BadUSB

«Это борьба между простотой и безопасностью. Сила USB в том, что вы подключаете его, и он просто работает. Именно эта простота делает возможным такие атаки».

- Карстен Ноль , 2014 г. ^[1]

BadUSB — это атака на компьютерную безопасность с использованием USB -устройств, запрограммированных вредоносным программным обеспечением. ^[2] Например, USB-флешки могут содержать программируемый микроконтроллер Intel 8051 , который можно перепрограммировать, превратив USB-флешку во вредоносное устройство. ^[3] Эта атака заключается в программировании поддельного USB-накопителя для эмуляции клавиатуры, которая после подключения к компьютеру автоматически распознается и разрешается взаимодействовать с компьютером, а затем может инициировать серию нажатий клавиш, которые открывают командное окно и выдают команды для скачать вредоносное ПО.

Атака BadUSB была впервые раскрыта во время выступления Black Hat в 2014 году Карстеном Нолом , Сашей Крисслером и Якобом Леллем. Через два месяца после доклада другие исследователи опубликовали код, который можно использовать для эксплуатации уязвимости. ^[4] В 2017 году была выпущена версия 1.0 ключа USG, который действует как аппаратный межсетевой экран и предназначен для предотвращения атак в стиле BadUSB. ^[5]

Преступное использование

В марте 2020 года ФБР выпустило предупреждение о том, что члены киберпреступной группы FIN7 нацеливаются на компании розничной торговли, ресторанного и гостиничного бизнеса с помощью атак BadUSB, предназначенных для доставки REvil или BlackMatter программ-вымогателей . ^[6] Посылки были отправлены сотрудникам отделов ИТ , высшего руководства и кадров . ^[6] Одной предполагаемой цели была отправлена по почте посылка, в которой содержалась поддельная подарочная карта от Best Buy , а также USB-накопитель с письмом, в котором говорилось, что получатель должен подключить диск к своему компьютеру, чтобы получить доступ к списку товаров, которые можно приобрести. с подарочной картой. ^[6]^[7] При тестировании USB-накопитель эмулировал клавиатуру, а затем инициировал серию нажатий клавиш, которые открывали окно PowerShell и выдавали команды для загрузки вредоносного ПО на тестовый компьютер, а затем связывались с серверами в России . ^[6]^[7]

В январе 2022 года ФБР выпустило еще одно предупреждение о том, что члены FIN7 нацелены на транспортные и страховые компании (с августа 2021 года) и оборонные компании (с ноября 2021 года) с помощью атак BadUSB, предназначенных для доставки программ-вымогателей REvil или BlackMatter. ^[8]^[9] Этим жертвам были отправлены USB-накопители в посылках, якобы от Amazon или Министерства здравоохранения и социальных служб США , с письмами, в которых говорилось о бесплатных подарочных картах или протоколах COVID-19, которые якобы были дополнительно объяснены информацией на USB-накопителе. ^[8]^[9] Как указано выше, при подключении USB-накопители имитируют клавиатуру, а затем инициируют серию нажатий клавиш, которые открывают окно PowerShell и выдают команды для загрузки вредоносного ПО. ^[8]^[9]

См. также

Выкачивание сока

Дальнейшее чтение

Лу, Хунъи, Ечан; Линь, Ю; Чжан, Фэнвэй (май 2021 г.). 2021 г. Семинары IEEE по безопасности и конфиденциальности . стр. 327–338 doi : 10.1109/ . SPW53761.2021.00053 978-1-6654-3732-5 .

Ссылки

^ Гудин, Дэн (31 июля 2014 г.). «Этот флэш-накопитель взламывает компьютеры. Эксплойт BadUSB превращает устройства в «злые» » . Арс Техника . Архивировано из оригинала 9 сентября 2017 г. Проверено 7 сентября 2021 г.
^ Гринберг, Энди (31 июля 2014 г.). «Почему безопасность USB фундаментально нарушена» . Проводной . ISSN 1059-1028 . Проверено 7 сентября 2021 г.
^ Нол, Карстен ; Крисслер, Саша; Лелл, Якоб. «BadUSB — Об аксессуарах, которые превращают зло» (PDF) . Архивировано (PDF) из оригинала 19 октября 2016 г.
^ Гринберг, Энди (2 октября 2014 г.). «Необновляемое вредоносное ПО, заражающее USB-накопители, теперь находится на свободе» . Проводной . ISSN 1059-1028 . Проверено 7 сентября 2021 г.
^ Доктороу, Кори (2 марта 2017 г.). «USG: аппаратный межсетевой экран с открытым исходным кодом против BadUSB для вашего USB-порта» . Боинг-Боинг . Архивировано из оригинала 3 марта 2017 г. Проверено 7 сентября 2021 г.
^ Jump up to: ^а ^б ^с ^д Илашку, Ионут (27 марта 2020 г.). «ФБР: хакеры отправляют вредоносные USB-накопители и плюшевых мишек через USPS» . Пипящий компьютер . Хотя это не единичный случай. ФБР предупреждает, что FIN7 разослала эти пакеты через USPS многочисленным предприятиям (розничная торговля, ресторанный бизнес, гостиничный бизнес), где они нацелены на сотрудников отделов кадров, информационных технологий или высшего руководства. Эти пакеты иногда включают в себя «подарки», такие как плюшевые мишки или подарочные карты. Эти USB-накопители настроены на эмуляцию нажатий клавиш, которые запускают команду PowerShell для получения вредоносного ПО с сервера, контролируемого злоумышленником. Затем USB-устройство связывается с доменами или IP-адресами в России.
^ Jump up to: ^а ^б Чимпану, Каталин (26 марта 2020 г.). «Редкая атака BadUSB против американского поставщика услуг гостеприимства обнаружена» . ЗДНет . Архивировано из оригинала 26 марта 2020 г. Проверено 7 сентября 2021 г.
^ Jump up to: ^а ^б ^с Гатлан, Сергей (07.01.2022). «ФБР: Хакеры используют BadUSB для атаки на оборонные предприятия с помощью программ-вымогателей» . Пипящий компьютер . Операторы FIN7 выдавали себя за Amazon и Министерство здравоохранения и социальных служб США (HHS), чтобы обманом заставить жертв открыть посылки и подключить USB-накопители к их системам. В отчетах, полученных ФБР с августа, говорится, что эти вредоносные пакеты также содержат письма с инструкциями по COVID-19 или поддельные подарочные карты и поддельные благодарственные письма, в зависимости от выдающегося лица.
^ Jump up to: ^а ^б ^с Тунг, Лиам (10 января 2022 г.). «Предупреждение о программах-вымогателях: киберпреступники рассылают по почте USB-накопители, на которых установлено вредоносное ПО» . ЗДНЕТ .

Дальнейшее чтение

«Можно ли избежать BadUSB, посмотрев на формы и модель контроллера внутри него?» . Обмен стеками информационной безопасности . Проверено 31 января 2023 г.

[1] Гудин, Дэн (31 июля 2014 г.). «Этот флэш-накопитель взламывает компьютеры. Эксплойт BadUSB превращает устройства в «злые» » . Арс Техника . Архивировано из оригинала 9 сентября 2017 г. Проверено 7 сентября 2021 г.

[2] Гринберг, Энди (31 июля 2014 г.). «Почему безопасность USB фундаментально нарушена» . Проводной . ISSN 1059-1028 . Проверено 7 сентября 2021 г.

[3] Нол, Карстен ; Крисслер, Саша; Лелл, Якоб. «BadUSB — Об аксессуарах, которые превращают зло» (PDF) . Архивировано (PDF) из оригинала 19 октября 2016 г.

[4] Гринберг, Энди (2 октября 2014 г.). «Необновляемое вредоносное ПО, заражающее USB-накопители, теперь находится на свободе» . Проводной . ISSN 1059-1028 . Проверено 7 сентября 2021 г.

[5] Доктороу, Кори (2 марта 2017 г.). «USG: аппаратный межсетевой экран с открытым исходным кодом против BadUSB для вашего USB-порта» . Боинг-Боинг . Архивировано из оригинала 3 марта 2017 г. Проверено 7 сентября 2021 г.

[BC_2020-03-27-6] Jump up to: ^а ^б ^с ^д Илашку, Ионут (27 марта 2020 г.). «ФБР: хакеры отправляют вредоносные USB-накопители и плюшевых мишек через USPS» . Пипящий компьютер . Хотя это не единичный случай. ФБР предупреждает, что FIN7 разослала эти пакеты через USPS многочисленным предприятиям (розничная торговля, ресторанный бизнес, гостиничный бизнес), где они нацелены на сотрудников отделов кадров, информационных технологий или высшего руководства. Эти пакеты иногда включают в себя «подарки», такие как плюшевые мишки или подарочные карты. Эти USB-накопители настроены на эмуляцию нажатий клавиш, которые запускают команду PowerShell для получения вредоносного ПО с сервера, контролируемого злоумышленником. Затем USB-устройство связывается с доменами или IP-адресами в России.

[ZDNET_2020-03-26-7] Jump up to: ^а ^б Чимпану, Каталин (26 марта 2020 г.). «Редкая атака BadUSB против американского поставщика услуг гостеприимства обнаружена» . ЗДНет . Архивировано из оригинала 26 марта 2020 г. Проверено 7 сентября 2021 г.

[BP_2022-01-07-8] Jump up to: ^а ^б ^с Гатлан, Сергей (07.01.2022). «ФБР: Хакеры используют BadUSB для атаки на оборонные предприятия с помощью программ-вымогателей» . Пипящий компьютер . Операторы FIN7 выдавали себя за Amazon и Министерство здравоохранения и социальных служб США (HHS), чтобы обманом заставить жертв открыть посылки и подключить USB-накопители к их системам. В отчетах, полученных ФБР с августа, говорится, что эти вредоносные пакеты также содержат письма с инструкциями по COVID-19 или поддельные подарочные карты и поддельные благодарственные письма, в зависимости от выдающегося лица.

[ZDNET_2022-01-10-9] Jump up to: ^а ^б ^с Тунг, Лиам (10 января 2022 г.). «Предупреждение о программах-вымогателях: киберпреступники рассылают по почте USB-накопители, на которых установлено вредоносное ПО» . ЗДНЕТ .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

v т и USB
Форум разработчиков USB Аппаратное обеспечение разъемы прокладка кабеля власть
Версии	1.0 1.1 2.0 3.0 USB-C USB4 USB на ходу
Классы устройств	Массовое хранилище Флешка FlashCard УАСП твердотельный накопитель Человеческий интерфейс Видео Связь
Безопасность	Выкачивание сока BadUSB Безопасность USB-накопителя USB-убийца
Другой	Улучшенный мини-USB Ethernet через USB Украшение Центр Последовательный адаптер питаниеUSB ВебUSB