прикинувся флешкою

Прочитали: 4156 Коментарів: 106 Рейтинг: 120

Як правило, якщо ми бачимо (або використовуємо) якийсь носій, то ми думаємо виключно про файлах, на нього записаних. Але що є файл? Це якась область на носії. А носій носію ворожнечу. Скажімо, якщо ми беремо в руки жорсткий диск комп'ютера, то, не читаючи маркування і не будучи фахівцями, ми не можемо сказати, скільки «млинців» використовується на цьому диску, який метод запису і т.д.

Це призводить до того, що, якщо б ми спробували просто під'єднати носій з даними до комп'ютера - той би, швидше за все, нічого не зрозумів. Потрібен «перекладач», який дані з носія зробить зрозумілими для комп'ютера. Такий «перекладач» дозволяє нам не замислюватися про відмінності в носіях і сміливо «пхати» нові пристрої в підходящі роз'єми.

Візьмемо, наприклад, флешки. Схема їх приблизно така:

Коли ви вставляєте нову флешку в комп'ютер, той отримує ідентифікатор типу пристрою і запитує вміст прошивки - зокрема, драйвер, який дозволить без проблем читати і записувати на флешку дані.

Тобто, підключивши флешку, ви тим самим змушуєте операційну систему завантажити з флешки драйвер.

З будь-якої флешки.

Драйвер з абсолютно невідомим ОС функціоналом.

Циганок про подібний довірі залишається лише мріяти.

Кілька прикладів атак.

Завдяки тому, що між власне флешкою ​​і комп'ютером сидить «перекладач», флешка може представитися комп'ютера ким завгодно. Скажімо, клавіатурою:

Можливо, ви чули про RubberDucky або BashBunny, пристроях, які виглядають як звичайні USB-накопичувачі, але насправді імітують попередньо запрограмовані натискання клавіш при підключенні. Такі пристрої можуть завантажити і запустити бекдор всього протягом 20 секунд. В якості таких ось шкідливих пристроїв може виступати також Android-смартфон.

https://www.anti-malware.ru/analytics/Threats_Analysis/security-flaws-in-usb

Або нової мережевої картою:

PoisonTap здатне зламати заблокований комп'ютер, видаючи себе за USB-Ethernet-адаптер, який стає пріоритетним. Цей тип атаки працює, тому що комп'ютери автоматично виконують запит DHCP при розпізнаванні нової мережевої карти. Таке шкідливе пристрій призначає IP-адреса комп'ютера і повідомляє йому, що кожен окремий IP-адреса існує всередині локальної мережі. З цього моменту, коли заражений комп'ютер відправляє пакет на будь-який IP-адреса, він буде проходити через шкідливе пристрій USB-Ethernet, оскільки такий пріоритет маршрутизації по локальній мережі.

https://www.anti-malware.ru/analytics/Threats_Analysis/security-flaws-in-usb

Іншими словами, завдяки особливостям організації ОС шкідлива флешка змушує комп'ютер пропускати через себе будь-який вхідний і вихідний трафік. Мрія Фішера і шпигуна!