Поиск по сайту:

BadUSB: киберугроза, которая заставляет вас подключить его

Недавняя волна кибератак с использованием USB затронула организации в США. Вредоносные USB-устройства отправляются избранным жертвам. Как только они подключены, ущерб нанесен.

Угрозы, исходящие от USB-накопителей

USB-накопители удобны, тривиально доступны и вездесущи. Это удобство достигается за счет безопасности. USB-накопители являются портативными, скрытыми и могут использоваться для извлечения конфиденциальной информации из корпоративных компьютеров и сетей. По этой причине многие организации запрещают USB-накопители на рабочем месте и используют программные средства для отключения доступа к USB. Такие меры не являются нормой. Как правило, они развернуты только в более крупных организациях. В других местах USB-накопители можно использовать бесплатно.

Кража данных — лишь одна из угроз. USB-накопители могут быть потеряны или утеряны, что приведет к раскрытию личной и конфиденциальной информации. USB-накопители обычно используются для передачи файлов и их перемещения между компьютерами. Если диск подключен к компьютеру, зараженному вредоносным ПО, USB-накопитель заражен. Затем он становится транспортным механизмом для вредоносного ПО. USB-накопители, скорее всего, будут подключены к плохо защищенным домашним компьютерам, а также к корпоративным, что повышает риск заражения.

Помимо случайного заражения вредоносным ПО, USB-накопители могут быть заражены вредоносным ПО и оставлены в качестве приманки. Самый простой способ сделать это — замаскировать вредоносную программу так, чтобы она выглядела как PDF-файл или файл документа, и надеяться, что жертва попытается открыть ее. Другие гораздо тоньше.

В январе 2022 года ФБР опубликовало заявление о новой волне кибератак с использованием USB-накопителей, получившей название BadUSB. USB-накопители были вывешены среди сотрудников транспортных, оборонных и финансовых организаций.

USB-накопители сопровождались убедительными письмами. Некоторые якобы были из Министерства здравоохранения и социальных служб США и говорили о рекомендациях по COVID-19. Другие имитировали подарочные коробки Amazon и даже включали поддельную подарочную карту. USB-накопители были модифицированы таким образом, чтобы атаковать компьютеры цели, как только они были подключены.

Приманка и ожидание

Оставлять USB-накопители на автостоянках сотрудников и в других доступных местах бизнеса — это простой способ передать вредоносные USB-накопители в руки сотрудников. Простые приемы социальной инженерии увеличивают вероятность того, что кто-то принесет его обратно на работу и вставит в свой компьютер.

Флешки подсаживаются до обеда. Таким образом, сотрудники находят их в обеденное время. Они собираются вернуться за свои рабочие места во второй половине дня. Если USB-накопители упали после обеда, сотрудник, скорее всего, найдет их в конце рабочего дня и заберет домой.

Прикрепление связки ключей к USB-накопителю меняет их обнаружение с «Я нашел USB-накопитель» на «Я нашел чьи-то ключи». Это вызывает другой набор реакций. Каждый может столкнуться с проблемой потери связки ключей. Пытаясь поступить правильно и идентифицировать владельца, человек, который их находит, скорее всего, проверит USB-накопитель в поисках подсказок.

Если они увидят документ с неотразимым заголовком, например, «Планы увольнения» или «Выкуп менеджмента», они, вероятно, попытаются его открыть. Если документ действительно является вредоносной программой или содержит вредоносную полезную нагрузку, компьютер и, следовательно, сеть заражены.

Обучение персонала по вопросам кибербезопасности должно объяснять опасность подключения неопознанных USB-накопителей. Когда меня наняли для проведения тренинга по повышению осведомленности персонала, я через несколько недель дополнил его безобидными смоделированными атаками. Это измеряет восприимчивость персонала. Это позволяет повторять учебные модули, если одна конкретная атака находит непропорционально большое количество жертв, а также позволяет выявлять и переучивать плохо работающих людей.

