» »

Napad s pošiljanjem USB-ključkov po pošti

Napad s pošiljanjem USB-ključkov po pošti

Slo-Tech - V ZDA se je ponovno razmahnila pred dvema letoma popularna taktika podtikanja zlonamerne programske opreme na računalnike. Napadalci pošiljajo ključke USB, ki jih prejemniki vstavijo v svoje računalnike, kar sproži namestitev virusov. FBI opozarja, da je vtikanje nepreverjenih pomnilniških medijev v računalnike tvegano. A zlikovci so zelo prepričljivi.

Gre za skupino FIN7, ki se ukvarja s krajo osebnih podatkov za finančne malverzacije. Natančno izbranim tarčam dostavljajo ključke USB (tako imenovane BadUSB ali Bad Beetle USB), ki imajo logotip LilyGO. Od lanskega avgusta jih pošiljajo podjetjem, ki se ukvarjajo s prevozi in zavarovalništvom, od novembra pa tudi pogodbenikom v obrambni industriji. Pakete jim pošiljajo kar z ameriško pošto ali UPS. Oblikovani so tako, kot da jih pošilja Amazon ali HHS (Department of Health & Human Services). V nekaterih primerih jim priložijo celo kakšen dopis, denimo proticovidne smernice, zahvalo ali ponarejen darilni bon, s čimer skušajo vzbuditi vtis verodostojnosti in premamiti prejemnika v priključitev ključka v računalnik.

Če to stori, je zgodbe konec. Ključek se predstavi kot HID (Human Interface Device), torej deluje tudi na napravah, ki imajo izrecno onemogočeno uporabo USB-vhodov za prenos podatkov. Nato kot navidezna tipkovnica sistemu posreduje vnos tipk, ki naložijo zlonamerno programsko opremo (BlackMatter ali REvil) in kompromitirajo sistem.

18 komentarjev

Phantomeye ::

ah, rubber ducky.

Še zmer je pri takem napadu zelo pomemben timing. Če je računalnik prepočasen se sosledje ukazov hitro lahko sesuje

sija ::

Phantomeye je izjavil:

ah, rubber ducky.

Še zmer je pri takem napadu zelo pomemben timing. Če je računalnik prepočasen se sosledje ukazov hitro lahko sesuje

Kakor vem Windowsov cmd.exe in razne POSIX lupine ne pojejo dodatnega vnosa po koncu izvanjanja programa, če ga slučajno ne poje program, ne?

Pred takimi napadi se lahko verjerno zavarujemo s programi za whitelisting USB ključkov. Verjetno obstaja način, s katerim bi na določenih root hubih dovolili samo določene tipe naprav, recimo naprave za shranjevanje. Ali pa da tipkovnic in mišk privzeto ne bi povezali v sejo. SystemD ima dobro narejen sistem sej. HID naprave lahko poljubno premikamo med sejami. Verjetno lahko nastavimo, da privzeto ne gre HID naprava v našo sejo, ampak v neko, ki je še na pozivu za prijavo.

Mogoče kakšen https://github.com/USBGuard/usbguard?

Večja prepoznavnost problema pa vodi v to, da bi operacijski sistemi ne priklopili tipkovnic direktno v sejo, preden uporabnik to izrecno potrdi. Konec koncev pa ima lahko tudi tipkovnica iz trgovine cenovno ugodno vgrajen 5G modem (: Še kakih pet let, pa bo v tipkovnicah priklop v Internet za "preverjanje črkovanja" normalna stvar. \s

acoustis ::

A mi lahko kdo pove, kot za dummyja, kako je s tem, ce uporabljas VM. A ti takle software zna priti v osnovni sistem ali se ustavi na virtualcu? Pravzaprav se to ne vem, ce na virtualcu USB vhodi delujejo. :8)

poweroff ::

Usbguard je super zadeva. Uporabljam ga že leta, je pa težava, da ni več GUI-ja. No ja, je pa priklop novega USBja toliko bolj zaguljen... kar pa tudi ni slabo.8-)
sudo poweroff

filipk ::

acoustis je izjavil:

A mi lahko kdo pove, kot za dummyja, kako je s tem, ce uporabljas VM. A ti takle software zna priti v osnovni sistem ali se ustavi na virtualcu?

Tudi VM je program, ki ga je napisl človek. To se pravi, da ima napake. Tudi take, ki lahko preskočijo iz virtualke na gostiteljski OS. Načeloma take zadeve avtorji dokaj hitro popravijo, a kaj ko vsi ne posodabljajo redno in sproti. Tako, da je možnost, da zlonamerna programska oprema preskoči to bariero, realna, a k sreči dokaj majhna.

AgiZ ::

Rešitev težave je tudi firewall, ki potrebuje izrecno dovoljenje da se določena aplikacija sme povezati v internet. Tako tudi če se okužiš, aplikacija ne more klicati domov po nadaljnja navodila, in si rešen.
Sicer je kaj takega bolj mišljeno za naprednega uporabnika, ki ga zanima, katera aplikacija ima dostop do interneta. Ampak to je že druga zgodba.

sija ::

AgiZ je izjavil:

Rešitev težave je tudi firewall, ki potrebuje izrecno dovoljenje da se določena aplikacija sme povezati v internet. Tako tudi če se okužiš, aplikacija ne more klicati domov po nadaljnja navodila, in si rešen.
Sicer je kaj takega bolj mišljeno za naprednega uporabnika, ki ga zanima, katera aplikacija ima dostop do interneta. Ampak to je že druga zgodba.

Sicer pa lahko HID naprava samo navigira v nastavitve firewalla in ga najprej izklopi, potem pa zamenja njegovo izvršilno datoteko. Vse, kar si ti s tipkovnico nastavil, lahko spremeni, ne? (:

Ko je enkrat zlonameren program okužil tvoj shell, si izgubil. Lahko samo nariše čez ekran poziv za geslo, ki je do piksla natančen tvojemu. Zato ne razumem ljudi, ki se skličujoč na varnost v računalnike prijavljalo kot manj priviligirani uporabniki, potem pa z raznimi suid programi, kot recimo sudo, pridobijo dostop do root uporabnika.

AgiZ ::

Predpostavka je da uporabnik ni privilegiran uporabnik (v linuxu in winsih). Torej firewalla ne more izklopit, ne glede na to kako je skripta napisana.

Se strinjam, lahko je napisana zelo pametno, in preverja čudo situacij, in čaka na pravilne pogoje, da se nekaj izvede. Ali pa kot si napisal, se predstavi kot da je običajno vpisno polje za geslo (pa tudi pri tem nisem prepričan da lahko popolnoma poustvari tako polje). Je pa to že skoraj v področju sci-fi, ne več navaden napad.
Dodatno, če se poskuša povezat ven so nekateri firewalli narejeni tako (oboje Windows in *nix), da te opozori/zapiše v nek log poskus povezave. In če prej ne, takrat veš, da nekaj ne štima.

Ja, ni se enostavno boriti proti takim rečem, a je tak pristop v večini primerov zadosti. Je pa res da se že zgoraj orisanega pristopa k varnosti ne loteva ravno veliko ljudi (žal).

Phantomeye ::

sija je izjavil:

Phantomeye je izjavil:

ah, rubber ducky.

Še zmer je pri takem napadu zelo pomemben timing. Če je računalnik prepočasen se sosledje ukazov hitro lahko sesuje

Kakor vem Windowsov cmd.exe in razne POSIX lupine ne pojejo dodatnega vnosa po koncu izvanjanja programa, če ga slučajno ne poje program, ne?

Pred takimi napadi se lahko verjerno zavarujemo s programi za whitelisting USB ključkov. Verjetno obstaja način, s katerim bi na določenih root hubih dovolili samo določene tipe naprav, recimo naprave za shranjevanje. Ali pa da tipkovnic in mišk privzeto ne bi povezali v sejo. SystemD ima dobro narejen sistem sej. HID naprave lahko poljubno premikamo med sejami. Verjetno lahko nastavimo, da privzeto ne gre HID naprava v našo sejo, ampak v neko, ki je še na pozivu za prijavo.

