CC BY
79
Agafonov Dmitry Olegovich, head of department, cdbae@cdbae. ru, Russia, Tula, JSC Central Research Institute of Control Systems
УДК 004.056.53
DOI: 10.24412/2071-6168-2021-9-29-34
АНАЛИЗ УЯЗВИМОСТИ «BADUSB»
А.Д. Дельмухаметов, А.В. Воробьев
Актуальность данной статьи связана с необходимостью создания системы защиты рабочих станций и серверного оборудования от подобных атак. Несмотря на то, что уязвимость BadUSB была обнаружена в 2014 году, до сих пор не существует защита от таких атак. Потенциальными жертвами могут стать коммерческие, государственные организации и иные предприятия. Пользователь рабочей станции или администратор серверного оборудования может инициализировать зловредное устройство на машине и не обнаружить этого, так как обычные антивирусы не способны отличить обычную клавиатуру от зараженного устройства.
Ключевые слова: USB устройства, BadUSB, аппаратные уязвимости.
Интерфейс USB стал одним из самых распространённых, поскольку обеспечивает удобную и быструю передачу данных. Работой этого интерфейса управляет USB-хост, который обнаруживает подключение и отключение USB-устройств, управляет передачей данных, обеспечивает питанием подключённые устройства. Однако производители не защищают USB-устройства от перепрошивки, а USB-хосты не проверяют их на подлинность. Класс хакерских атак, основанный на уязвимости USB-устройств, получил название BadUSB.
BadUSB - метод атаки, включающий перепрошивку USB-устройства так, чтобы оно воспринималось компьютером как иное устройство. Например, USB-накопитель компьютер будет видеть, как клавиатуру или внешнюю сетевую карту, тем самым BadUSB сможет исполнять на компьютере заложенный в нее вредоносный код.
Корень проблемы в микроконтроллере, установленном в каждом USB-устройстве, он и сообщает компьютеру, что за устройство подключено и как с ним работать. Но многие USB-устройства не защищены от перепрошивки, тем самым можно без проблем «превратить» USB-флешку во внешний Wi-Fi адаптер или камеру.
Анализ уязвимости BADUSB. Впервые о понятии BadUSB мир услышал от исследователей организации Security Research Labs Карстена Нола и Джейкоба Лелла, которые выступили с докладом «BadUSB — On Accessories that Turn Evil» на конференции BlackHat USA 2014 в августе 2014 года [1]. Они усовершенствовали USB контроллер Phison 2251-03 (2303) и исправили уязвимости для некоторых видов атак. Прошивка контроллера стала возможной благодаря приложению DriveCom. Из флешки была сделана клавиатура, сетевая карту путем перепрошивки и рассмотрены способы защиты от атак BadUSB.
Эксплойт BadAndroid, который превращает телефон на базе Android в сниффер сетевого трафика, был представлен 5 августа 2014 года [2].
26 сентября 2014 года был опубликован исходный код прошивки и патчей для контроллера Phison 2251-03, включая атаку имитацией клавиатуры, атаку на пароль накопителя и скрытие раздела накопителя [3].
USB устройства несут в себе микроконтроллер, отвечающий за общение с хостом по интерфейсу USB. В процессе инициализации микроконтроллер сообщает хосту, наряду с другой служебной информацией, классы, к которым принадлежит устройство. Хост загружает нужный драйвер и работает с устройством исходя из его класса и этих данных. Одно физическое устройство может реализовывать несколько классов и для хоста являться несколькими отдельными устройствами: веб-камеры реализуют одновременно класс видео и класс аудио устройств [4].
BadUSB пользуется тем фактом, что производители не защищают свои устройства от перепрошивки, а хосты не проверяют USB устройства на подлинность. Благодаря этому злоумышленник может подменить прошивку микроконтроллера и выдать одно устройство за другое. Также, так как все коммуникации ведутся через этот микроконтроллер, злоумышленник может перехватывать и подменять любые данные и команды между устройством и хостом. Возможно и автоматическое заражение устройств: устройство заражает хост, запуская на нём вредоносное ПО, затем хост автоматически заражает все подключенные к нему USB устройства.
Каждый контроллер уникален, и для каждого необходимо разрабатывать зараженную прошивку или патч отдельно. Невозможно написать универсальное программное обеспечение и использовать его на любом микроконтроллере. Процедура прошивки различается от одного контроллера к другому. Все это значительно уменьшает вероятность эпидемии BadUSB, однако не защищает от целенаправленной атаки.
Злоумышленник, способный внести изменения в прошивку микроконтроллера USB-устройства, может превратить его в мощное средство атаки. Изменение прошивки устройства дает возможность выполнения совершенно новых сценариев заражения компьютерных систем. USB-устройство с вредоносной прошивкой после подключения к ПК может инфицировать встроенные устройства, подключаемые через внутренний USB-порт. После этого зараженный компьютер способен инфицировать все подключаемые к нему накопители, принтеры, веб-камеры или другие устройства с USB-интерфейсом.
Флеш-накопитель можно перепрограммировать таким образом, что компьютер будет определять его как устройство совершенно другого типа. При подключении к ПК такого флеш-накопителя он будет идентифицирован как, например, клавиатура или сетевой адаптер. При этом, возможно проведение различных атакующих воздействий. Если флеш-накопитель с вредоносной прошивкой эмулирует клавиатуру, то он может отправлять на ПК заданные злоумышленником последовательности нажатий клавиш и инициировать выполнение любых команд, которые пользователь может ввести с клавиатуры. В том случае, когда вредоносное USB-устройство распознается компьютером как сетевая карта, то в результате подмены DNS-адресов можно осуществлять перехват или перенаправление сетевого трафика через сервер злоумышленника.
В результате атак с использованием «модифицированных» USB-устройств существует потенциальная возможность скрытно получить управление компьютером, осуществлять доступ к хранящейся на нем информации, отслеживать действия пользователя, перехватывать вводимые пользователем PIN-коды и пароли доступа, изменять содержимое файлов, внедрить вирус в загрузочный сектор или в исполняемые файлы и т. д.
Потенциально опасными являются все типы USB-устройств, подключаемых к компьютеру. Помимо флеш-накопителей к ним относятся внешние жесткие диски, смартфоны, планшеты, мыши, клавиатуры, веб-камеры, микрофоны, адаптеры и т. д.
Вопросы, связанные с разработкой надежной и эффективной защиты от атак BadUSB, находятся в центре внимания экспертов по компьютерной безопасности. Наиболее радикальный способ избавиться от указанной уязвимости — заново определить внутреннюю структуру периферийных USB-устройств. Однако этот процесс требует достаточно длительного времени.
Нол и Лелл указали на возможность применения различных подходов, которые могли бы обеспечить защиту от атак BadUSB. По их мнению, самым эффективным способом защиты от продемонстрированных атак является отключение возможности модификации прошивки USB-устройств [5].
Другой возможный способ защиты заключается в том, чтобы проводить авторизацию подключаемых к компьютерной системе USB-устройств. В ходе авторизации необходимо проверять несколько различных характеристик устройства. Любое устройство, не прошедшее авторизацию, должно быть заблокировано. Проблема состоит в том, что не существует такого универсального набора характеристик, который бы присутствовал в USB-устройствах, выпущенных различными производителями.
Еще один способ защиты связан с проверкой прошивки микроконтроллера на целостность. Считывание содержимого прошивки возможно, но, как отмечают Нол и Лелл, сама процедура считывания осуществляется при помощи того же самого ПО. В том случае, когда оригинальное ПО было заменено на вредоносное, результат считывания может оказаться фальсифицированным. Это все равно, что спрашивать лжеца о том, говорит ли он правду. Поэтому необходимо применять более надежные способы проверки целостности прошивки.
Еще один из возможных подходов противодействия атакам BadUSB состоит в ограничении прав доступа пользователей компьютерной системы. В этом случае подключаемое пользователем вредоносное устройство не будет обладать более широкими правами, чем пользователь. Ограничение прав доступа позволит уменьшить количество объектов, которые могут подвергнуться атакующему воздействию.
С целью защиты от атак BadUSB можно программным способом ограничить подключение периферийных устройств вплоть до полной блокировки USB-портов. Имеются как отечественные, так и зарубежные программные средства, позволяющие управлять доступом к USB-устройствам. Однако этих мер может оказаться недостаточно для обеспечения полноценной защиты.
Атаки BadUSB основаны на том факте, что в подавляющем большинстве USB-устройств обновление прошивки не требует наличия электронной подписи. В таких устройствах отсутствует проверка электронной подписи производителя, соответствующей любому новому добавляемому коду. Если при модификации прошивки проводится подобная проверка подписи, устройство с инфицированным ПО не пройдет авторизацию. Некоторые производители уже выпускают флеш-накопители с системой криптографической защиты, препятствующей нелегальной перезаписи встроенного ПО.
Анализ устройств, реализующие уязвимость BADUSB. BadUSB — класс хакерских атак, основанный на уязвимости USB устройств. Благодаря отсутствию защиты от перепрошивки в некоторых USB-устройствах, злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство. BadUSB предназначен для доставки и исполнения вредоносного кода [1].
Уязвимости подвержены все устройства с незащищенными USB контроллерами: флеш-накопители, вебкамеры, мышки, клавиатуры, андроид-устройства. BadUSB не требует особого программного обеспечения на компьютере жертвы и работает под любыми операционными системами, поддерживающими USB-HID устройства.
Методов защиты от данной угрозы не существует. Однако вероятность заражения минимальна, так как необходимо подключить перепрошитое устройство в соответствии с рис. 1, к компьютеру жертвы. Кроме того, системный администратор может ограничить появление
неизвестных устройств на компьютере, что позволит заблокировать, например, вторую клавиатуру.
Рис. 1. BadUSB
USB-Killer, в соответствии с рис. 2, похож на обычный флеш накопитель, однако может запросто уничтожить большинство материнских плат. USB-Killer запускает работу преобразователя напряжения, который заряжает конденсаторы до 220В. По достижению этого напряжения преобразователь выключается, и запасенная в конденсаторах энергия подается на сигнальные линии USB-интерфейса. После разряда конденсаторов цикл повторяется [6].
Рис. 2. USB Killer
31
Данный тип атаки работает, потому что компьютеры автоматически выполняют запрос DHCP при распознавании новой сетевой карты. Такое вредоносное устройство назначает IP-адрес компьютеру и сообщает ему, что каждый отдельный IP-адрес существует внутри локальной сети. С этого момента, когда зараженный компьютер отправляет пакет на любой IP-адрес, он будет проходить через вредоносное устройство USB-Ethernet, поскольку таков приоритет маршрутизации по локальной сети. Теперь можно украсть файлы cookie жертвы и совершить много других вредоносных действий [7].
Android-смартфоны являются простейшими инструментами для такой атаки, их можно подключить к компьютеру под предлогом источника для зарядки, но более продвинутые злоумышленники используют внешние сетевые адаптеры с подключением по USB, например, LAN Turtle (рис. 3).
Рис. 3. Ethernet устройство LAN Turtle
Существуют устройства под названием RubberDucky и BashBunny, которые, в соответствии с рис. 4, выглядят как обычные USB-накопители, но на самом деле имитируют предварительно запрограммированные нажатия клавиш при подключении. Такие устройства могут загрузить и запустить бэкдор всего в течение 20 секунд [8]. В качестве таких вот вредоносных устройств может выступать также Android-смартфон.
Рис. 4. BashBunny
Устройство с достаточным местом для хранения вредоносного кода, например, флеш-накопитель, может определить момент включения компьютера и в момент определения BЮS'ом выдать на загрузку вирус для заражения операционной системы. Это становится возможным благодаря тому, что по поведению хоста при общении с USB микроконтроллером возможно определить ОС хоста, в частности Windows, Linux, MacOSX, а также BIOS.
BadUSB устройство — это HID устройство для инъекций нажатия клавиш, внешне замаскированное под обычный флеш-накопитель, который инициализируется в системе как клавиатура (в иных случаях как сетевая карта или загрузочный раздел) и при подключении к компьютеру набирает предварительно запрограммированные данные о нажатиях клавиш.
В продаже имеется множество устройств, реализующих данную уязвимость. Первым коммерческим устройством, в соответствии с рис. 5, является «Rubber Ducky» от американской компании Hak5.
Рис. 5. Hak5 «RubberDucky»
32
Внутри корпуса устройства «Rubber Ducky» микропроцессор 60 MHz 32-bit на базе платы Arduino, позволяющий осуществлять ввод команд со скоростью 1000 символов в минуту, простой синтаксис языка, предназначенного для предварительного программирования устройства, позволяет легко создавать практически любые типы полезных нагрузок, которые будут исполнены на целевой машине автоматически, после подключения данного устройства к USB порту. Данное устройство доступно в свободной продаже по цене 55 долларов США [9].
Так же распространены устройства на базе ATMEGA32U4 в соответствии с рис. 6. Продаются на площадках китайских онлайн магазинов.
Рис. 6. ATMega 32U4
В производительности не отличаются от оригинального устройства американской компании, единственное отличие заключается в способе написания полезных нагрузок. В случае китайских устройств для программирования используется программа Arduino. Цена на такие устройства варьируются от 10 до 20 долларов США.
Помимо заранее программируемых устройств, в соответствии с рис. 7, в свободной продаже встречаются модели с Wi-Fi модулем, позволяющие подключенному к компьютеру устройству исполнять команды удаленно.
Рис. 7. CJMCU-3212
В их основе все так же лежит микроконтроллер ATMEGA32U4 с подключенным к нему Wi-Fi модулем ESPB266MOD. Цена на такие модели начинаются от 60 долларов США.
Данные устройства позволяют злоумышленникам сразу начать писать полезную нагрузку и эксплуатировать уязвимость, однако есть еще флеш-накопители с уязвимыми микроконтроллерами (например, Phison 2251-03), которые поддаются перепрошивке, позволяющими реализовывать полезную нагрузку на компьютерах жертв.
Учитывая относительно небольшую стоимость устройств, их простое программирование и применение, они найдут место в инвентаре каждого злоумышленника или корпоративного шпиона.
Список литературы
1 BadUSB - On Accessories that Turn Evil / Karsten Nohl, Jakob Lell. ГЭлектронный ресурс] URL: https://www.blackhat.eom/us-14/briefings.html#badusb-on-accessories-that-turn-evil (дата обращения: 11.06.2021).
2 BadAndroid / Jakob Lell. [Электронный ресурс] URL: https://github.com/tst-zdouglas/BadAndroid (дата обращения: 11.06.2021).
3 Psychson / Adam Caudill, Brandon Whitson. [Электронный ресурс] URL: https://github.com/brandonlw/Psychson (дата обращения: 11.06.2021).
4 Спецификация USB 2.0 / USB Implemented Forum. [Электронный ресурс] URL: https://www.usb.org/document-library/usb-20-specification (дата обращения: 11.06.2021).
5 Why the Security of USB Is Fundamentally Broken / Andy Greenberg. [Электронный ресурс] URL: https://www.wired.com/2014/07/usb-security/ (дата обращения: 11.06.2021).
6 USB Killer / Dark Purple. [Электронный ресурс] URL: https://habr.com/ ru/post/251451/ (дата обращения: 11.06.2021).
7 LAN Turtle. / Hak5. [Электронный ресурс] URL: https://shop.hak5.org/products/lan-turtle (дата обращения: 11.06.2021).
8 Hotplug Attack Tools / Hak5. [Электронный ресурс] URL: https://shop.hak5.org/ col-lections/hotplug-attack-tools (дата обращения: 11.06.2021).
9 Rubber Ducky. / Hak5. [Электронный ресурс] URL: https://shop.hak5.org/ collections/ hotplug-attack-tools/products/usb-rubber-ducky-deluxe (дата обращения: 11.06.2021).
Дельмухаметов Аскар Дамирович, специалист, оператор, era1@mil.ru, Россия, Анапа, ФГАУ «ВИТ «ЭРА »»,
Воробьев Андрей Васильевич, младший научный сотрудник, era_1@mil.ru, Россия, Анапа, ФГАУ «ВИТ «ЭРА»»
«BADUSB» VULNERABILITY ANALYSIS A.D. Delmukhametov, A.V. Vorobyev
The relevance of this article is related to the need to create a system to protect workstations and server equipment from such attacks. Despite the fact that the BadUSB vulnerability was discovered in 2014, there is still no protection against such attacks. Potential victims may be commercial, state organizations and other enterprises. A workstation user or a server hardware administrator can initialize a malicious device on a machine and not detect it, since conventional antiviruses are not able to distinguish an ordinary keyboard from an infected device.
Key words: USB devices, BadUSB, hardware vulnerabilities.
Delmukhametov Askar Damirovich, specialist, operator, era_1@mil.ru, Russia, Anapa, FGAU «MIT «ERA»»,
Vorobyov Andrey Vasilyevich, junior researcher, era_1@mil.ru, Russia, Anapa, FGAU «MIT «ERA»»
УДК 358.236
DOI: 10.24412/2071-6168-2021-9-34-37
МАТЕМАТИЧЕСКАЯ МОДЕЛЬ РЕМОНТА ТЕХНИКИ СВЯЗИ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ
Ю.А. Мегера
Рассмотрена модель процесса функционирования системы ремонта техники связи и АСУ в условиях взаимодействия с сервисными предприятиями оборонно-промышленного комплекса. Модель позволяет дать оценочные показатели варианту системы ремонта.
Ключевые слова: система ремонта техники связи и АСУ, восстановление военной техники, ремонтные органы.
Модель может быть представлена в виде функции, определяющей области изменений характеристик объекта исследования на множестве допустимых значений в ходе проводимой операции [1, 2, 3].
