Вы используете устаревший браузер!

Страница может отображаться некорректно.

Следите за вещами!

Следите за вещами!

Другие выпуски этой рубрики (23)
  • добавить в избранное
    Добавить в закладки

Прикинулся флешкой

Прочитали: 13677 Комментариев: 68 Рейтинг: 133

9 августа 2017

Как правило, если мы видим (или используем) какой-то носитель, то мы думаем исключительно о файлах, на него записанных. Но что есть файл? Это некая область на носителе. А носитель носителю рознь. Скажем, если мы берем в руки жесткий диск компьютера, то, не читая маркировку и не будучи специалистами, мы не можем сказать, сколько «блинов» используется на этом диске, каков метод записи и т.д.

Это приводит к тому, что, если бы мы попытались просто подсоединить носитель с данными к компьютеру – тот бы, скорее всего, ничего не понял. Нужен «переводчик», который данные с носителя сделает понятными для компьютера. Такой «переводчик» позволяет нам не задумываться о различиях в носителях и смело «пихать» новые устройства в подходящие разъемы.

Возьмем, к примеру, флешки. Схема их примерно такова:

Каждое устройство USB имеет чип контроллера и память для прошивки, пользователь всего этого не видит.

#drweb

https://www.anti-malware.ru/analytics/Threats_Analysis/security-flaws-in-usb

Когда вы вставляете новую флешку в компьютер, тот получает идентификатор типа устройства и запрашивает содержимое прошивки – в частности, драйвер, который позволит без проблем читать и записывать на флешку данные.

То есть, подключив флешку, вы тем самым заставляете операционную систему загрузить с флешки драйвер.

С любой флешки.

Драйвер с совершенно неизвестным ОС функционалом.

Цыганкам о подобном доверии остается лишь мечтать.

Несколько примеров атак.

Благодаря тому, что между собственно флешкой и компьютером сидит «переводчик», флешка может представиться компьютеру кем угодно. Скажем, клавиатурой:

Возможно, вы слышали о RubberDucky или BashBunny, устройствах, которые выглядят как обычные USB-накопители, но на самом деле имитируют предварительно запрограммированные нажатия клавиш при подключении. Такие устройства могут загрузить и запустить бэкдор всего в течение 20 секунд. В качестве таких вот вредоносных устройств может выступать также Android-смартфон.

#drweb

https://www.anti-malware.ru/analytics/Threats_Analysis/security-flaws-in-usb

Или новой сетевой картой:

PoisonTap способно взломать заблокированный компьютер, выдавая себя за USB-Ethernet-адаптер, который становится приоритетным. Этот тип атаки работает, потому что компьютеры автоматически выполняют запрос DHCP при распознавании новой сетевой карты. Такое вредоносное устройство назначает IP-адрес компьютеру и сообщает ему, что каждый отдельный IP-адрес существует внутри локальной сети. С этого момента, когда зараженный компьютер отправляет пакет на любой IP-адрес, он будет проходить через вредоносное устройство USB-Ethernet, поскольку таков приоритет маршрутизации по локальной сети.

https://www.anti-malware.ru/analytics/Threats_Analysis/security-flaws-in-usb

Иными словами, благодаря особенностям организации ОС вредоносная флешка заставляет компьютер пропускать через себя любой входящий и исходящий трафик. Мечта фишера и шпиона!

#настройки_Dr.Web #безопасность #съемные_устройства

Антивирусная правДА! рекомендует

  1. Использовать неизвестные флешки нужно с осторожностью. Вы думаете, что это флешка, в то время как устройство может иметь на этот счет свое мнение.
  2. Dr.Web может блокировать таких притворщиков. Чтобы автоматически блокировать устройства, притворяющиеся клавиатурами, зайдите в настройки антивируса, перейдите в Основные -> Устройства и отметьте пункт Предупреждать о BadUSB-уязвимых устройствах, которые определяются как клавиатура.

#drweb

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: