Bad usb что это

Обновлено: 02.07.2024

Уязвимость BadUSB на практике. Попытаемся разобраться

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Уязвимость BadUSB на практике. Попытаемся разобраться

Я думаю что многие уже слышали про уязвимость которой страдают все (ну или почти все) USB-устройства, она называется BadUSB.

Суть уязвимости заключается в том, что в абсолютном большинстве USB-устройств, будь то флешки, мобильные телефоны с возможностью подключаться к компьютеру, контроллеры USB-HDD и прочем подобном оборудовании есть контроллер в котором записана прошивка которая и говорит компьютеру что за устройство к нему подключено. И если эту прошивку изменить, то можно сделать с из устройства что угодно, например из флешки можно сделать клавиатуру и подавать с нее команды на компьютер от имени пользователя который подключил эту флешку. Пример использования смотрите в видео ниже.

Так вот, разработчики Adam Caudill и Brandon Wilson на проходившей недавно конференции DerbyCon поделились своими наработками по созданию "кастомной" прошивки для контроллеров Phison 2251-03 (2303). Они написали несколько программ которые доступны в репозитории на GitHub и скачав их у меня получилось провести атаку в реальности.

Все команды ниже будут действовать в случае если будут установлены все программы (кроме visual studio) о которых я говорил в ролике и давал на них ссылки на форуме

Если вы разместили папку fw из архива не в корне диска C: а где-то в другом месте, то измените пути в командах!

Если у вас будут другие файлы BN (BN03V114M.BIN) то замените удалите содержимое папки C:\fw\fw_bn и загрузите туда ваши файлы при этом изменив их имена в командах.

Извлекаем и сохраняем текущую прошивку с флешки:

Создаю HID Payload:

Зашиваю прошивку с внедренным HID Payload:

Далее идет описание каждой папки (элемента) из репозитория на GitHub (см. ссылку выше).

Если вы используете соответствующую прошивку для вашего контроллера и NAND-памяти то понижение прошивки не нанесет никакого вреда (например, понижение с 1.10.53).

Предупреждение: Это экспериментальное программное обеспечение. Использование на не поддерживаемых устройствах или даже на поддерживаемых, может привести к потере информации, или повреждению самого устройства. Используйте на свой страх и риск.

Для реализации уязвимости я использовал флешку Silicon Power Marvel M60 на контроллере PS-2251-03-Q: Привет всем, вот ещё одна полезная прога Flash Drive Information Extractor - программа для получения информации о флешках. Ну а если честно то я впервые услышал о BadUSB. И вот ещё один интересный ресурс утилиты для флешэк. Жду ваших новых видео Михаил, по этой теме да и не только. И ещё один вопрос, что можно сделать с моим контролером? Volume: K:
Controller: SSS 6697 B7
Possible Memory Chip(s):
Toshiba TC58NVG6T2HTA00
Memory Type: TLC
Flash ID: 98DE9892 7256
Flash CE: 1
Flash Channels: Single
VID: 0951
PID: 1689
Manufacturer: Kingston
Product: DataTraveler SE9
Query Vendor ID: Kingston
Query Product ID: DataTraveler SE9
Query Product Revision: 1.00
Physical Disk Capacity: 8006901760 Bytes
Windows Disk Capacity: 8006868992 Bytes
Internal Tags: 386H-QAB2
File System: NTFS
Relative Offset: 31 KB
USB Version: 2.00
Declared Power: 100 mA
ContMeas ID: 613F-01-00

Elisej, да, обо всех этих ресурсах (кстати ссылку на usbdev я давал в шапке темы) и программах я постараюсь рассказать в следующем видео, как раз сейчас им занят.

По поводу вашего контроллера SSS 6697 B7, вот здесь есть программы для работы с ним, но есть-ли для него кастомные прошивки мне не известно.

Ролик понемногу готовится, процентов 30 уже есть:
Вот кусочек проекта в After Effects
Работа над роликом кипит. Очень надеюсь что к выходным выйдет.

DoC17, их практически все можно шить, проблема только в написании утилиты для прошивки и изменении оригинальной прошивки на собственную. На данный момент такой функционал разработан и находится в открытом доступе только для контроллеров Phison 2251-03.

PS: Шапка темы обновлена. Добавлен частичный перевод текста из репозитория на GitHub

Уже доделываю! Ролик будет продолжительностью 20 минут с кучей информации! Надеюсь вам понравится Шапка темы обновлена. Добавлены основные ссылки и новое видео (оно будет доступно ориентировочно через час, как только закончится загрузка) ilya14 писал(а): а почему нельзя использовать флешки USB 2.0 На сколько мне известно потому, что для этой модификации контроллера на данный момент не написана прошивка. Но она вполне может вскоре появиться. Спасибо) Весьма позновательное видео.Надеюсь
в скорем времени мы сможем шыть и другие контролеры) А что же поповоду других USB устройств?Мышки,клавиатуры,игровые устройства?Среди них встречпеться контролер phison 2251-03.И будет ли процедура прошивки отличаться к примеру игрового устройства и флэшки на с одинаковым типом контролера?
И еще вопрос:
Как я понял после прошивки флэшка теряет свои функциональные способности флэш накопителя? Lukas_Bertoni писал(а): А что же поповоду других USB устройств?Мышки,клавиатуры,игровые устройства?Среди них встречпеться контролер phison 2251-03. Lukas_Bertoni писал(а): И будет ли процедура прошивки отличаться к примеру игрового устройства и флэшки на с одинаковым типом контролера? Вообще это во многом зависит от того, что взбредет в голову производителю устройства и чипа. Некоторые можно шить по USB а некоторые нет, плюс там могут быть и другие нюансы. Но я не могу говорить со стопроцентной уверенностью так как сам не сталкивался.
Lukas_Bertoni писал(а): Как я понял после прошивки флэшка теряет свои функциональные способности флэш накопителя? Да, но это только на данный момент так. Авторы на своем GitHub'е писали что уже пробуют сделать прошивку с которой флешка будет определяться как USB-хаб к которому подключены и клавиатура и накопитель. А для пользователя будет казаться что он подключил только флешку. Ну и понятное дело что флешку можно будет форматировать или сканировать антивирусом и при этом с виртуальной клавиатурой ничего не случится. А какие прогнозы на другие контролеры?Обещаеться ли что то в ближайшее время?

Lukas_Bertoni, смысл всего этого (имею ввиду то, что выложено на GitHub) - доказать что уязвимость реальна. Разработчики программ для прошивки на сколько мне известно не планирую делать их для других контроллеров. Они всего-лишь донесли до сообщества что нужно искать способы защиты.

Но другие разработчики вполне возможно уже написали или напишут подобные утилиты и для других контроллеров. правда их намерения возможно будут не такими как у Адама Кадилла и Брендона Уилсона.

Здравствуйте всем.
Пошел купил Kingston DT G4 только на 8Gb пожадничал за 2,5 тр покупать 64 Гб
в общем оказалось в G4 8Gb контроллер Phison PS2307
однако решил рискнуть, скачал все програмки но на этапе перевода в boot-режим, устройство извлекалось и монтировалось как неизвестное, чтож мы люди не гордые
разобрал флешку, перевел вручную в boot режим путем замыкания ножек, с виду микрухи идентичные (написано PS2251-07-V)

C:\Windows\system32>C:\fw\Psychson-master\tools\DriveCom.exe /drive=K /action=Se
ndFirmware /burner=C:\fw\fw_bn\BN07V106M.BIN /firmware=C:\fw\Psychson-master\fir
mware\bin\fw.bin
Action specified: SendFirmware
Gathering information.
Reported chip type: 2307
Reported chip ID: AD-DE-14-A7-42-4A
Reported firmware version: 1.06.10
Mode: Burner
Rebooting.
Sending firmware.
Executing.
Mode: BootMode

прошилось судя по логам нормально
однако при включении 2307 PRAM USB Device вместо клавиатуры(((
и хоть бы что я делал шаманил утилитами MPALL никак не получается вернуть ей PID и вообще работоспособность((

была флешка:
Volume: K:
Controller: Phison PS2307
Possible Memory Chip(s): Not available
Flash ID: ADDE14A7 424A
Chip F/W: 01.05.10
Firmware Date: 2014-05-23
ID_BLK Ver.: 1.2.77.0
MP Ver.: MPALL v3.31.0C
VID: 0951
PID: 1666
Manufacturer: Kingston
Product: DataTraveler 3.0
Query Vendor ID: Kingston
Query Product ID: DataTraveler 3.0
Query Product Revision: PMAP
Physical Disk Capacity: 7868514304 Bytes
Windows Disk Capacity: 7860142080 Bytes
Internal Tags: 2Q6K-S76J
File System: FAT32
Relative Offset: 4032 KB
USB Version: 3.00 in 2.00 port
Declared Power: 300 mA
ContMeas ID: 8C82-03-00
Microsoft Windows 7 SP1 x64

Халло, коллеги. Намедни уважаемый коллега опубликовал в сообществе заметку в которой защищает решение передачи данных через оптический носитель, дескать, USB это не только ценные устройства, но и потенциальная угроза информационной безопасности. Всё так, да не совсем так.

Начну, как водится, с объяснения о чём, собственно, сыр-бор. Дело в том, что USB это последовательная шина. Она исходно была рассчитана на то, что в один порт может быть натолкана целая прорва устройств. Я сегодня очень ленив, поэтому соответствующую картинку чёрно-белого содержания, пожалуйста, представьте себе сами. Такой подход в общем и целом правильный: никто кроме вас не знает, сколько вам потребуется подключить устройств, и вы этого тоже часто не знаете. Суть атаки BadUSB состоит в том, что устройство может оказаться не совсем тем, за что оно себя выдаёт. И действительно - иногда оказывается. Если вы ломали голову, мол, почему современные Android-телефоны требуют руками указать, что нам требуется подключение к компьютеру, а не просто зарядка, то ответ как раз BadUSB. Нехорошие личности повадились встраивать всякую гадость в публичные розетки и даже в кабеля. Атака прекрасно описана в википедии, и состоит в тривиальном факте - до недавних пор производители никак не защищали контроллеры USB от перепрошивки чем попало, включая устройства, которые к нему подключены. В результате к полезным для вас функциям устройство возможно добавить функции полезные кому-то другому. Поэтому, кстати, ваша любимая флешка тоже может превратиться в рассадник заразы.

Однако так ли всё страшно? Во-первых - нет. Контроллеров USB чёртова прорва. Их действительно очень много и КАЖДЫЙ требует индивидуального подхода для заражения вредоносным кодом. Так что панику - отставить, а валидол выбросить. Сейчас есть конфетки повкуснее. Во-вторых любому взаимодействующему с компьютером или смартфоном (иначе говоря с хостом) USB устройству требуется некоторая поддержка от хоста. Что толку представляться сетевым адаптером устройству, которое попросту знать не знает что такое сеть? Это в качестве примера. То есть по факту заражённое устройство может представиться чем угодно, что только бывает по USB. Если "постороннее" устройство в ходе нормальной деятельности составляет угрозу информационной безопасности, то подобная атака действительно представляет вектор угрозы. А посторонним устройством может оказаться абсолютно всё что угодно: виртуальный принтер, который перехватывает документы на печать и по встроенному в устройству мобильному модему шлёт данные врагу. Вроде бы всё правильно, да? Для защиты от вредоносных устройств вполне нормально требовать носитель данных неуязвимый для подобных атак, ведь так?

Нет и вот почему. Как я уже сказал выше - для того, чтобы подобные атаки имели хоть какой-то шанс на успех им требуется взаимодействие с операционной системой хоста. Более того, ущерб целиком и полностью ограничен правами пользователя, под которым подключено устройство. Не сиди под рутом! Сколько можно говорить? Если пользователь работает с критическими данными под административной учётной записью, то никакой информационной безопасности в конторе нет и, в принципе, от размещения прямо за спиной пользователя агентуры Mossad, NIO и Syrbar в этом плане сильно хуже не станет. Правда первые будут требовать прекратить трескать бутерброды с салом, вторые прикидывать можно ли вас самих съесть, а третьи возмущаться фильмом "Борат", но давайте это спишем на неизбежные последствия игнорирования правил, которые старше большинства из нас. А вот ограниченная учётная запись называется ограниченной не просто так. Например, можно запретить изменения в конфигурации устройства, что перекроет кислород к подключению чего бы то ни было вообще, а можно запретить устанавливать вполне конкретные классы устройств. То есть можно запретить устанавливать к чёртовой бабушке всё, что не USB Mass Storage. Это требует некоторой компетенции, но вполне выполнимо. Вкупе с грамотным планированием сети (мы же не будем кого попало пускать во внутреннюю сеть организации, правда? Мы же не дураки какие-то чтобы так делать) эти две меры перекрывают этот вектор риска почти целиком.

В комментариях к заметке, которая вызвала к жизни данный пост, уважаемый автор говорит, что, дескать, так как заражённое устройство представляется оборудованием совершенно стандартным, то воспрепятствовать его установке никак нельзя. Он, естественно, заблуждается, если у вас нет прав на установку новых устройств, то системе абсолютно безразлично есть драйвер или нет. Это, знаете, как с автомобилем. Вы можете проникнуть в гараж, в сам автомобиль, но всё равно никуда не уехать, т.к. из автомобиля слили всё топливо и сняли аккумулятор. Я предлагаю всем желающим провести эксперимент: запретить какое-либо устройство на своей машине и удалить его. Драйвер, смею вас заверить в системе останется, однако до того как вы разрешите устройство обратно хоть обпереподключайтесь - оно не заработает.

Всё та же википедия нам любезно сообщает несколько векторов атаки. Имитация клавиатуры и сетевой карты? Мы перекрыли это, они не установятся и работать не будут. Выход из виртуального окружения? Гм, простите, а вы уверены, что надо подключать что попало к гипервизору? Я уверен, что НЕ надо и любой человек, ответственный за информационную безопасность скажет ровно то же самое. Это тоже мимо, с неизвестно чем при наличии реальной тайны, хоть коммерческой, хоть государственной, мы работаем на отдельных выделенных специально физических машинах. Ах да, загрузка с вредоносной флешки. Мне, право, несколько неловко, но я об этом уже писал. Даже дважды. Secure Boot. Рабочий компьютер, который грузится с бог знает чего? Перечитайте первую половину предыдущего абзаца.

В принципе, нормальные потребительские материнские платы уже умеют даже защищаться от флешек - убийц, просто обрубая питание при превышении тока или напряжения. Однако, защитится от подобных устройств ещё проще - продаются готовые "кондомы", причём чуть ли не на развес. Проверить их работоспособность можно собрав киллера собственноручно, это уровень студента политеха курса эдак второго. Он же сможет, кстати, спаять и сам "кондом". Что мешает фасовать готовые аппаратные комплексы для защищённых станций, если позарез необходима работа именно с чужими устройствами? Я не знаю, стоимость сборки из готовых компонентов да сами готовые компоненты для любой конторы национального масштаба это семечки. Стоимость E-mail рассылки по филиалам с инструкциями как всё оборудовать на месте может себе позволить даже Силенд.

Это, кстати, не единственное решение. Можно изготовить микроконтроллер, который будет модерировать проходящие через него данные USB. Это только в качестве примера. Можно использовать компьютеры с экзотической архитектурой или экзотическими ОС, что для нас одно и то же. По сути это всё то же препятствование запуску вредоносного виртуального устройства. Вариантов решения вопроса чёртово множество, одно из которых - освойте уже системы электронного документооборота и контроль целостности, наконец, и прекратите этот флоппинет в 21-то веке. И не защищайте тех, кто настаивает на решениях времён ардипитеков. Тем более, что CD в своё время тоже доставили пользователям немного радости.

Моя вольная компиляция опубликованной на Wired статьи «Why the Security of USB Is Fundamentally Broken».

• изменение файлов;
• исполнение файлов;
• перехват интернет-траффика.

По словам исследоватетей, эту уязвимость настолько сложно устранить, что проще полностью отказаться от работы со стандартом USB. Nohl и Lell оказались едва ли не первыми, кто указал на способ хранения и распространение вредоносного кода данным способом. После нескольких месяцев работы бул получен код, позволяющий обмениваться данными между флэшкой и компьютером. Основной вывод работы состоит в том, что все существующие прошивки можно переписать, спрятав изменения.

«Вы можете отдать флэш-карту на анализ вашим IT-специалистам, и те, удалив некоторые файлы, скажут вам, что карта чиста. Однако, они даже не коснулись того, о чём говорим мы» — Nohl

Проблема не ограничивается флэш-накопителями. Все виды USB-устройств, от клавиатур до смартфонов имеют драйвера, которые могут быть подвержены той же атаке, что и флэш-карты. Nohl и Lell говорят, что проверили это на BadUSB-инфецированном Android-телефоне. В их опыте телефону удалось выдать себя за клавиатуру и начать вводить команды от её лица.

«Он мог сделать всё, что могла бы сделать клавиатура» — Nohl

BadUSB-инфецированные машины могут перехватить Интернет-траффик, изменить настройки DNS; если BadUSB-код находится на телефоне, то телефон может выступать в качестве MITM.

Большинство из нас привыкло не запускать левые исполняемые файлы, однако, этих мер недостаточно для остановки эпидемии BadUSB: ведь USB-устройства не имеют подписи кода, и проверить «оригинальность» прошивки проблематично.

Исследование Nohl и Lell показывает, что BadUSB-инфекция может путешествовать как с устройства на компьютер, так и обратно. Каждый раз, когда флэш-устройство подключено к компьютеру, его прошивка может быть перепрограммирована, и владельцу это будет непросто заметить.

Nohl соглашается, что быстро проблема не решится: она настолько обширная, что надо писать не патч, а полностью перерабатывать концепцию USB. Что надо не подключать устройств USB к компьютерам, которым не доверяете.

У каждого из нас есть свои страшилки. Кто-то всё ещё боится бабайку, кто-то столбенеет при виде тёщи, а кому-то не спится из-за падения курса местной валюты. Все эти неприятные нервные ощущения носят либо индивидуальный, либо умеренно распространённый характер. Но существуют и массовые истерии, затрагивающие всех ныне сущих. В одну из таких истерий превращается нововыявленная цифровая угроза под именем BadUSB. И касается она всех, кто имеет в своём распоряжении любое периферийное устройство с до боли привычным USB-коннектором, например флешку.

Суть дела

Как и водится из года в год, одна из самых авторитетных хакерских тусовок Derbycon-2014 ознаменовалась ярким разоблачением информационной безопасности, причём сразу для всего мира. На суд общественности был вынесен инструмент под названием BadUSB, позволяющий получить несанкционированный доступ к любой компьютерной системе при помощи подключения флешки. Казалось бы, каждый из нас уже много раз удалял вирус со своего съёмного накопителя при помощи антивирусного ПО, чего шуметь-то? Дело в том, что продемонстрированная методика работает на низком аппаратном уровне, то есть абсолютно по другому принципу. И уловить такую угрозу — дело отнюдь не банальное даже для специализированного софта.

Выступление Адама Каудилла (Adam Caudill) на DerbyCon

Хакеры показали, как можно перепрошить микроконтроллер стандартного USB-носителя, добавив в него зловредный исполняемый микрокод. В результате манипуляций подключаемая к любой операционной системе флешка может прикинуться абсолютно другим устройством, например клавиатурой. А заражённая «клавиатура», в свою очередь, может скрытно выполнять деструктивные функции: сливать информацию в Интернет, загружать другое атакующее ПО, управлять движением сетевого трафика и всё в том же духе. Вдобавок к этому заражаются и другие USB-устройства компьютера/ноутбука, к примеру встроенная web-камера. В общем, на горизонте виднеется зарево цифрового Апокалипсиса.

Справедливости ради стоит отметить, что сделать из USB-устройства универсального троянского коня не так уж и просто — слишком много нюансов необходимо учесть. Но лиха беда начало!

Как быть

Коль речь идёт о совершенно новом, изощрённом и малоизученном способе взлома, то и действенных способов защиты попросту нет.

Наши зарубежные коллеги из Mashable полюбопытствовали у компании Symantec — известного производителя комплексного защитного ПО Norton — о видении сложившейся ситуации. И её представители поведали, что «традиционные антивирусные технологии не могут проверить драйверы, работающие внутри устройства USB». Поэтому пользователям рекомендуется:

• вставлять в компьютер исключительно проверенные USB-устройства;
• не приобретать и не использовать бывшие в употреблении устройства;
• никогда не оставлять компьютер или мобильное устройство в разблокированном состоянии или без присмотра.

Вторит приведённым советам и Гари Дэвис (Gary J. Davis), ответственное лицо компании Symantec (семейство лечащих утилит McAfee): «Лучший практический совет — избегайте флеш-накопителей, полученных из ненадёжного источника. Например, рекламных накопителей, вручённых вам на каком-либо мероприятии или презентации».

Лайфхакер принял эстафету и задал сложный вопрос о способах защиты от BadUSB родной для Рунета и не менее известной по всему миру компании «Лаборатория Касперского». Контактные лица компании отреагировали крайне быстро. Чувствуется, что работа со СМИ и их читателями — не пустая формальность.

И вот что нам ответил Вячеслав Закоржевский, руководитель группы исследования уязвимостей «Лаборатории Касперского»:

Так ли страшен BadUSB, каким его преподносят СМИ?

На наш взгляд, BadUSB менее опасен, чем о нём принято думать. Во-первых, следует помнить, что не все USB-устройства могут быть перепрограммированы. Некоторые из них не обладают возможностью перезаписи прошивки в принципе, другие требуют прямого доступа к микропроцессору устройства. Таким образом, заражённый компьютер, который перепрошивает любые подключенные устройства, — это, скорее, далёкая от реальности теория.

Если злоумышленникам всё же удалось найти устройство, которое может быть перепрошито, то они потратят немало времени и усилий для создания собственного варианта прошивки. Как правило, производители USB-устройств редко раскрывают детальную информацию о программной начинке своих продуктов, поэтому киберпреступники должны будут знать технику реверс-инжиниринга для получения собственной версии прошивки. Даже если в итоге удастся создать вредоносное USB-устройство, хакерам всё равно будет необходим физический доступ к компьютеру жертв или иной способ убедиться, что пользователь подключит неизвестное устройство к своему ПК. Я не говорю, что подобные сценарии невозможны, но они требуют очень хорошей подготовки злоумышленников, тщательно продуманного плана действий и, главное, удачного стечения обстоятельств.

Какие спецификации протокола подвержены риску?

Оба представленных прототипа — недавний и тот, что видели на конференции BlackHat, — для иллюстрации механизма атаки используют контроллер USB 3.0 производства компании Phision. Выбор совсем не случаен: для этого контроллера в широком доступе находились утилиты перепрошивки, поэтому протокол его работы было легко разобрать.

Существуют ли действенные методы защиты от угрозы?

Действенных методов защиты от данной угрозы не существует. Однако вероятность заражения минимальна, так как необходимо подключить перепрошитое устройство к компьютеру жертвы. Кроме того, системный администратор может ограничить появление неизвестных устройств на компьютере, что позволит заблокировать, например, вторую клавиатуру.

Но всё же суммируем. Нас давно и без BadUSB предостерегали от подключения к компьютеру левых флешек. Пока обычным смертным бояться нечего. Выявленная угроза может быть реализована с точечным прицелом под конкретную персону. Посему можно расслабиться и не беспокоиться за свои интимные селфи.

Читайте также:

  
• Не открывается exe файл pyinstaller
  
• Node js как писать логи в файл
  
• Компьютер после долгого простоя тормозит
  
• Как импортировать письма в the bat
  
• Ошибка 403 google chrome