БЮЛЕТИНИ
Бюлетин за киберсигурност - Ноември 2019
Card image cap

Въведение

В предния бюлетин, при разглеждане на USB Drop атаките с използване на USB Flash памети, бяха описани три основни типа USB Drop атаки: 
•    Заразяване със зловреден код директно от USB флаш паметта; 
•    Социално инженерство; 
•    HID (Human Interface Device) измама 

В този брой ще разгледаме разновидности на използване на HID (Human Interface Device) измама – USBHarpoon атака. Тя се провежда с използване на USB кабел, който на пръв поглед е безобиден и използването му не предполага да се разглежда като начална точка на вектор на атака. 

Определение за BadUSB атака

BadUSB атаката използва уязвимост в защитата на USB портовете на компютрите, която позволява на хакерите да измамят операционната система на компютъра и да я накара да възприема обикновено USB устройство като клавиатура. След това, тази псевдо клавиатура се използва за въвеждане на злонамерени команди в компютъра жертва. Тази атака може да се разглежда като HID (Human Interface Device) измама. 
Устройствата, които се използват за провеждане на такива атаки са 
•    USB флаш памети; 
•    USB хъбове; 
•    USB адаптери за SD карти; 
•    USB SATA адаптери; 
•    USB WEB камери; 
•    Устройства използващи USB връзка за обмен на данни; 
Демонстрация на успешна BadUSB атака за първи път е направена на конференцията по компютърна сигурност – Black Hat USA 2014 от Карстен Нол и Якоб Лел.

USBHarpoon атака 

USBHarpoon атаката е разновидност на BadUSB атака. За тази атака се използва чип вграден в USB кабел за пренос на данни или зареждане на мобилни устройства. Кабелът е с модифициран конектор, който позволява да бъде използван едновременно за зареждане и за предаване на данни. Достатъчно е жертвата да включи мобилният си телефон или някакво друго устройство да се зарежда от USB порта на компютъра му, за да се инициализира атаката. 

За започване на атаката, потребителя може да разбере, ако наблюдава екрана на компютъра си. По време на атаката ще се отвори PowerShell или Command Prompt прозорец, в който ще се изпише и стартира зловреден скрипт. За стартиране на скрипта може да се използва и конзолата на системното приложение Run. Този процес трае между 3 и 4 секунди и може да не бъде забелязан от жертвата. 
Зад проекта USBHarpoon стоят Олаф Тан и Денис Гох от изследователската група RFID Винсет Йю от SYON Security и Кевин Митник. За първи път атаката е демонстрирана on-line от тях в началото на 2018 г. Връзка към видеоклип с атаката.

Една година по-късно тази атака е все още актуална, като вече има и няколко разновидности: 
•    Вграждане в кабела на WiFi модул, чрез който да бъде управлявана атаката; 
•    Вграждане в кабела на Bluetooth модул, чрез който да бъде управлявана атаката. 
При тези разновидности началото на атаката се управлява дистанционно от мобилно устройство на хакера, което е в обхвата на лаптопа на жертвата, която използва кабела. Зловредният USB кабел може да бъде програмиран да се свързва не само с най близкия смартфон, но и със свободна WiFi мрежа или с отворена WiFi HotSpot точка за достъп. По този начин може да бъде разширен обхвата на атаката. Връзка към статията. Връзка към публикувано видео с демонстрация на атаката.

Цел на атаката

Целта на атаката е да се стартира зловреден скрипт на компютъра, който да изтегли от отдалечен сървър зловреден код и да го стартира на локалния компютър. След стартирането си, зловредният софтуер се внедрява в операционната система на компютъра. В последствие, тази маскирана програма, при всяко стартиране на компютъра, се зарежда и работи във фонов режим като събира информация за потребителски акаунти и пароли и докладва за това отдалечено на атакуващия. При възможност зловредния код се репликира и заразява и други компютри в локания сегмент на мрежата. Друг сценарий на атака е зловредния код да зарежда в браузера на жертвата фалшиви огледални сайтове със страници за автентикация на известни сайтове, с цел кражба на акаунти и пароли за тях. 

Интересен факт е, че подобен тип атака, с използване на имплементиран чип, с възможности за безжична комуникация, е разработена от National Security Agency на САЩ през 2008 г. Проектът е известен с кодово име COTTONMOUTH-1. В неговата рамка са създадени хардуерни и софтуерни компоненти, които са били предлагани на разузнавателни служби на САЩ, с цел реализиране на air-gap атаки (атаки за източване на информация от мрежи от затворен тип, които нямат връзка с публични мрежи). Информация за този проект изтича през 2014 г. Връзка към публична информация за разработката.

Как да се предпазим 

Атаки от типа USBHarpoon е много трудна да бъдат открити. Има няколко начина за превенция: 
•    Използвайте само USB кабели, които имат сертификат за качество и са на известни фирми; 
•    При закупуването на USB кабел, дори да е от доверен източник, гледайте опаковката му да не е разрушена; 
•    Много крайна мярка е забраната на всички USB портовете на компютъра, с изключение на тези използвани за клавиатура и мишка. Тя е драстична, но е 100% ефективна; 
•    Въведете политика, чрез операционната система за използване само на определени USB устройства с определени серийни номера; 
•    Бъдете бдителни, когато включвате USB кабели и USB устройства, за поява на подозрителни прозорци за изпълнение на програми или скриптов код, който не сте стартирали вие; 
•    При подозрение за провеждане на атака, веднага прекъснете връзката си с Интернет и пуснете антивирусната си програма за пълно сканиране на компютъра ви; 
•    При съмнение за заразяване, проверете програмите, които са стартирани и каква мрежова активност поддържат. Това може да извършите като от Task Manager (стартира се с комбинация на следните клавиши Ctlr+Alt+Delete и избор на Task Manager), кликнете върху Open Resource Monitor. В прозореца на Resource Monitor в таб панела Network се изобразяват програмите създаващи мрежови трафик. При съмнение за произхода на някоя програма, се обърнете към администратора, който отговаря за сигурността на компютрите ви. 

Полезни връзки

CERT България