Через флешки к цели

Незваные гости

добавить в избранное

Через флешки к цели

Прочитали: 5540 Комментариев: 65 Рейтинг: 126

8 августа 2017

Распространенная шутка на тему информбезопасности гласит: для абсолютной защиты компьютер нужно выключить, поместить его в пещеру и завалить вход. Однако, как мы уже убедились, даже выключенными компьютерами при определенных условиях можно управлять – это позволяет технология Intel AMT. А спасет ли ПК строгая изоляция?

Компьютеры, не включенные в общую сеть и не имеющие выхода в Интернет, – явление достаточно частое. Такие машины могут использоваться, например, для обработки особо важной информации.

Среди пиратов распространен миф о том, что антивирусы проверяют по сети наличие в ней компьютеров с одинаковым ключом. Не будем опровергать данный «факт» – укажем лишь, что любая неописанная в документации возможность не позволила бы продукту пройти сертификацию, так как частью этого процесса является проверка на отсутствие недокументированных возможностей или скрытого от пользователя функционала.

Если на компьютер не поступает никакая информация извне (ее ввод осуществляется только с клавиатуры или с постоянно присоединенных периферийных устройств), то заражение возможно, но, скорее всего, потребуется использование чего-то типа аппаратных закладок.

Однако на практике обмен информацией обособленных компьютеров с общей сетью осуществляется – как правило, с помощью сменных носителей. Например, флешек.

22 июня 2017 года сайт WikiLeaks опубликовал документы проекта ЦРУ под названием Brutal Kangaroo. Это набор инструментов под Windows, предназначенных для заражения физически изолированных компьютеров, которые отключены от интернета (air gap), с помощью флешек.

Проект Brutal Kangaroo состоит из следующих компонентов:

Drifting Deadline: инструмент заражения флешки.
Shattered Assurance: серверный инструмент, который отслеживает процесс автоматизированного заражения флешек, также основной способ распространения набора Brutal Kangaroo. Для заражения отдельных флешек используется программа Drifting Deadline.
Broken Promise: постпроцессор Brutal Kangaroo.
Shadow: основной механизм присутствия. Это инструмент стадии 2, который распространяется внутри закрытой сети и работает как скрытая CnC-сеть.

Для работы Brutal Kangaroo на компьютере должен быть установлен .Net 4.5.

https://geektimes.ru/post/290367

Последняя фраза вызывает в памяти воспоминания о вирусах времен MS-DOS, когда их авторы боролись за каждый байт. Сейчас же вредоносные программы не просто заражают систему, но еще и требуют выполнения системных требований!

Привереды.

Как происходит заражение и кража информации (или ее модификация другим ПО от АНБ)? Да так же, как и в случае аналогичных вредоносных программ:

Первичное заражение – с помощью взлома, фишинга или другого способа.

Исходное заражение произошло из-за того, что антивирус на рабочей станции сотрудника, запустившего ВПО из фишингового письма, содержащего documents.exe, был отключен или использовал устаревшие антивирусные базы.

Необходимо отметить, что антивирусное ПО выявляло как исходные вредоносные вложения, так и активность злоумышленников после компрометации — задолго до того, как произошла кража средств. В числе прочего выявлялась подозрительная активность легитимного ПО Ammyy Admin. В некоторых случаях заражение было предотвращено антивирусом.

https://www.drweb.ru/pravda/issue/?number=226&lng=ru
Ожидание подсоединения к зараженному компьютеру сменного носителя.
Заражение этого носителя.

Компания «Доктор Веб» сообщает о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа.

По классификации Dr.Web, этот вредоносный код именуется Win32.HLLW.Autoruner.

https://news.drweb.ru/show/?i=178&c=5
Заражение других серверов и рабочих станций через инфицированную флешку или иной съемный носитель.

Нетрудно заметить, что процесс заражения зависит от многих случайных вещей – например, наличия запрета на запись на сменный носитель и старта с него. Тем не менее, такой способ заражения используется достаточно широко. Так, применяют его банковские троянцы, предназначенные для проникновения в банкоматы.

Шпионское ПО имеет возможность настройки.

Разведчик выбирает шпионские модули, которые будут записаны на флешку, и указывает, какую информацию в системе-жертве нужно собирать и записывать на флешку. Создается маска для собираемых файлов. Здесь же указывается максимальный объем информации для сбора и минимальный процент свободного пространства на флешке, который должен остаться (вероятно, чтобы не вызвать подозрений). Указывается формат записи для собранной информации. Например, все можно записывать в существующий файл (например, jpg или png) или напрямую потоком данных в NTFS, что будет скрыто от просмотра. Указывается максимальное количество запусков шпионского модуля, условия запуска (например, только при авторизации администратора в системе), процессы «черного списка», при которых запуск отменялся, и т.д.

Интересно, что в мире вредоносных программ распространением через сменные устройства отметилось крайне редкое вредоносное ПО – для iOS.

При подключении смартфона или планшета к компьютеру через USB-кабель Trojan.AceDeciever.2 автоматически устанавливает троянца IPhoneOS.AceDeciever на мобильное устройство. Для этого он использует уязвимость в DRM-протоколе FairPlay компании Apple.

https://vms.drweb.ru/virus/?_is=1&i=14804777

#безопасность #съемные_устройства

Антивирусная правДА! рекомендует

Абсолютная безопасность – недостижимый идеал. Утверждение о том, что серверы компании полностью защищены, поскольку работать на них могут только квалифицированные админы, – опасное заблуждение: могут вмешаться неизвестные уязвимости и/или ошибки в настройке. Наличие того или другого рано или поздно приводит к тому, что в ходе антивирусной проверки на сервере обнаруживается троянец.

Поэтому, даже если ваш компьютер изолирован, антивирус ему необходим. На всякий случай. А случаи бывают разные.

Интересный факт. Dr.Web может обновляться как в изолированных сетях, так и на изолированных компьютерах. Защита всегда будет оставаться актуальной.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Вячeслaв Собкор
13:06:15 2019-07-10

@tataku, смотря какой продукт. Для централизованной защиты можно использовать специальную утилиту, можно синхронизировать репозитории центра управления через сменный носитель. Для отдельных машин чаще всего просто копируют базы

tataku
13:01:10 2019-07-10

@admin
>Интересный факт. Dr.Web может обновляться как в изолированных сетях, так и на изолированных компьютерах. >Защита всегда будет оставаться актуальной.
А как это происходит, что для этого надо делать пользователю?

Katerina
16:20:03 2018-10-31

Антивирус нужен всегда,и на ПК и на планшете. Как всегда интересно и актуально.

Toma
10:03:41 2018-08-14

Антивирус нужен на любом ПК!

Денисенко Павел Андреевич
22:58:47 2018-08-02

Dr.Web можно устанавливать даже уже на зараженый (вирисованный) ПК. Так как он вирусоустойчивый.

Неуёмный Обыватель Собкор
23:47:15 2018-06-28

Аха, значит пишет-пишет на изолированном ПК на флешку все, а как воткнешь такую флешку в ПК с выходом в интернет, так и сольет накопленные данные.

vasvet
20:03:52 2018-04-04

Способность Dr.Web обновляться в изолированных сетях, может стать решением многих проблем.

kozinka.ru Собкор
21:39:57 2017-08-16

Флешка - очень важная персона!

Пaвeл Собкор
07:27:55 2017-08-15

Подключение через USB может привести к утечке конфиденциальных данных
Подробнее: http://www.securitylab.ru/news/487804.php
"Эксперты протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что свыше 90% из них «сливали» информацию на внешнее USB-устройство."

Родриго
16:49:48 2017-08-13

интересен момент про обновления Доктора на изолированных компьютерах

bromb
14:25:23 2017-08-10

Интересно, а что скажут по этому поводу приверженцы Linux?

Марина
23:09:39 2017-08-08

"Привереды."

Хаха, смешно.

К...н
22:42:12 2017-08-08

Цель оправдывает средства

aleks_ku
22:33:15 2017-08-08

есть оказывается и "Первичное заражение"!

Zserg
22:05:08 2017-08-08

Даже немного интересно

vla_va
21:59:50 2017-08-08

Надо же какое умное "Шпионское ПО"

Dvakota
21:54:42 2017-08-08

Антивирус необходим , причем всегда .

В...а
21:38:42 2017-08-08

Все просчитывают

НинаК
20:44:24 2017-08-08

недостижимый идеал...

Littlefish Собкор
20:28:29 2017-08-08

@Шалтай_Александр_Болтай, "Жизнь слишком коротка, чтобы тратить её на безопасное извлечение флешки".
Если флешка дорогА и дОроги файлы на ней, то время обязательно найдется.
Помнится и выпуск об этом был:
https://www.drweb.ru/pravda/issue/?number=309&lng=ru
Многие не пользуются стандартными методами извлечения сменных носителей (для ОС Windows – c помощью ярлыка «безопасное извлечение устройств и дисков»), а просто выдергивают флешку или провод из разъема. Если в это время антивирус активно работал с файлами, не исключено повреждение носителя.

orw_mikle
20:09:02 2017-08-08

Антивирус нужен точно.

ek
20:05:16 2017-08-08

Распространенных ошибок много

Любитель пляжного футбола Собкор
19:34:31 2017-08-08

@razgen, увы, но без сменных носителей здесь никак. Понятно, что флешку нужно будет сначала проверить, но антивирусы бывают разные, и всегда есть вероятность, что притаившийся вирус может быть не обнаружен... Везде есть слабые звенья, и 100%-ную безопасность нельзя гарантировать. :(

kva-kva
19:28:21 2017-08-08

Все как обычно - от человека с флэшкой к ПК :)

razgen Собкор
17:00:58 2017-08-08

@Любитель_пляжного_футбола, А что без флэшки никак. А то был вирус допотопный или может вообще никакого не было, а с флэшкой можно завезти новейший вирус. Ведь всё вертится вокруг флэшки.

a13x Собкор
15:50:23 2017-08-08

"Интересный факт. Dr.Web может обновляться как в изолированных сетях, так и на изолированных компьютерах. Защита всегда будет оставаться актуальной" - только для этого админу надо попыхтеть :)

Maat
14:22:19 2017-08-08

@Вячeслaв, :) ну по крайней мере работает - если конечно пользователь сам не начнет авторанством заниматься :)) запуская незнакомые файлы на выполнение, хотя автораны бывают файлы скрытыми делают, в таком случае без вмешательства сами уж точно заразу не запустят.

Вячeслaв Собкор
14:16:40 2017-08-08

@Maat, Есть такое. Я достаточно стар, что бы помнить те времена, когда это было популярно :-)
Но сейчас я бы не стал полагаться на такие меры защиты

Maat
14:07:11 2017-08-08

@Вячeслaв, под вакцинацией подразумивается защита от изменения файлов связанных с автораном, есть даже специальные утилиты для этого, а можно и в ручную, если знаешь тонкости. На хабре есть статья, в поисковике гугл задаешь "вакцинация флешки" и в результатах прямая ссылка на статью. Давно этим способом флешки закрывали от авторанов. Так как обычному пользователю объяснить как не заражать флешки не всегда возможно, проще процедуру провести.

Любитель пляжного футбола Собкор
14:04:47 2017-08-08

@razgen, всё просто, завозить на флешке. :) Ежечасное обновление там ни к чему, максимум столкнёшься с допотопным вирусом. :)

AxooxA
13:56:29 2017-08-08

Потоки данных некоторых мелких существ поражают

Вячeслaв Собкор
13:55:48 2017-08-08

@Maat, @Littlefish, @Littlefish, А как вакцинировать? Вакцины - это помещение обезвреженного тела вируса на флешку. Вирусов много, да и плюют вирусы на такие уловки

Вячeслaв Собкор
13:52:24 2017-08-08

@Morpheus, "А если ... доступ разрешить только определенным лицам с определенными устройствами?"
Проблема в том, что идентификаторы флешнек всей партии как правило одинаковы. Системы защиты их не различают. Поэтому для пользователя так можно - риск попасться на такую же флешку невелик. Для корпоратива уже подобрать флешку можно - вопрля цены информации компании

Вячeслaв Собкор
13:48:40 2017-08-08

@eaglebuk, "Ammyy Аdmin легитимное ПО, но DrWeb его не очень жалует"
И хакеры его тоже любят. Поэтому не не любим, а предупреждаем, что запуск удаленного управления может быть действием хакера. Мы же не знаем, кто запустил

Шалтай Александр Болтай Собкор
13:41:18 2017-08-08

Жизнь слишком коротка, чтобы тратить её на безопасное извлечение флешки.

duduka
13:26:05 2017-08-08

Нет предела совершенству

Maat
13:21:20 2017-08-08

@Littlefish, под вакцинацией подразумивается защита от изменения файлов связанных с автораном, есть даже специальные утилиты для этого, а можно и в ручную, если знаешь тонкости.

Littlefish Собкор
13:14:55 2017-08-08

@user, "Ждём новые версии DrWeb, где программа будет установлена напрямую потоком данных в NTFS..."
Ух, вот это интересное предложение по усовершенствованию.

Littlefish Собкор
13:12:53 2017-08-08

@Maat, "Существует вакцинация тех же флешек от инфицирования их всякими авторанами - как способ для обеспечения безопасности для пользователей".
@admin, расскажите пожалуйста, как специалисты Dr.Web относятся к вакцинации флешек от инфицирования, стОит или не стОит вакцинировать?

Littlefish Собкор
13:08:35 2017-08-08

@Morpheus, а у этих определённых лиц эти определённые устройства и могут быть как раз заражены.

Littlefish Собкор
13:06:43 2017-08-08

Шах и мат тем, кто уверен, что компьютеру без интернета и сети не нужен антивирус.

razgen Собкор
13:01:54 2017-08-08

@Любитель_пляжного_футбола, а как быть с обновлениями антивируса в "захолустной деревне, где об интернете и не слышали", ведь без ежечасных обновлений установленный антивирус будет быстро терять свою актуальность и надёжность защиты.

vinnetou
12:11:23 2017-08-08

Спасибо за интересный выпуск!!!

Alexander Собкор
11:44:49 2017-08-08

Почти девять лет прошло, как Dr.Web сообщал о "значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства". И вот опять. Оно и понятно, использование флешек не сокращается. Для работы и в офисе, и дома с единой базой данных, для использования "удобных своих" портабельных программ, для запуска других операционных систем. Удобно, но не всегда легитимно, и чаще всего с повышенной угрозой безопасности. С интересом прочел о работе Brutal Kangaroo. "Подходит" оптимально для подобных трудоголиков.
Конечно, необходимо проверять антивирусом флешку при каждом ее подключении. Еще не помешает отключить ее автозапуск. Спасибо за статью.

Любитель пляжного футбола Собкор
11:27:38 2017-08-08

Да, антивирус необходим, хоть самый простой, даже если компьютер в какой-нибудь захолустной деревне, где об интернете и не слышали. Мало ли что...

GREII Собкор
11:14:54 2017-08-08

Если подключаются сменные носители и нет сети то антивирус должен быть на любом позволяющем устройстве... Спасибо

dyadya_Sasha Собкор
11:10:14 2017-08-08

Если на компьютере такая важная информация, что его изолировали затратив деньги "на пещеру и камни", то наверняка там и антивирус стоит, затраты на который будут мизерными по сравнению с затратами на изоляцию.

razgen Собкор
10:21:58 2017-08-08

@sapfira: "Заваленная пещера должна быть еще затоплена."

Так не пойдёт, если затопить компьютер выйдет из строя =).

user
09:51:04 2017-08-08

Ждём новые версии DrWeb, где программа будет установлена напрямую потоком данных в NTFS, что будет скрыто от просмотра для обычных пользователей.

Andromeda
09:48:09 2017-08-08

Сейчас гораздо меньше заражённых флешек попадается.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Через флешки к цели

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей