دستگاه‌های یو‌اس‌بی، حربه‌هایی برای حمله

07 مرداد 1398 دستگاه‌های یو‌اس‌بی، حربه‌هایی برای حمله

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ لوکا بونگیورنی از شرکت نرم‌افزاری بنتلی سیستم در طول سخنرانی‌اش در #TheSAS2019، دستگاه‌های یو‌اس‌بی را اصلی‌ترین منابعِ بدافزارها برای سیستم‌های نظارتی صنعتی خواند. بیشتر افرادی که به نحوی با امنیت سر و کار دارند داستان‌ قدیمیِ افتادن تصادفیِ فلش‌درایوها در پارکینگ به گوششان رسیده است- داستان امنیتی‌ محبوب تأثیرگذاری که مدام تعریف می‌شود.

داستان -واقعی- دیگر در مورد فلش‌درایوهای یو‌اس‌بی، داستان کارمند یک شرکت صنعتی بود که می‌خواست فیلم لالالند را ببیند و برای همین تایم ناهار، شروع کرد به دانلود این فیلم روی فلش‌درایو. و اینطور شد که سیستم مبتنی بر معیار شبکه شکاف هوا[1] این نیروگاه هسته‌ای آلوده شد- داستانی کاملاً آشنا از آلودگی زیرساختی حیاتی. اما افراد اصولاً فراموش می‌کنند دستگاه‌های یو‌اس‌بی تنها به فلش‌درایوها محدود نمی‌شوند. دستگاه‌های رابط انسان (HIDs) همچون کیبورد و موس، کابل‌های شارژ اسمارت‌فون و حتی چیزهایی از قبیل گوی پلاسما و ماگ‌های حرارتی می‌توانند جوری دستکاری شوند تا سیستم‌های نظارتی صنعتی را مورد هدف قرار دهند.

تاریخچه‌ای کوتاه از  USBهایی که به عنوان حربه‌ای برای حمله به کار رفتند

با وجود فراموشکاری افراد، اخبار یو‌اس‌بی‌هایی که به عنوان حربه‌ از آن‌ها استفاده می‌شود چندان هم تازه نیست. اولین باری که چنین دستگاه‌هایی نوشته شدند به سال 2010 برمی‌گردد. این دستگاه‌ها در واقع مبتنی بر صفحه‌ی کوچک قابل‌برنامه‌ریزی به نام تینسی (Teensy) و مجهز به کانکتور یو‌اس‌بی بودند که می‌توانستند همچون  HID‌ها عمل کنند. آن‌ها در حقیقت ضربات روی دکمه‌های کیبود را به پی‌سی ارسال می‌کردند. هکرها متوجه شدند که از این دیوایس‌ها می‌شود برای تست نفوذ استفاده کرد. از همین رو موفق به ساخت نسخه‌ی برنامه‌نویسی‌شده‌ای شدند که کاربران جدیدی می‌ساخت؛ برنامه‌هایی را بک‌ُدر اضافه می‌کرد اجرا  و بدافزار را یا با کپی آن و یا دانلودش از وبسایتی خاص تزریق می‌کرد. اولین نسخه از این تینسیِ دستکاری‌شده PHUKD. Kautilya, نام داشت که با صفحات محبوب Arduino (که بعداً تولید شد) سازگاری داشت. بعد سر و کله‌ی Rubberducky پیدا شد- شاید بشود آن را بهترین ابزار یو‌اس‌بی شبیه‌سازی ضربات کیبورد قلمداد کرد. ابزار قدرتمندتری موسوم به  Bash Bunny نیز در سری حملاتی که به دستگاه‌های خودپرداز مورد استفاده قرار گرفت.

شخصی که PHUKD را اختراع کرده بود به سرعت ایده‌ی موسِ تروجان‌زده به ذهنش خطور کرد (با یک صفحه‌ی تست نفوذ، جاسازی‌شده داخلش). بنابراین علاوه بر اینکه کارایی معمول یک موس را داشت همچنین می‌توانست هر کاری را PHUKD قادر بود نیز انجام دهد. از دیدگاه مهندسی اجتماعی، استفاده از HID واقعی به منظور نفوذ به سیستم‌ها شاید حتی ساده‌تر از به کارگیری خود یو‌اس‌بی‌ها (دقیقاً به همان مقصود) باشد؛ زیرا حتی افرادی که به حد کافی دانش دارند که نخواهند یک درایو ناشناخته را به دستگاه پی‌سی خود نزنند معمولاً هیچ نگرانی در مورد کیبورد یا موس ندارند.

تولید نسل دوم دستگاه‌های مجهز به یو‌اس‌بی به عنوان حربه‌های حمله در طول سال‌های 2014-2015 کلید خورد و شامل دستگاه‌های بدنام مبتنی بر BadUSB می‌شد.  گفته می‌شود TURNIPSCHOOL و Cottonmouth توسط آژانس امنیت ملی آمریکا (NSA) ساخته شد و همچنین جالب است بدانید: این دستگاه‌ها آنقدر کوچک بودند که می‌توانستند داخل کابل یو‌اس‌بی جا شوند و برای انتقال اطلاعات آلوده مورد استفاده قرار گیرند. تنها یک کابل ساده- کسی حتی فکرش هم نمی‌کند، نه؟

دستگاه‌های یو‌اس‌بی در شرایط مدرن

نسل سوم ابزارهای تست نفوذ یو‌اس‌بی موج مدرنی به راه انداخت. یکی از آن‌ها WHID Injector نام دارد که اساساً Rubberducky است با کمی تغییرات (به اضافه‌ی کانکشن وای‌فای). از آنجایی که به اتصال وای‌فای مجهز است دیگر نیازی نیست ابتدا (برای وظایفی که باید انجام دهد) برنامه‌نویسی شود. فردِ هکر می‌تواند این ابزار را از راه دور تحت نظارت قرار دهد که همین سطح جدیدی از انعطاف‌پذیری را به همراه می‌آورده و همچنین سازگاری با چندین سیستم‌عامل مختلف را ممکن می‌سازد. ابزار نسل سوم دیگر P4wnP1 نام دارد که بر پایه‌ی Raspberry Pi است و به Bash Bunny شباهت دار (هر چند کارکردش بیشتر است: اتصال بی‌سیم).

و البته هر دوی WHID Injector و Bash Bunny به حد کافی کوچک هستند که بتوان آن‌ها را در کیبورد یا موس جاسازی کرد. در ویدیوی زیر، لپ‌تاپی را خواهید دید که نه به یو‌اس‌بی وصل است، نه به اترنت و نه به وای‌فای؛ اما کیبورد تروجان‌زده در ضمیمه‌ی خود دارد که به مهاجم ریموت اجازه می‌دهد تا فرمان‌ها را انجام داده و اپ‌ها را اجرا کند. 

 

 

دستگاه‌های کوچک یو‌اس‌بی مانند همین دو تایی که در بالا اشاره کردیم حتی می توانند طوری برنامه‌نویسی شوند که شبیه به مدل خاصی از یک HID باشند و از این طریق سیاست‌های امنیتیِ شرکت‌هایی را که تنها موس و کیبورد فروشندگان خاص را قبول می‌کنند دور بزنند. ابزارهایی همچون WHID Injector همچنین می‌توانند به میکروفون هم مجهز باشند تا بدین‌وسیله نظارت صوتی داشته باشند و جاسوسی افراد را بکنند. بدتر اینکه، چنین دستگاهی برای خرابکاری و دستکاری کل شبکه کافیست؛ مگر آنکه شبکه به طرز صحیحی جداسازی شده باشد.

راهکارهای جلوگیری

موس‌ها و کیبوردهای تروجان‌زده و نیز کابل‌های مخصوص جاسوسی یا مخرب، تهدیدهای جدی‌ای هستند و می‌توانند حتی برای دستکاری سیستم‌های مبتنی بر معیار شبکه شکاف هوا نیز مورد استفاده قرار گیرند. این روزها، ابزارهایی که برای چنین حملاتی استفاده می‌شوند را می‌توان با قیمت‌هایی بسیار پایین خریداری کرد و با کمترین سواد و دانش آن‌ها را برنامه‌نویسی نمود. بنابراین هیچگاه نباید چنین تهدیدهایی را دست‌کم گرفت.

برای محافظت از زیرساخت‌های حیاتی در برابر چنین تهدیدهایی باید از رویکردی چندلایه‌ای استفاده کرد:

  • ابتدا از امنیت فیزیکی مطمئن شوید تا پرسنلی که صلاحیت ندارد نتواند دستگاه‌های یو‌اس‌بی متفرقه به سیستم‌های نظارتی صنعتی بزند. همچنین پورت‌های یو‌اس‌بی بلااستفاده را (روی چنین سیستم‌هایی) مسدود کرده و نگذارید HID‌هایی که از قبل وصلند برداشته شوند.
  • به کارمندان خود آموزش دهید تا به تمامی انواع تهدیدها از جمله دستگاه‌هایی که به عنوان حربه مورد استفاده قرار می‌گیرند واقف باشند (که دیگر ماجرای فیلم لالالند که برایتان تعریف کردیم دوباره پیش نیاید).
  • شبکه‌ را به طور صحیحی جداسازی کنید و دسترسی به حقوق را مدیریت نمایید تا مهاجمین نتوانند به سیستم‌ها (که برای کنترل زیرساخت‌های حیاتی مورد استفاده قرار می‌گیرند) دسترسی پیدا کنند.
  • همه‌ی سیستم‌های داخل شرکت یا سازمان را با راه‌حل‌های امنیتی محافظت کنید. این راه‌حل‌ها قادرند هر نوع تهدیدی را شناسایی کنند. فناوری Kaspersky Endpoint Security به هیچ HID اختیار نخواهد داد مگر آنکه کاربر با استفاده از HID که از قبل مجوز دریافت کرده، کدی را وارد کند.

 

[1] Air gap

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    3,815,500 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,358,500 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    5,453,500 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    2,046,200 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,046,200 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    2,723,500 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد