточно. Пользователь сам может разрешить подключение опасного устройства, ошибочно посчитав его безопасным. По утверждению корреспондента «Компьютерры» Андрея Василькова, разработчики антивирусных решений будут вынуждены в будущем добавить «отдельные модули для более гибкого дополнительного контроля над подключаемыми по USB устройствами»[9].

Защита от атак BadUSB появилась в Kaspersky Endpoint Security 10, в обновлении от 7 декабря 2015 года[10].

Защитные решения Dr.Web с 11-й версии защищают от BadUSB-уязвимости для устройств, имитирующих клавиатуру[11].

Примечания

[править | править код]
  1. 1 2 Брифинг BlackHat USA (англ.) (2014). Дата обращения: 10 декабря 2014. Архивировано 8 августа 2014 года.
  2. 1 2 3 Спецификация USB (англ.). Дата обращения: 10 декабря 2014. Архивировано 1 июня 2012 года.
  3. 1 2 3 4 5 6 7 8 9 Andy Greenberg. Why the Security of USB Is Fundamentally Broken (англ.) // wired.com. — 2014. Архивировано 3 августа 2014 года.
  4. BadUSB на Security Research Lab. Дата обращения: 10 декабря 2014. Архивировано из оригинала 18 апреля 2016 года.
  5. Andy Greenberg. The Unpatchable Malware That Infects USBs Is Now on the Loose (англ.) // wired.com. — 2014. Архивировано 7 октября 2014 года.
  6. 1 2 Andy Greenberg. Only Half of USB Devices Have an Unpatchable Flaw, But No One Knows Which Half (англ.) // wired.com. — 2014. Архивировано 20 июля 2017 года.
  7. 1 2 3 Слайды доклада BadUSB (август 2014). Дата обращения: 10 декабря 2014. Архивировано из оригинала 8 августа 2014 года.
  8. Linux Magazine issue 162, May 2014, page 9.
  9. Андрей Васильков. Bad USB — как новая атака реализована в разных устройствах. Компьютерра (6 октября 2014). Дата обращения: 27 декабря 2014. Архивировано 18 декабря 2014 года.
  10. Kaspersky Endpoint Security 10 для Windows: Service Pack 1 Maintenance Release 2 (версия 10.2.4.674). support.kaspersky.ru. Дата обращения: 17 июля 2017. Архивировано 15 июля 2017 года.
  11. Обновление компонентов в продуктах Dr.Web 11.0. news.drweb.ru. Дата обращения: 26 мая 2016. Архивировано 1 июня 2016 года.
  • BadUSB Sources (англ.). — опубликованный исходный код некоторых уязвимостей, продемонстрированных в докладе «BadUSB - On Accessories that Turn Evil».