BIS Journal №2(21)/2016

6 июня, 2016

Новая угроза BadUSB и подходы к защитe

Атаки, в которых используются устройства с USB-интерфейсом, становятся все более изощренными. Наиболее серьезную угрозу представляют атаки, при выполнении которых используется вредоносный код, внедренный в прошивку USB-устройств. Указанные атаки способны, в частности, привести к хищению денег с банковских счетов клиентов, которые пользовались инфицированными USB-устройствами.
 
НОВОЕ СРЕДСТВО АТАКИ
 
Хотя USB-устройства получили в настоящее время самое широкое распространение, мало кто задумывался об угрозах, которые они могут представлять для безопасности компьютерных систем. Обычные флеш-накопители с USB-интерфейсом при подключении к компьютеру проверяются на наличие вирусов, и если они не обнаружены, считается, что никакой угрозы нет. Так полагали до августа 2014 года, когда немецкие исследователи продемонстрировали реальную возможность применения нового типа вредоносных программ.
 
На конференции по проблемам компьютерной безопасности Black Hat 2014, которая прошла в Лас-Вегасе (США), Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell), работающие в берлинской компании Security Research Labs (SRLabs), показали, что компьютерная система может быть инфицирована не из-за того, что с подключенного USB-устройства был считан файл, содержащий вирус, а вследствие работы вредоносного кода микроконтроллера устройства. Такие атаки они назвали BadUSB [1].
 
Исследователям, работавшим под руководством Карстена Нола, удалось перепрограммировать обычный флеш-накопитель с USB-интерфейсом, который имеется в свободной продаже. После проведения реверс-инжиниринга кода микроконтроллера тайваньской компании Phison Electronics они смогли осуществить его модификацию.
 
Злоумышленник, способный внести изменения в прошивку микроконтроллера USB-устройства, может превратить его в мощное средство атаки. Изменение прошивки устройства дает возможность выполнения совершенно новых сценариев заражения компьютерных систем. USB-устройство с вредоносной прошивкой после подключения к ПК может инфицировать встроенные устройства, подключаемые через внутренний USB-порт. После этого зараженный компьютер способен инфицировать все подключаемые к нему накопители, принтеры, веб-камеры или другие устройства с USB-интерфейсом.
 
Флеш-накопитель можно перепрограммировать таким образом, что компьютер будет определять его как устройство совершенно другого типа. При подключении к ПК такого флеш-накопителя он будет идентифицирован как, например, клавиатура или сетевой адаптер. При этом, возможно проведение различных атакующих воздействий. Если флеш-накопитель с вредоносной прошивкой эмулирует клавиатуру, то он может отправлять на ПК заданные злоумышленником последовательности нажатий клавиш и инициировать выполнение любых команд, которые пользователь может ввести с клавиатуры. В том случае, когда вредоносное USB-устройство распознается компьютером как сетевая карта, то в результате подмены DNS-адресов можно осуществлять перехват или перенаправление сетевого трафика через сервер злоумышленника.
 
В результате атак с использованием «модифицированных» USB-устройств существует потенциальная возможность скрытно получить управление компьютером, осуществлять доступ к хранящейся на нем информации, отслеживать действия пользователя, перехватывать вводимые пользователем PIN-коды и пароли доступа, изменять содержимое файлов, внедрить вирус в загрузочный сектор или в исполняемые файлы и т. д.
 
Устройства со встроенным вредоносным программным обеспечением могут использоваться злоумышленниками для кражи денег с банковских счетов. В ходе своего выступления на конференции Blackhat 2014 Нол и Лелл продемонстрировали атаку на ПК с операционной системой Windows, в ходе которой использовался «модифицированный» смартфон с операционной системой Android, в котором было установлено программное обеспечение, предназначенное для перехвата информации [1]. Исследователи показали, что с помощью такого «модифицированного» смартфона можно обойти защиту на основе двухфакторной аутентификации, применяемой в системе Интернет-банкинга. В частности, без каких-либо затруднений могут быть получены пароли и регистрационные имена пользователей для получения доступа. Обладая указанной информацией, злоумышленник может осуществить перевод денег с банковского счета клиента.
 
В конце сентября 2014 года на конференции DerbyCon (Луисвилл, США), через два месяца после демонстрации возможности проведения атак BadUSB, эксперты по информационной безопасности Адам Кодилл (Adam Caudill) и Брэндон Уилсон (Brandon Wilson) раскрыли информацию, которую Нол и Лелл предпочитали держать в тайне. Они представили полное описание метода, начиная от реверс-инжиниринга кода микроконтроллера USB-устройства и заканчивая процедурой его модификации [2]. Кодилл и Уилсон осуществили модификацию прошивки флеш-накопителя с микроконтроллером Phison, являющимся наиболее распространенным на мировом рынке. Точно такой же микроконтроллер использовали Нол и Лелл в своих экспериментах. Каким образом изменить прошивку USB-флешки так, чтобы «превратить» ее в клавиатуру? Как создать скрытые разделы в микроконтроллере, являющиеся удобным средством для сбора данных? Как обойти парольную защиту? Кодилл и Уилсон ответили на все эти вопросы в ходе своих публичных выступлений и выложили в сети Интернет исходный код, делающий возможным проведение указанных выше действий.
 
Потенциально опасными являются все типы USB-устройств, подключаемых к компьютеру. Помимо флеш-накопителей к ним относятся внешние жесткие диски, смартфоны, планшеты, мыши, клавиатуры, веб-камеры, микрофоны, адаптеры и т. д.
 
МАСШТАБЫ УГРОЗЫ
 
Как подчеркивают зарубежные эксперты по информационной безопасности, для того, чтобы провести компьютерную атаку BadUSB, необходимо выполнение нескольких условий. Во-первых, USB-устройство должно иметь перепрограммируемое ПЗУ (ПППЗУ), которое позволяет изменить хранящуюся в нем информацию. Во-вторых, процедура модификации содержимого ПППЗУ не должна предусматривать использование каких-либо защитных технологий. Эти условия имеют место не во всех выпускаемых USB-устройствах.
 
Следует отметить, что вредоносный код, опубликованный Кодиллом и Уилсоном, применим только к устройствам, содержащим микроконтроллер Phison 2251–03. По информации зарубежных экспертов, ряд моделей флеш-накопителей, выпускаемых компаниями Patriot, Kingston, Silicon Power и Toshiba, содержат указанный микроконтроллер и, следовательно, потенциально могут быть задействованы при проведении атаки BadUSB.
 
Как указывает Карстен Нол, большинство выпускаемых флеш-накопителей поставляются с контроллерами трех производителей. Он обнародовал результаты исследования USB-устройств, представленных на коммерческом рынке, на предмет их пригодности для проведения атаки BadUSB. Вместе с сотрудниками SRLabs он проанализировал технические характеристики микроконтроллеров, выпускаемых восемью крупнейшими мировыми производителями. Кроме того, он изучил аппаратное обеспечение около трех десятков устройств различных типов (хабы, веб-камеры, SATA-адаптеры и т. д.).
 
Результаты проведенных исследований показали, что независимо от того, к какому типу относится устройство, примерно половина из них содержит перепрограммируемое ПЗУ и, следовательно, потенциально может быть использована для проведения атак BadUSB. Однако, как утверждает Карстен Нол, составить список безопасных устройств не представляется возможным из-за того, что у производителей периферийных устройств наблюдается тенденция менять поставщиков электронных компонентов. Причем, в зависимости от спроса и предложения, это может касаться даже одного и того же выпускаемого продукта.
 
Согласно результатам исследований компании SRLabs, ведущий производитель USB-накопителей Kingston использует микроконтроллеры шести различных поставщиков. Компания Silicon Power пользуется услугами четырех различных производителей электронных компонентов, а Trend Micro — трех. Поэтому невозможно с определенностью сказать, относится ли микроконтроллер конкретного устройства к уязвимому типу или нет.
 
Атакам BadUSB не могут противостоять традиционные способы защиты. Выпускаемое в настоящее время антивирусное программное обеспечение не обнаруживает присутствие вредоносной прошивки USB-устройств, поскольку не имеет доступа к соответствующим областям памяти микроконтроллера и не способна выявить внесенные изменения.
 
Обнаружение инфицированного USB-устройства является трудной задачей, поскольку при его использовании все может выглядеть так, как если бы пользователь просто подключил к компьютеру новое устройство.
 
Избавиться от вредоносных программ такого типа непросто, поскольку они расположены в системной памяти устройств. Даже переформатирование USB-накопителей не изменит модифицированную прошивку, которая может быть использована для проведения новых атак. Переустановка операционной системы, являющаяся стандартным решением при уничтожении вредоносной программы, также бесполезна в этом случае. Накопитель, применяемый для переустановки операционной системы, может оказаться инфицированным. То же самое может произойти с любыми USB-компонентами, расположенными внутри компьютера. Кроме того, подключение USB-устройства с вредоносной прошивкой может привести к замене BIOS материнской платы ПК еще до начала загрузки операционной системы.
 
Опубликование в открытом доступе в сети Интернет исходных кодов прошивок для проведения атак BadUSB может привести к тому, что злоумышленники будут вносить в них изменения и смогут проводить гораздо более опасные атаки с применением вредоносных USB-устройств, чем это предусматривалось в демонстрационных примерах. Потенциально опасными могут быть не только USB-устройства. В принципе, любое подключаемое к компьютеру периферийное устройство с перезаписываемой прошивкой может содержать вредоносный код.
 
Следует заметить, что подготовка атак BadUSB является достаточно трудоемкой и требует значительных усилий системных программистов, обладающих высокой квалификацией. В связи с этим, по мнению зарубежных экспертов, не следует ожидать широкого распространения подобных атак, что, тем не менее, не исключает реальной возможности осуществления отдельных целенаправленных атакующих воздействий.
 
ПОИСКИ СПОСОБОВ ЗАЩИТЫ
 
Вопросы, связанные с разработкой надежной и эффективной защиты от атак BadUSB, находятся в центре внимания экспертов по компьютерной безопасности. Наиболее радикальный способ избавиться от указанной уязвимости — заново определить внутреннюю структуру периферийных USB-устройств. Однако этот процесс требует достаточно длительного времени.
 
Нол и Лелл указали на возможность применения различных подходов, которые могли бы обеспечить защиту от атак BadUSB. По их мнению, самым эффективным способом защиты от продемонстрированных атак является отключение возможности модификации прошивки USB-устройств.
 
Другой возможный способ защиты заключается в том, чтобы проводить авторизацию подключаемых к компьютерной системе USB-устройств. В ходе авторизации необходимо проверять несколько различных характеристик устройства. Любое устройство, не прошедшее авторизацию, должно быть заблокировано. Проблема состоит в том, что не существует такого универсального набора характеристик, который бы присутствовал в USB-устройствах, выпущенных различными производителями.
 
Еще один способ защиты связан с проверкой прошивки микроконтроллера на целостность. Считывание содержимого прошивки возможно, но, как отмечают Нол и Лелл, сама процедура считывания осуществляется при помощи того же самого ПО. В том случае, когда оригинальное ПО было заменено на вредоносное, результат считывания может оказаться фальсифицированным. Это все равно, что спрашивать лжеца о том, говорит ли он правду. Поэтому необходимо применять более надежные способы проверки целостности прошивки.
 
Еще один из возможных подходов противодействия атакам BadUSB состоит в ограничении прав доступа пользователей компьютерной системы. В этом случае подключаемое пользователем вредоносное устройство не будет обладать более широкими правами, чем пользователь. Ограничение прав доступа позволит уменьшить количество объектов, которые могут подвергнуться атакующему воздействию.
 
С целью защиты от атак BadUSB можно программным способом ограничить подключение периферийных устройств вплоть до полной блокировки USB-портов. Имеются как отечественные, так и зарубежные программные средства, позволяющие управлять доступом к USB-устройствам. Однако этих мер может оказаться недостаточно для обеспечения полноценной защиты.
 
Атаки BadUSB основаны на том факте, что в подавляющем большинстве USB-устройств обновление прошивки не требует наличия электронной подписи. В таких устройствах отсутствует проверка электронной подписи производителя, соответствующей любому новому добавляемому коду. Если при модификации прошивки проводится подобная проверка подписи, устройство с инфицированным ПО не пройдет авторизацию. Некоторые производители уже выпускают флеш-накопители с системой криптографической защиты, препятствующей нелегальной перезаписи встроенного ПО.

Чтобы избежать заражения своего компьютера, эксперты в области компьютерной безопасности рекомендуют не использовать USB-устройства, полученные из ненадежных источников, например, врученных на презентации или бывших в употреблении. Желательно также пересмотреть меры, применяемые для защиты компьютерных систем, обрабатывающих конфиденциальную информацию, особенно в банковской сфере. При этом следует учитывать, что недобросовестные сотрудники, работающие в организации, могут приносить с собой и подключать к компьютерам различные «модифированные» USB-устройства, включая смартфоны.


Литература
1. Turning USB peripherals into BadUSB. https://srlabs.de/badusb.
2. https://adamcaudill.com/category/security_research


 
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных