Оружие инсайдера: ядовитый USB.
 

Инсайд – пожалуй, самое ущербное явление в корпоративной среде. Как в прямом, так и переносном смысле. Грамотно продуманная техническая сторона защиты периметра корпоративной инфраструктуры еще не гарантирует полной безопасности циркулирующей в ней информации. В данном случае работает всем известный принцип: защищенность системы в целом определяется степенью защищенности ее самого слабого звена. Самым слабым звеном является человеческий фактор. Персонал, через который проходит определенный объем информации, может ее «выносить» за пределы защитного периметра.

Человек, сам того не осознавая, может оказаться инсайдером. Например, в результате социального инженеринга или по-русски говоря: развода.

Нам такие личности не интересны, благо с ними в большинстве случаев справляется внутренний устав компании, регламентирующий порядок работы с информацией каждого служащего. Гораздо опаснее инсайдеры, специально подготовленные и имеющие определенную цель.

Что и говорить про обычных пользователей, которые каждый день рискуют попасть (и попадают) под колпак троянов. Причем тут инсайд? При том, что каждый может использовать оружие «засланного казачка» в своих целях, а в пользовательской среде сделать это гораздо эффективнее, нежели в корпоративной.

Для начала, рекомендую ознакомиться со статьей Андрея Комарова «Глазами инсайдера», в которой автор классифицирует основные технические инструменты промышленных «шпионов» и рассматривает условия, при которых можно благополучно «слить» нужную информацию.

Политика разрешения на подключение USB-устройств может сыграть на руку злоумышленнику. Если даже во многих организациях не задумываются над этими вопросами, то что твориться у обычных пользователей… Любой flash-накопитель, плеер и т.п. usb-девайс, имея в наличии специальное ПО, может собрать необходимую информацию с целевого ПК так, что у администратора не появится подозрений.

Созданием такого программного обеспечения для usb-девайсов мы и займемся. Естественно в интересах эксперимента. Неадекваты, воспринимающие материал как руководство к действию, идут косить изюм.


Определяем характеристики оружия.

Любой usb-flash накопитель имеет контроллер – микросхему, которая выполняет роль шлюза между микросхемой памяти и интерфейсом USB компьютера.

Определить тип контроллера, не разламывая корпус флешки, поможет утилита ChipGenius (http://flashboot.ru/index.php?name=Files&op=view_file&lid=131).

Из списка USB-контроллеров выбираем нашу флешку и в области «The details of selected device:» смотрим подробную информацию. Нам необходимо поле «Chip Vendor», которое содержит название производителя микросхемы; поле «Chip Part-Number» показывает версию прошивки. Этой информации достаточно для перепрошивки девайса.

В моем случае (Kingston DataTraveler 4GB):

Chip Vendor: phison
Chip Part-Number: UP8~UP10.



Модернизируем спусковой механизм.

Некоторое время назад на прилавках магазинов можно было наблюдать USB-flash память, поддерживающую технологию U3. Ничего принципиально нового такие флешки не содержали, за исключением специального ПО, которое позволяло запускать программное обеспечение, содержащееся в памяти накопителя в режиме автозагрузки.

Главная особенность - специальный раздел (по типу CD-ROM), который был доступен только для чтения и который, собственно, содержал портируемые (portable) версии программ.

В настоящее время эти девайсы на прилавках отсутствуют, т. к. содержали специфичную «багу», которая позволяла перезаписать автозагружаемую область и запускать любое ПО или .bat-файл. В ряде случаев это может привести к плачевным последствиям и поставить крест на конфиденциальной информации.

Условие текущей задачи: на входе – обычная usb-flash; на выходе – usb-flash с поддержкой U3.

Идем на сайт flashboot.ru и находим нужный пак для нашего контроллера. Производитель: Phison. А вот с версией пришлось поэкспериментировать, потому что прошивка содержит свои особенности для уникального девайса.

Требуется создание на флешке специального CD-ROM раздела, чтобы она стала поддерживать U3 или (по научному) работать в 21 режиме (Mode 21).

Запускаем находящуюся в паке перепрошивки утилиту ParamEdt-F1-v1.0.20.2.exe и сразу открываем вкладку «F1-1» и устанавливаем все, как на скриншоте (см. полную версию статьи: http://www.defec.ru/node/10)

Напомню, что нам нужен Mode 21.

Переходим к вкладке «F1-2» и в поле CD-ROM выбираем образ CD, который будет автозагрузочным. Это может быть любая LiveCD или PE-версия Windows. Однако отметьте для себя, что в будущем мы будем использовать специально подготовленный .iso-образ, созданием которого займемся в следующем разделе. Далее переходим к вкладке «Controller», где в области IC Type (Тип контроллера) выбираем пункт Previous vision (Возможно старый), а в области Used MP Tools выбираем пункт Last Version. Сохраняем все настройки в файл boot.ini, нажав на кнопку «Save As».

Запускаем F1_90_v196_00.exe и выбираем созданный boot.ini. Нажимаем «Start» и наблюдаем за процессом тестирования и записи образа. Процесс закончится, когда окно будет окрашено в зеленый цвет (светодиод накопителя при этом будет мерцать).

В результате всех манипуляций мы получаем флешку с двумя разделами: CD-ROM и накопитель стандартного типа.


Заряжаем.

Дальнейший материал основан на статье и разработках Вадима Даньшина (yurik_yurok@mail.ru), которые он привел в июньском (126) номере ][ («Троян в мозгах Flash»).