Капли USB почти всегда успешны. Даже когда сотрудники правильно определяют фишинговые электронные письма и другие типы атак, кто-то попадается на приманку USB-накопителя. Есть что-то в характере USB-накопителя — возможно, потому, что он полностью инертен, если он не подключен к сети, — что делает некоторых людей неспособными сопротивляться его подключению. По крайней мере, до тех пор, пока их не поймают в первый раз.

Подход «однажды укушенный, дважды стеснительный» приемлем в контексте доброкачественной кампании по тестированию, но с реальной угрозой? Вы уже заражены.

Наступить на мину

Более изощренные атаки используют USB-накопители, которые могут заразить компьютер без того, чтобы пользователь пытался запустить программу или открыть файл. Были созданы вредоносные USB-накопители (и обнаружены в полевых условиях), которые использовали уязвимость в способе анализа Windows метаданных в ярлыках Windows. Это было использовано для запуска поддельного приложения панели управления. Поддельное приложение панели управления было вредоносным ПО.

Все, что требовалось от пользователя, это вставить USB-накопитель и просмотреть список файлов на устройстве. Ярлыки на USB-накопителе вызывали запуск вредоносного приложения Панели управления. Вредоносное приложение также находилось на USB-накопителе.

Устройства BadUSB были модифицированы таким образом, что требуется еще меньше взаимодействия. Все, что требуется от жертвы, это вставить USB-накопитель.

Когда они подключены, USB-устройства ведут диалог с операционной системой. Устройство идентифицирует себя, сообщая операционной системе марку, модель и тип устройства. В зависимости от типа устройства операционная система может запрашивать у USB-устройства дополнительную информацию о себе и своих возможностях. Устройства BadUSB модифицируются — прошивка производителя перезаписывается злоумышленниками пользовательской прошивкой — поэтому они идентифицируют себя как USB-клавиатуру.

Как только устройство регистрируется в Windows как клавиатура, оно отправляет поток символов в операционную систему. Windows принимает их как типизированный ввод и действует на них. Команды открывают окно PowerShell и загружают вредоносное ПО. Пользователю нужно сделать не больше, чем вставить USB-накопитель.

Вредоносные USB-устройства, известные как USB-убийцы, уже хорошо известны, но это грубые устройства, которые повреждают компьютер, к которому они подключены. Небольшое количество электроэнергии, посылаемое на USB-устройства, накапливается и усиливается внутри USB-убийцы и высвобождается в виде быстрых всплесков до 200 В обратно в компьютер через USB-порт. Физический ущерб, который это вызывает, делает компьютер неработоспособным. Убийцы USB не достигают ничего, кроме вандализма, как бы плохо это ни было. Они не распространяют вредоносное ПО и никаким образом не заражают компьютер или сеть.

Маскируясь под клавиатуру, устройства BadUSB могут загружать и устанавливать любые вредоносные программы, наиболее распространенными из которых являются захватчики учетных данных и программы-вымогатели. Атаки BadUSB — это форма социальной инженерии. Социальная инженерия пытается манипулировать жертвой, чтобы она предприняла какие-то действия, которые приносят пользу злоумышленникам. Убедительное сопроводительное письмо и другие атрибуты в совокупности добавляют подлинности личности отправителя.

Шаги, которые вы можете предпринять

Как и при всех атаках социальной инженерии, лучшая защита — это образование, но есть и другие шаги, которые вы можете предпринять.

  • Обучение персонала, подкрепленное тестированием на восприимчивость, поможет предотвратить эффективность атак этого типа. Это следует повторять не реже одного раза в год.
  • Если USB-накопители не должны использоваться в рабочих процессах, рассмотрите возможность отключения USB-доступа. Используйте облачное хранилище файлов или другие средства для передачи файлов, которые слишком велики для отправки по электронной почте и требуют доступа в разных местах.
  • Отключите автозапуск для USB-устройств.
  • Убедитесь, что программное обеспечение для защиты конечных точек сканирует USB-накопители при подключении.
  • Компьютер для «дезинфекции» с воздушным зазором можно использовать для сканирования и проверки любых USB-накопителей, если они должны быть доставлены в ваше помещение.