Два месяца назад хакеры Карстен Нол (Karsten Nohl) и Якоб Лелл (Jakob Lell) на конференции Black Hat рассказали о способах взлома компьютера по USB, а также показали несколько зловредов, которые они обнаружили за последние годы. Кроме того, они показали написанную ими программу BadUSB, которая устанавливается на периферийное устройство и полностью берёт под контроль компьютер при подключении к нему по USB.

На компьютере жертвы BadUSB может осуществлять различные действия, в том числе видоизменять файлы, которые устанавливаются в системе, перенаправлять интернет-трафик на произвольные адреса, изменив DNS-записи. Зловред всегда может выдать себя за клавиатуру и ввести произвольные команды.

Поскольку код находится в прошивке периферийного устройства, его довольно трудно обнаружить и удалить.

Карстен Нол и Якоб Лелл разработали эффективный способ взаимодействия между зловредом в системе и зловредом в прошивке. Установленная на компьютере программа может изменить прошивку по USB, а та, в свою очередь, может установить зловреда в системе. Эксперты высказывают мнение, что подобные инструменты уже используются спецслужбами.

Два месяца назад авторы не опубликовали исходный код программы, поскольку посчитали, что уязвимость является фундаментальной и её невозможно устранить. Теперь эта «ошибка» исправлена, так что отныне программой могут пользоваться не только спецслужбы.

Реверс-инжиниринг программы BadUSB провели специалисты по безопасности Адам Кодилл (Adam Caudill) и Брендон Уилсон (Brandon Wilson), результаты своей работы они показали на хакерской конференции Derbycon в Луисвилле (Кентукки).

Исходный код программы опубликован на Github.



20 комментариев

  1. 03.10.2014 at 16:37

  2. 03.10.2014 at 17:11

    пардон, а о какой ОС речь?

    • 03.10.2014 at 18:24

      Походу любой — это хардверная проблема.

      • 03.10.2014 at 20:46

        А где оно возьмёт пароль на sudo, даже если представится клавиатурой?

        • 04.10.2014 at 00:25

          В репозитории на гитхабе всё описано лишь под Винду.
          Но если предположить, что оно может эмулировать клаву, то зачем вообще root доступ? Вы же не вводите пароль когда клаву подрубаете.

  3. 04.10.2014 at 07:37

    >>>Поскольку код находится в прошивке периферийного устройства, его довольно трудно обнаружить и удалить.
    Думаю если ситуация с такими USB выйдет из под контроля то в данном случае единственный вариант борьбы с вредной прошивкой USB у антивирусов будет такой — при подключении устройства проверить тип устройства но не разрешать ее регистрацию в системе пока пользователь не подтвердит что подключен именно этот тип USB который увидел антивирус.

    • 04.10.2014 at 16:13

      Ага. Вот ты подключаешь клавиатуру, как собираешься это подтверждать без клавиатуры?

      • 04.10.2014 at 21:03

        Если подключаешь клавиатуру а там тебе антивирус говорит что подключен биометрический сканер отпечатков пальцев то не чего нажимать не надо. Просто надо отключить клаву поскольку у нее перепрошит контроллер.

        • 06.10.2014 at 04:52

          А если ты подключаешь клавиатуру и антивирус пишет, что подключена клавиатура? Чем подтверждать? В писиспикер мамой поклясться, что сам воткнул?

          • 06.10.2014 at 17:16

            Да вопрос серьезный! Но думаю могут быть решения …
            У вас есть свой вариант для решения проблемы с перепрошитым контроллером USB ?

            • 10.10.2014 at 22:47

              Нету. По-моему, это фундаментальный баг.

              • 10.10.2014 at 23:15

                Я более чем уверен что найдётся исчерпывающее решение этой проблемы. Тем более данная проблема пока что не получила большого распространения — следовательно за нее серьёзно не брались.

                • 12.10.2014 at 14:57

                  Эта проблема освещалась уже много лет назад, я не знаю, почему её подают как что-то новое. Вроде даже не хакере уже об этом писали.

    • 08.10.2014 at 14:17

      А зачем такие сложности? Может, просто не стоит совать в комп с конфиденциальной информацией совать флешки, найденные на улице? Так ведь и мать спалить можно. 🙂

      • 08.10.2014 at 16:32

        Вы считаете что флешки с опасной прошивкой могут быть только «найденные на улице» ?
        Речь не идёт о том — откуда придёт опасность, а о том как можно её обнаружить.

        • 09.10.2014 at 15:03

          И что тут обнаруживать — сделать «белый» список HID-устройств и не корячиться.

          • 09.10.2014 at 16:54

            1. Это слишком не удобно. ОС должна постоянно обновлять список устройств из белого списка.
            2. Контроллер на USB устройстве можно перепрошить под устройство из белого списка.
            И вы это называете не «не корячиться» ?

  4. 06.10.2014 at 22:01

    Жаль, флешку убойную не сделать. Расщитано на RubberDucky

  5. 31.10.2014 at 18:41

    а где достать такую
    флешку

Оставить мнение