Перейти к содержанию
AM_Bot

Во всех USB-устройствах обнаружена уязвимость нового типа

Recommended Posts

AM_Bot

Любое USB-устройство, будь то флешка, внешний жесткий диск, мышь, клавиатура или даже смартфон с USB-интерфейсом, можно превратить в инструмент хакера, предупреждают эксперты германской консалтинговой фирмы Security Research Labs Карстен Ноль (Karsten Nohl) и Жакоб Лел (Jakob Lell).

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Это давно не новость ... давно например известны шуточки на базе микроконтроллеров, в которых контроллер имитирует клавиатуру и мышь, например периодически двигая мышку и печатая не всегда приличные текстовые сообщения. При шуточном применении безвредно, нервы юзера и админа конечно не в счет :) Еще важный момент - давно существуют KVM с возможностью подключения к ним по сети, если подключить такой KVM к некоему ПК, то можно удаленно управлять им, причем с точки зрения защитного ПО на компьютере это будет управление от внешней аппаратной клавиатуры и мышки.

Кроме того, описанную "уязвимость" можно использовать во вполне мирных целях, см. http://www.freepatent.ru/patents/2506638. В данной запатентованной ЛК технологии описано все тоже самое, только применение диаметрально противоположное - устройство с хитрым контроллером может имитировать подключение различного железа (в простейшем случае флешек), и при этом на программном уровне понять, настоящая это флешка/фотоаппрат/диктофон или муляж нереально. Соответственно если что-то зловредное на ПК пожелает заразить такую "флешку" или сотворить с ней некие иные безобразия (подменить файлы, удалить их, закриптовать, заразить ...), то проведя серию опытов контроллер это все легко заметит и поймет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Олег, Карстен говорит про то, что практически любое USB-устройство, из-за того, что производители не блокируют ПЗУ микроконтроллеров USB-устройств от модификации, можно прошить своим вредоносным функционалом и это и есть угроза. А вовсе не про то, что с помощью флешки можно двигать мышкой- этой "новости" в обед сто сто будет, и он это прекрасно понимает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег, Карстен говорит про то, что практически любое USB-устройство, из-за того, что производители не блокируют ПЗУ микроконтроллеров USB-устройств от модификации, можно прошить своим вредоносным функционалом и это и есть угроза. А вовсе не про то, что с помощью флешки можно двигать мышкой- этой "новости" в обед сто сто будет, и он это прекрасно понимает.

Понятно, что практически любое ... вопрос только в том, какую реальную угрозу можно реализовать таким образом ? Берем для однозначности пример: самое популярное с точки зрения реализации атаки устройство типа "флешка" (ну или точнее любой накопитель, подключаемый по USB), и как именно в случае модификации контроллера с его помощью можно реализовать некую атаку на ПК ? Практически единственный путь в этом случае - это имитировать HID устройство, например клавиатуру, и в ходе такой имитации что-то ввести (например, команду запуска терминала и далее некие команды в нем), правда ввод будет идти "в слепую" - реакция системы на ввод устройству не видна. И такой зловред не будет знать версию системы и ее тип, наличе прав админа, тот факт, залогинен ли в текущий момент пользователь, что еще больше усложнит реальную атаку. Какие-то иные сценарии как-то не очень придумываются ... Вот в этом мое главное сомнение в том, что все так страшно, как сказано в заголовке новости.

Пример с USB сетевой картой и аналогичным оборудованием весьма мало популярен, да и такие устройства обычно не переключают постоянно с одного ПК на другой - тогда возникает вопрос, как именно такое устройство заразится ? Получается, что на ПК должен успешно проникнуть троян, оборудование в этот момент должно быть подключено, троян должен поддерживать работу с данным типом оборудования и уметь работать с его текущей версией прошивки, успешно внести изменения... оно конечно возможно, но имхо весьма маловероятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
      Но было бы не плохо в uVS логах идентифицировать такие случае.
    • SQx
      Приветствую,

      Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
      https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/ Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name
      Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
      http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat

      Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?
    • SQx
      Приветствую Дмитрий,
      Похоже вы были правы из-за этого файла vboxnetflt.exe и возникали проблемы. После его удаление антивирус Kaspersky не ругается.
    • Andrian
      Ее можно установить дополнительно к антивирусу или она не требует установки?
    • SQx
      Дмитрий,

      Похоже я ошибся и не внимательно прочитал статью Sophos:

      Легитимная запись: "SCM Event Log Consumer" (type: NTEventLogEventConsumer) + "SCM Event Log Filter"
      Вредоносная запись : "SCM Events Log Consumer" (type: CommandLineEventConsumer) + "SCM Events Log Filter" Прошу прощения, что побеспокойл.
×