BadUSB
BadUSB — класс хакерских атак, основанный на уязвимости USB устройств. Благодаря отсутствию защиты от перепрошивки в некоторых USB-устройствах, злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство. BadUSB предназначен для доставки и исполнения вредоносного кода[1].
Описание
USB устройства несут в себе микроконтроллер, отвечающий за общение с хостом по интерфейсу USB. В процессе инициализации микроконтроллер сообщает хосту, наряду с другой служебной информацией, классы, к которым принадлежит устройство. Хост загружает нужный драйвер и работает с устройством исходя из его класса и этих данных. Одно физическое устройство может реализовывать несколько классов и для хоста являться несколькими отдельными устройствами: веб-камеры реализуют одновременно класс видео и класс аудио устройств[2].
BadUSB пользуется тем фактом, что производители не защищают свои устройства от перепрошивки, а хосты не проверяют USB устройства на подлинность. Благодаря этому злоумышленник может подменить прошивку микроконтроллера и выдать одно устройство за другое. Также, так как все коммуникации ведутся через этот микроконтроллер, злоумышленник может перехватывать и подменять любые данные и команды между устройством и хостом[3]. Возможно и автоматическое заражение устройств: устройство заражает хост, запуская на нём вредоносное ПО, затем хост автоматически заражает все подключенные к нему USB устройства[3].
Каждый контроллер уникален, и для каждого необходимо разрабатывать зараженную прошивку или патч отдельно. Невозможно написать универсальное программное обеспечение и использовать его на любом микроконтроллере. Процедура прошивки различается от одного контроллера к другому. Все это значительно уменьшает вероятность эпидемии BadUSB, однако не защищает от целенаправленной атаки[3].
История
Понятие BadUSB было введено в августе 2014 года на конференции BlackHat USA 2014 исследователями организации Security Research Labs Карстеном Нолом (англ. Karsten Nohl) и Джейкобом Леллом (англ. Jakob Lell), которые выступили с докладом «BadUSB — On Accessories that Turn Evil». Они провели реинженеринг USB контроллера Phison 2251-03 (2303) и разработали прошивки для некоторых видов атак. Прошивка контроллера осуществлялась приложением DriveCom. Была продемонстрирована атака с помощью имитации клавиатуры, сетевой карты, атака на защиту флеш-накопителей и сокрытие раздела флеш-накопителя. Также были рассмотрены некоторые способы защиты от атак BadUSB[1][3].
5 августа 2014 года был опубликован эксплойт BadAndroid, превращающий телефон на базе Android в сниффер сетевого трафика[4].
26 сентября 2014 года был опубликован исходный код прошивки и патчей для контроллера Phison 2251-03, включая атаку имитацией клавиатуры, атаку на пароль накопителя и скрытие раздела накопителя[5].
Область уязвимости
Уязвимости подвержены все устройства с незащищенными USB контроллерами на борту: флеш-накопители, вебкамеры, мышки, клавиатуры, андроид-устройства. BadUSB не требует особого программного обеспечения на компьютере жертвы и работает под любыми операционными системами, поддерживающими USB-HID устройства[3][6].
Необходимость трудоемкого реверс-инжиниринга каждого USB-устройства ограничивает этот класс атак заказными атаками на конкретные устройства в рамках черных пиар-технологий либо атаками против конкретной жертвы, пользующейся определенными устройствами.
Некоторые виды атак
Имитация клавиатуры
Устройство представляется компьютеру жертвы клавиатурой, а по истечении некоторого времени начинает отправлять последовательности нажатий клавиш. В результате злоумышленник может выполнить на компьютере жертвы любые действия, доступные авторизованному пользователю с помощью одной только клавиатуры. К примеру, злоумышленник может загрузить из интернета и запустить вредоносное ПО[3].
Существенным минусом данного вида атак является отсутствие доступа к информации на экране и, как следствие, отсутствие обратной связи на любые действия со стороны зараженного устройства. Например, злоумышленник не может определить как текущую раскладку клавиатуры, так и произведен ли вход в систему[3].
Имитация сетевой карты
Устройство представляется компьютеру жертвы сетевой картой и, таким образом, может перехватывать или перенаправлять сетевой трафик. В частности, отвечая на DHCP запрос адресом DNS сервера злоумышленника и не предоставляя шлюза по умолчанию, злоумышленник может перенаправить трафик жертвы: компьютер жертвы будет производить разрешение адреса через DNS сервер злоумышленника, но, в отсутствие шлюза по умолчанию, будет использовать другой, настоящий сетевой интерфейс[3].
Boot Injection
Устройство с достаточным местом для хранения вредоносного кода, например, флеш-накопитель, может определить момент включения компьютера и в момент определения BIOS’ом выдать на загрузку вирус для заражения операционной системы. Это становится возможным благодаря тому, что по поведению хоста при общении с USB микроконтроллером возможно определить ОС хоста, в частности Windows, Linux, MacOSX, а также BIOS[7].
Выход из виртуального окружения
Атака использует возможность повторной инициализации устройства[2]. Выполняясь в виртуальной машине, вирус заражает любое подключенное по USB устройство. Зараженная прошивка выполняет переинициализацию и представляется двумя независимыми устройствами: неким новым и тем, которое уже было подключено к виртуальной машине. Новое устройство будет автоматически подключено к хостовой ОС, а старое — обратно в виртуальную машину. Таким образом, может быть произведен выход за пределы виртуального окружения, то есть осуществлен переход от клиентской до хостовой ОС[7].
Противодействие
В рамках доклада «BadUSB — On Accessories that Turn Evil» было предложено несколько способов защиты от BadUSB, однако, по словам исследователей, полноценная интеграция защиты займет продолжительное время[3][7].
Одним из возможных способов противостояния является подпись прошивки производителем оборудования и соответствующая проверка на стороне хоста перед использованием устройства, что не предусмотрено текущей спецификацией USB. Другим решением проблемы может стать блокировка возможности перепрошивки устройств самим производителем[2][6].
Марк Шаттлворт, основатель Canonical Ltd., также высказывался по вопросу безопасности USB устройств и как решение проблемы предлагал полностью открыть исходный код прошивок[8].
Несмотря на то, что ряд средств комплексной антивирусной защиты, такие как ESET Endpoint Antivirus, Kaspersky Endpoint Security, компонент «Родительский контроль» у Dr.Web AV-Desk, позволяют ограничивать доступ к сменным носителям и разрешать активацию согласно «белому списку», в случае с Bad USB, таких мер недостаточно. Пользователь сам может разрешить подключение опасного устройства, ошибочно посчитав его безопасным. По утверждению корреспондента «Компьютерры» Андрея Василькова, разработчики антивирусных решений будут вынуждены в будущем добавить «отдельные модули для более гибкого дополнительного контроля над подключаемыми по USB устройствами»[9].
Защита от атак BadUSB появилась в Kaspersky Endpoint Security 10, в обновлении от 7 декабря 2015 года[10].
Защитные решения Dr.Web с 11-й версии защищают от BadUSB-уязвимости для устройств, имитирующих клавиатуру[11].
Примечания
- Брифинг BlackHat USA (англ.) (2014). Дата обращения: 10 декабря 2014.
- Спецификация USB (англ.). Дата обращения: 10 декабря 2014.
- Andy Greenberg. Why the Security of USB Is Fundamentally Broken (англ.) // wired.com. — 2014.
- BadUSB на Security Research Lab . Дата обращения: 10 декабря 2014.
- Andy Greenberg. The Unpatchable Malware That Infects USBs Is Now on the Loose (англ.) // wired.com. — 2014.
- Andy Greenberg. Only Half of USB Devices Have an Unpatchable Flaw, But No One Knows Which Half (англ.) // wired.com. — 2014.
- Слайды доклада BadUSB (недоступная ссылка) (август 2014). Дата обращения: 10 декабря 2014. Архивировано 8 августа 2014 года.
- Linux Magazine issue 162, May 2014, page 9.
- Андрей Васильков. Bad USB — как новая атака реализована в разных устройствах . Компьютерра (6 октября 2014). Дата обращения: 27 декабря 2014.
- Kaspersky Endpoint Security 10 для Windows: Service Pack 1 Maintenance Release 2 (версия 10.2.4.674) . support.kaspersky.ru. Дата обращения: 17 июля 2017.
- Обновление компонентов в продуктах Dr.Web 11.0 . news.drweb.ru. Дата обращения: 26 мая 2016.
Ссылки
- Security Research Labs: BadUSB (англ.). — краткое описание BadUSB на Security Research Labs.
- BlackHat USA 2014: BadUSB - On Accessories that Turn Evil (англ.). — видео доклада «BadUSB - On Accessories that Turn Evil» на конференции BlackHat USA 2014.
- Security Research Labs: BadUSB Slides (англ.) (недоступная ссылка). — слайды доклада «BadUSB - On Accessories that Turn Evil» на конференции BlackHat USA 2014. Архивировано 8 августа 2014 года.
- BadUSB Sources (англ.). — опубликованный исходный код некоторых уязвимостей, продемонстрированных в докладе «BadUSB - On Accessories that Turn Evil».