Два месяца назад хакеры Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) на конференции Black Hat рассказали о способах взлома компьютера по USB, а также показали несколько зловредов, которые они обнаружили за последние годы. Кроме того, они показали написанную ими программу BadUSB, которая устанавливается на периферийное устройство и полностью берёт под контроль компьютер при подключении к нему по USB.

На компьютере жертвы BadUSB может осуществлять различные действия, в том числе видоизменять файлы, которые устанавливаются в системе, перенаправлять интернет-трафик на произвольные адреса, изменив DNS-записи. Зловред всегда может выдать себя за клавиатуру и ввести произвольные команды.

Поскольку код находится в прошивке периферийного устройства, его довольно трудно обнаружить и удалить.

Карстен Нол и Якоб Лелл разработали эффективный способ взаимодействия между зловредом в системе и зловредом в прошивке. Установленная на компьютере программа может изменить прошивку по USB, а та, в свою очередь, может установить зловреда в системе. Эксперты высказывают мнение, что подобные инструменты уже используются спецслужбами.

Два месяца назад авторы не опубликовали исходный код программы, поскольку посчитали, что уязвимость является фундаментальной и её невозможно устранить. Теперь эта «ошибка» исправлена, так что отныне программой могут пользоваться не только спецслужбы.

Реверс-инжиниринг программы BadUSB провели специалисты по безопасности Адам Кодилл (Adam Caudill) и Брендон Уилсон (Brandon Wilson), результаты своей работы они показали на хакерской конференции Derbycon в Луисвилле (Кентукки).

Исходный код программы опубликован на Github.

20 комментариев

  1. Аватар

    03.10.2014 at 16:37

  2. Аватар

    03.10.2014 at 17:11

    пардон, а о какой ОС речь?

    • Аватар

      03.10.2014 at 18:24

      Походу любой — это хардверная проблема.

      • Аватар

        03.10.2014 at 20:46

        А где оно возьмёт пароль на sudo, даже если представится клавиатурой?

        • Аватар

          04.10.2014 at 00:25

          В репозитории на гитхабе всё описано лишь под Винду.
          Но если предположить, что оно может эмулировать клаву, то зачем вообще root доступ? Вы же не вводите пароль когда клаву подрубаете.

  3. Аватар

    04.10.2014 at 07:37

    >>>Поскольку код находится в прошивке периферийного устройства, его довольно трудно обнаружить и удалить.
    Думаю если ситуация с такими USB выйдет из под контроля то в данном случае единственный вариант борьбы с вредной прошивкой USB у антивирусов будет такой — при подключении устройства проверить тип устройства но не разрешать ее регистрацию в системе пока пользователь не подтвердит что подключен именно этот тип USB который увидел антивирус.

    • Аватар

      04.10.2014 at 16:13

      Ага. Вот ты подключаешь клавиатуру, как собираешься это подтверждать без клавиатуры?

      • Аватар

        04.10.2014 at 21:03

        Если подключаешь клавиатуру а там тебе антивирус говорит что подключен биометрический сканер отпечатков пальцев то не чего нажимать не надо. Просто надо отключить клаву поскольку у нее перепрошит контроллер.

        • Аватар

          06.10.2014 at 04:52

          А если ты подключаешь клавиатуру и антивирус пишет, что подключена клавиатура? Чем подтверждать? В писиспикер мамой поклясться, что сам воткнул?

          • Аватар

            06.10.2014 at 17:16

            Да вопрос серьезный! Но думаю могут быть решения …
            У вас есть свой вариант для решения проблемы с перепрошитым контроллером USB ?

            • Аватар

              10.10.2014 at 22:47

              Нету. По-моему, это фундаментальный баг.

              • Аватар

                10.10.2014 at 23:15

                Я более чем уверен что найдётся исчерпывающее решение этой проблемы. Тем более данная проблема пока что не получила большого распространения — следовательно за нее серьёзно не брались.

                • Аватар

                  12.10.2014 at 14:57

                  Эта проблема освещалась уже много лет назад, я не знаю, почему её подают как что-то новое. Вроде даже не хакере уже об этом писали.

    • Аватар

      08.10.2014 at 14:17

      А зачем такие сложности? Может, просто не стоит совать в комп с конфиденциальной информацией совать флешки, найденные на улице? Так ведь и мать спалить можно. 🙂

      • Аватар

        08.10.2014 at 16:32

        Вы считаете что флешки с опасной прошивкой могут быть только «найденные на улице» ?
        Речь не идёт о том — откуда придёт опасность, а о том как можно её обнаружить.

        • Аватар

          09.10.2014 at 15:03

          И что тут обнаруживать — сделать «белый» список HID-устройств и не корячиться.

          • Аватар

            09.10.2014 at 16:54

            1. Это слишком не удобно. ОС должна постоянно обновлять список устройств из белого списка.
            2. Контроллер на USB устройстве можно перепрошить под устройство из белого списка.
            И вы это называете не «не корячиться» ?

  4. Аватар

    06.10.2014 at 22:01

    Жаль, флешку убойную не сделать. Расщитано на RubberDucky

  5. Аватар

    31.10.2014 at 18:41

    а где достать такую
    флешку

Оставить мнение