Вкратце скажу, что от Kingston выпущен патч для U3-флешек, который представляет собой незащищенный RAR-архив, что позволяет изменять его содержимое по своему желанию. Именно это и сделал Вадим Даньшин, модифицировав файл автозапуска защищенного диска таким образом, что он направлял выполнение кода сначала на специальный обработчик, а уже затем на файлы LaunchU3-обработчика.

Результатом его исследований стала подборка файлов, которая должна присутствовать на защищенном разделе флешки. Скачать архив, содержащий эти файлы можно здесь: www.defec.ru/sites/default/files/System.rar.

Прежде, чем записать эти файлы (используя методы, описанные в предыдущем разделе) в защищенную часть, перекинем их в .iso –образ. Как это сделать, я думаю, рассказывать не имеет смысла.

Перейдем к содержимому рабочей части – именно ей (а точнее скриптам) передается управление с защищенного хранилища. Основу рабочей области можно найти в архиве.

Я немного облегчил систему, убрав ненужный функционал (например, воспроизведение музыки) и удалив не имеющие отношение к системе файлы. Содержимое рабочей части каждый может «заточить» под свои нужды (естественно, не забываем про копирайты), благо в данном случае не придется при любом изменении перепрошивать девайс.


Выстрел!

Нет сомнений, что эта система работает и делает то, что, собственно, и требовалось доказать. Кому-то она покажется новым видом троянской лошади, а для кого-то станет рабочей лошадкой.

Важно другое: пока администраторы не оставят свою наивность - данные как сливали, так и будут сливать. А этот концепт – всего лишь решение данной теоремы.

Исходные коды рассмотренной системы

(с) c0n Difesa (defec.ru)

1/ Не ново

2/ Что тогда статья делает в НАШИ? или это копирайт под исходники?

А Админы тут причем? кто сказал что Админы наивны? у меня вот на пример финансирование нулевое, проплату пары мышек жду по 3 месяца.

сейчас уже настолько сами граберы модернезируют, что статья очень быстро становиться не актуальной + ко всему помимо флешки необходимо быть знакомым с таким понятием как "СИ" и знать как применяются данные навыки.
зачастую проделав вышеописанные действия, доступ к компьютеру инсайдер не получает, из-за непродуманного предлога.

Идея материала стара, как сам USB. Здесь, как в случае и с другими портами (COM, LPT) все просто: "воткнуть - слить". Совершенствуются лишь методы.

Копирайт исключительно авторский, статья написана для античата.

На первый вопрос, могу только посоветовать перечитать материал еще раз. Разве не в обязанности админов входит создание политик безопасности? Политики подключения девайсов - это подмножества общих правил обеспечения безопасности.

"И вы еще спрашиваете, причем тут мышки" (с) реклама

а с политиками как правило все нормально, но есть ситуации когда они просто напросто не применимы к какой либо рабочей станции (у меня таких 6! по требованию начальства они не включены в домен и не имеют каких либо ограничений - неправильно но хозяин барин)

Тут не в мышах смысл а в финансировании, ИТ система требует вложения средств но наши предприниматели/Госники этого не понимают.

P.S. Чтобы настраивать политики, нужно как минимум чтобы было где их настраивать, а если на серв под домен зажали денег то я махал на бегатню по 300+ рабочих станций - мне столько не платят

Очевидно, что действия администратора не произвольны и имеют подоплеку вышестоящих должностных лиц. Но смысл статьи от этого не меняется - брешь в обороне не закрыта и может быть проэксплуатирована, как заметил morty10, при определенных обстоятельствах (имеется ввиду получение доступа к порту USB, а дальше дело техники).

Полностью согласен. Деньги всегда были хорошим стимулом и администрирование не является исключением. Другое дело - сколько готова потратить организация за убытки, возникшие в случае утечки конфиденциальных данных, или же все таки потратить деньги на организацию средств управления ИБ.

POS_troi +100, у меня тажа ситуация на работе, только еще хуже, денег не дают вообще, только если физически что то полетело, у меня 1 комп, онже сервак, он-же рабочий, к ниму же подключаю железо для проверки(на обеде, после работы), весь софт пиратский, про отключение флешек даже речи не идет, так как "они нужны для работы", пароли на систему ни у кого не стоят, так как запоминать их не тру, общий уровень персонала далеко не дотягивает хотябы до простого пользователя. Так что если начальство настроено на максимальную экономию по части безопасности, нихрена тут уже не сделаешь (((

блин вот ни как не доганю как нужно сождавать образ! нужно system.rar закинуть в исошник? или содержимое этого архива? т.е. две папки закинуть в образ?

блин... затупил.... сори за оф топ разобрался...

Автор, а кто ты? Статья не нова и не актуальна. Инфы по этому поводу мало. И где-то я ее уже видел...
Действительно, наехать в случае такого инсайда директорА должны на админов, так как любой нормальный админ должен продумывать вариант инсайда, если у него зарплата больше 500$ и есть свободное время. Варианты могут быть разными - от вакцинации флешек до фикса реестра машинок или отключения юсб.
ЗЫ
ребят, если вам дяди не платят деньжат, значит они не выполняют свои обязательства, а значит, их надо проучить. Сливайте все, что можете слить на свои носители и ныкайте, а руководству сообщайте, что не выполнение ими своих обстоятельств столь длительное время обязано повлечь за собой невыпалнение обязательств подчиненных. Мне интересно - как они смогут работать без админа. Особенно, если этот админ перед уходом положит серваки и сеть. а если откажутся выплачивать - всегда можно намекнуть, что у вас есть инфа, которую не желательно выкладывать в паблик/конкурентам/налоговикам. Естественно, это не прокатит, если вы работаете на государство. Да и вообще - на государство работать не интересно (кроме редких случаев)
ЗЫ
мне мои зарплаты и бонусы выплачивают ровно вовремя.