Mogoče kakšen https://github.com/USBGuard/usbguard?

Večja prepoznavnost problema pa vodi v to, da bi operacijski sistemi ne priklopili tipkovnic direktno v sejo, preden uporabnik to izrecno potrdi. Konec koncev pa ima lahko tudi tipkovnica iz trgovine cenovno ugodno vgrajen 5G modem (: Še kakih pet let, pa bo v tipkovnicah priklop v Internet za "preverjanje črkovanja" normalna stvar. \s


V resnici ne razumem tega, kar si napisal.


Ampak, da vseeno bolj pojasnim, kaj sem mislil. Ne vem po kakem principu delujejo zgoraj omenjeni HID ključki, ampak recimo pri rubber ducky moraš vnesti med posameznimi akcijami nek sleep. Torej, če je prva akcija "press start button" druga akcija pa "type CMD", rabiš vmes nek sleep, da zagotoviš, da bo start menu tisti moment odprt, preden začne tipkat CMD...

problem je, če je na izbranem PC-ju čas odpiranja start menija daljši od nastavljenega sleepa. potem bo začel tipkat v prazno, po moznosti izbral kako aplikacijo in jo odprl in začel pisat payload tja noter (npr. Chrome). In to je le ena od mnogih situacij.

ampak ja, če odpošlješ 1000 takšnih usb-jev na naključne naslove, potem si pa povečaš verjetnost uspeha, ja.

poweroff ::

USBGuard je firewall z aUSB naprave. Vsaka USB naprava ima svoj ID (oz. tip naprave - se pravi iste tipkovnice istega proizvajalca imajo iste IDje). Iz IDja se vid tudi tip naprave - mass storage, HID,...

Ti v USBGuardu lahko nastaviš pravila v stilu:
- dovolim priklop kakršne koli USB naprave mass storage
- za HID dovolim priklop točno določene miške in tipkovnice
- ostalo je blokirano, oz me ob priklopu vprašaj kaj naj naredim...

Ni totalno waterproof, ampak lahko precej poveča varnost.

Aja, je pa ta software na voljo samo za resne operacijske sisteme (beri: Linux). :))
sudo poweroff

MrStein ::

AgiZ je izjavil:


Se strinjam, lahko je napisana zelo pametno, in preverja čudo situacij, in čaka na pravilne pogoje, da se nekaj izvede. Ali pa kot si napisal, se predstavi kot da je običajno vpisno polje za geslo (pa tudi pri tem nisem prepričan da lahko popolnoma poustvari tako polje).

Zakaj bi poustvaril?

- ključek požene firewall.exe
- firewall izpiše : za spremembe vtipkajte geslo
- game over
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

GupeM ::

Zakaj bi vpisoval geslo za firewall, če ga nisem pognal?

MrStein ::

Zakaj bi vpisoval geslo v dialog, ki ga ni pognal?
(tisti "poustvarjen")
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

GupeM ::

Ker ko pustiš računalnik v idle nekaj časa in se vrneš, lahko pričakuješ, da te vpraša za geslo za log-in. Da pa kar na random vpraša za geslo za zagon firewall.exe, je pa malo čudno, ane?

krempelj ::

Sicer ne varuje pred rubber duckyem, ampak morda bo v tej temi koga zanimalo: https://sandboxie-plus.com/



Zal spodoben application firewall za windowse ne obstaja vec, odkar so Outpost ukinili. Vse kar sem po tem videl, je delovalo na mnogo bolj primitivni ravni.
Praskam...

Zgodovina sprememb…

  • spremenilo: krempelj ()

poweroff ::

Pozna kdo spodoben per-application firewall za Linux? Po moznosti da ima GUI. Ker vecinoma je to podeočje v Linuxu ena velika žalost...
sudo poweroff

melvin ::

Poznam žal samo Gufw. Se tudi jaz priporočam za kaj bol spodobnega.
ASUS PRIME B560M-A | i9-10900K | Noctua NH-D15S | 64GB |
EVGA RTX 2060 | 512GB 970 PRO | RM750X | Meshify C |

sija ::

poweroff je izjavil:

Pozna kdo spodoben per-application firewall za Linux? Po moznosti da ima GUI. Ker vecinoma je to podeočje v Linuxu ena velika žalost...


Za Zoom Meetings za šolo na daljavo uporabljam firejail. AFAIK že pride s profilom zanj.

MrStein je izjavil:

Zakaj bi vpisoval geslo v dialog, ki ga ni pognal?
(tisti "poustvarjen")


Zato ker si ga. Virus lahko na tvoje dejanje počaka in pobere geslo naslednjič, ko odpreš nekaj, kar zahteva geslo. Recimo: https://null-byte.wonderhowto.com/how-t...

Phantomeye je izjavil:

sija je izjavil:

Phantomeye je izjavil:

ah, rubber ducky.

Še zmer je pri takem napadu zelo pomemben timing. Če je računalnik prepočasen se sosledje ukazov hitro lahko sesuje

Kakor vem Windowsov cmd.exe in razne POSIX lupine ne pojejo dodatnega vnosa po koncu izvanjanja programa, če ga slučajno ne poje program, ne?

Pred takimi napadi se lahko verjerno zavarujemo s programi za whitelisting USB ključkov. Verjetno obstaja način, s katerim bi na določenih root hubih dovolili samo določene tipe naprav, recimo naprave za shranjevanje. Ali pa da tipkovnic in mišk privzeto ne bi povezali v sejo. SystemD ima dobro narejen sistem sej. HID naprave lahko poljubno premikamo med sejami. Verjetno lahko nastavimo, da privzeto ne gre HID naprava v našo sejo, ampak v neko, ki je še na pozivu za prijavo.

Mogoče kakšen https://github.com/USBGuard/usbguard?

Večja prepoznavnost problema pa vodi v to, da bi operacijski sistemi ne priklopili tipkovnic direktno v sejo, preden uporabnik to izrecno potrdi. Konec koncev pa ima lahko tudi tipkovnica iz trgovine cenovno ugodno vgrajen 5G modem (: Še kakih pet let, pa bo v tipkovnicah priklop v Internet za "preverjanje črkovanja" normalna stvar. \s


V resnici ne razumem tega, kar si napisal.


Ampak, da vseeno bolj pojasnim, kaj sem mislil. Ne vem po kakem principu delujejo zgoraj omenjeni HID ključki, ampak recimo pri rubber ducky moraš vnesti med posameznimi akcijami nek sleep. Torej, če je prva akcija "press start button" druga akcija pa "type CMD", rabiš vmes nek sleep, da zagotoviš, da bo start menu tisti moment odprt, preden začne tipkat CMD...

problem je, če je na izbranem PC-ju čas odpiranja start menija daljši od nastavljenega sleepa. potem bo začel tipkat v prazno, po moznosti izbral kako aplikacijo in jo odprl in začel pisat payload tja noter (npr. Chrome). In to je le ena od mnogih situacij.


Aja, razumem ... Na to pa sploh nisem pomislil (:


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Online plačevanje

Oddelek: Loža
131938 (1595) mikhail
»

Equation Group razvil hujše metode kot Stuxnet (strani: 1 2 )

Oddelek: Novice / Varnost
7533787 (27570) Iatromantis
»

NSA prisluškuje s fizičnim vgrajevanjem hroščev

Oddelek: Novice / Zasebnost
76187 (4851) Tarzan
»

Zanimiv napad na kontroler trdega diska (strani: 1 2 3 )

Oddelek: Novice / Varnost
12044318 (38239) MrStein
»

Hekerski napadi na bankomate

Oddelek: Novice / Varnost
2810469 (8711) poweroff

Več podobnih tem