Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (72)
  • добавить в избранное
    Добавить в закладки

Через флешки к цели

Прочитали: 3579 Комментариев: 102 Рейтинг: 116

Распространенная шутка на тему информбезопасности гласит: для абсолютной защиты компьютер нужно выключить, поместить его в пещеру и завалить вход. Однако, как мы уже убедились, даже выключенными компьютерами при определенных условиях можно управлять – это позволяет технология Intel AMT. А спасет ли ПК строгая изоляция?

Компьютеры, не включенные в общую сеть и не имеющие выхода в Интернет, – явление достаточно частое. Такие машины могут использоваться, например, для обработки особо важной информации.

Среди пиратов распространен миф о том, что антивирусы проверяют по сети наличие в ней компьютеров с одинаковым ключом. Не будем опровергать данный «факт» – укажем лишь, что любая неописанная в документации возможность не позволила бы продукту пройти сертификацию, так как частью этого процесса является проверка на отсутствие недокументированных возможностей или скрытого от пользователя функционала.

Если на компьютер не поступает никакая информация извне (ее ввод осуществляется только с клавиатуры или с постоянно присоединенных периферийных устройств), то заражение возможно, но, скорее всего, потребуется использование чего-то типа аппаратных закладок.

Однако на практике обмен информацией обособленных компьютеров с общей сетью осуществляется – как правило, с помощью сменных носителей. Например, флешек.

22 июня 2017 года сайт WikiLeaks опубликовал документы проекта ЦРУ под названием Brutal Kangaroo. Это набор инструментов под Windows, предназначенных для заражения физически изолированных компьютеров, которые отключены от интернета (air gap), с помощью флешек.

Проект Brutal Kangaroo состоит из следующих компонентов:

  • Drifting Deadline: инструмент заражения флешки.
  • Shattered Assurance: серверный инструмент, который отслеживает процесс автоматизированного заражения флешек, также основной способ распространения набора Brutal Kangaroo. Для заражения отдельных флешек используется программа Drifting Deadline.
  • Broken Promise: постпроцессор Brutal Kangaroo.
  • Shadow: основной механизм присутствия. Это инструмент стадии 2, который распространяется внутри закрытой сети и работает как скрытая CnC-сеть.

Для работы Brutal Kangaroo на компьютере должен быть установлен .Net 4.5.

https://geektimes.ru/post/290367

Последняя фраза вызывает в памяти воспоминания о вирусах времен MS-DOS, когда их авторы боролись за каждый байт. Сейчас же вредоносные программы не просто заражают систему, но еще и требуют выполнения системных требований!

Привереды.

Как происходит заражение и кража информации (или ее модификация другим ПО от АНБ)? Да так же, как и в случае аналогичных вредоносных программ:

  1. Первичное заражение – с помощью взлома, фишинга или другого способа.

    Исходное заражение произошло из-за того, что антивирус на рабочей станции сотрудника, запустившего ВПО из фишингового письма, содержащего documents.exe, был отключен или использовал устаревшие антивирусные базы.

    Необходимо отметить, что антивирусное ПО выявляло как исходные вредоносные вложения, так и активность злоумышленников после компрометации — задолго до того, как произошла кража средств. В числе прочего выявлялась подозрительная активность легитимного ПО Ammyy Admin. В некоторых случаях заражение было предотвращено антивирусом.

    https://www.drweb.ru/pravda/issue/?number=226&lng=ru

  2. Ожидание подсоединения к зараженному компьютеру сменного носителя.
  3. Заражение этого носителя.

    Компания «Доктор Веб» сообщает о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа.

    По классификации Dr.Web, этот вредоносный код именуется Win32.HLLW.Autoruner.

    https://news.drweb.ru/show/?i=178&c=5

  4. Заражение других серверов и рабочих станций через инфицированную флешку или иной съемный носитель.

Нетрудно заметить, что процесс заражения зависит от многих случайных вещей – например, наличия запрета на запись на сменный носитель и старта с него. Тем не менее, такой способ заражения используется достаточно широко. Так, применяют его банковские троянцы, предназначенные для проникновения в банкоматы.

Шпионское ПО имеет возможность настройки.

Разведчик выбирает шпионские модули, которые будут записаны на флешку, и указывает, какую информацию в системе-жертве нужно собирать и записывать на флешку. Создается маска для собираемых файлов. Здесь же указывается максимальный объем информации для сбора и минимальный процент свободного пространства на флешке, который должен остаться (вероятно, чтобы не вызвать подозрений). Указывается формат записи для собранной информации. Например, все можно записывать в существующий файл (например, jpg или png) или напрямую потоком данных в NTFS, что будет скрыто от просмотра. Указывается максимальное количество запусков шпионского модуля, условия запуска (например, только при авторизации администратора в системе), процессы «черного списка», при которых запуск отменялся, и т.д.

#drweb

Интересно, что в мире вредоносных программ распространением через сменные устройства отметилось крайне редкое вредоносное ПО – для iOS.

При подключении смартфона или планшета к компьютеру через USB-кабель Trojan.AceDeciever.2 автоматически устанавливает троянца IPhoneOS.AceDeciever на мобильное устройство. Для этого он использует уязвимость в DRM-протоколе FairPlay компании Apple.

#drweb

https://vms.drweb.ru/virus/?_is=1&i=14804777

#безопасность #съемные_устройства

Dr.Web рекомендует

Абсолютная безопасность – недостижимый идеал. Утверждение о том, что серверы компании полностью защищены, поскольку работать на них могут только квалифицированные админы, – опасное заблуждение: могут вмешаться неизвестные уязвимости и/или ошибки в настройке. Наличие того или другого рано или поздно приводит к тому, что в ходе антивирусной проверки на сервере обнаруживается троянец.

Поэтому, даже если ваш компьютер изолирован, антивирус ему необходим. На всякий случай. А случаи бывают разные.

Интересный факт. Dr.Web может обновляться как в изолированных сетях, так и на изолированных компьютерах. Защита всегда будет оставаться актуальной.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: