Новый вид атак с использованием перепрограммированных USB-устройств

31 июля 2014 года

На следующей неделе на конференции Black Hat запланирована демонстрация новой атаки BadUSB, для совершения которой используются USB-устройства со специально модифицированной прошивкой. В результате внесённых изменений USB-устройство может сэмулировать работу совершенно другого типа USB-устройств и вклиниться в работу системы.

Например, USB-накопитель или web-камера с интерфейсом USB в определённый момент могут сэмулировать работу USB-клавиатуры и осуществить подстановку ввода. Источником проблем также может оказаться штатная USB-клавиатура с изменённой прошивкой или штатный USB-накопитель (организация скрытого ввода или подмены записываемых данных). USB-устройства в системе пользуются изначально слишком высоким уровнем доверия, не подразумевающим, что они могут выполнить не только штатные действия. Современными методами обнаружения вредоносного ПО практически невозможно выявить факт модификации прошивки, что затрудняет обнаружение и предотвращение атаки до момента её совершения.

Вредоносные изменения можно выявить зачастую только через очень трудоёмкие методы анализа, такие как физическое дизасcемблирование и обратный инжиниринг устройства. Получить код прошивки с внешнего USB-устройства можно только при участии самой прошивки, которая в случае наличия вредоносных вставок успешно сможет исключить их из дампа. Большие трудности также предоставляет чистка вредоносных вставок, которые можно удалить только через восстановление оригинальной прошивки, что без специализированного оборудования также невозможно сделать без участия поражённой прошивки. При этом нет особых трудностей с начальной модификацией прошивки USB-устройств традиционным вредоносным ПО.

Возможные варианты атаки могут меняться в достаточно широком диапазоне, например, вместо клавиатуры может быть симулирован сетевой адаптер, который может применяться для подмены запрашиваемого контента. Вместо специализированных USB-устройств в качестве звена для проведения атаки могут применяться и смартфоны. Например, на Black Hat будет продемонстрирована атака с использованием смартфона под управлением платформы Android.

Атаку продемонстрирует Карстен Нол (Karsten Nohl), известный созданием метода вскрытия алгоритма шифрования A5/1, разработкой техники воссоздания алгоритма шифрования смарт-карт по их снимкам и созданием успешных методов атак на сети GSM. Будет сделано четыре демонстрации, три из которых будут проведены на устройствах с чипами контроллеров компании Phison Electronics.

Кроме вышеупомянутых демонстраций с превращением USB-накопителя в клавиатуру и сетевую карту, будет показана атака с применением скрытого внесения изменений в сохраняемые на USB-накопителе данные. В частности, USB-накопитель с изменённой прошивкой осуществит подстановку вредоносного кода в скопированный на накопитель инсталляционный файл с Ubuntu Linux. При этом модификация проявится только при попытке установки Ubuntu на другом компьютере, проверка контрольной суммы после копирования файла не выявит проблем.