محرك أقراص USB شرير يمكن أن يستحوذ على جهاز الكمبيوتر الخاص بك دون اكتشاف

إذا لم تقم بإيقاف تشغيل USB للتشغيل التلقائي على جهاز الكمبيوتر الخاص بك ، فمن الممكن أن يؤدي توصيل محرك أقراص USB مصاب إلى تثبيت برامج ضارة على نظامك. لقد تعلم المهندسون الذين تم تفجير أجهزة الطرد المركزي لتنقية اليورانيوم من قبل شركة Stuxnet بهذه الطريقة الصعبة. اتضح ، مع ذلك ، أن البرامج الضارة للتشغيل التلقائي ليست الطريقة الوحيدة التي يمكن بها تسليح أجهزة USB. في مؤتمر Black Hat 2014 ، كشف باحثان من شركة SRLabs ومقرها برلين عن تقنية لتعديل رقاقة وحدة تحكم جهاز USB حتى يمكنها "محاكاة ساخرة لأنواع مختلفة من الأجهزة الأخرى من أجل السيطرة على جهاز الكمبيوتر أو كشف البيانات أو التجسس على المستخدم ". هذا يبدو سيئًا ، لكنه في الحقيقة مروع حقًا.

أنتقل إلى الجانب المظلم

وقال الباحث كارستن نول ، متحدثاً إلى غرفة مكتظة: "نحن مختبر للقرصنة يركز عادة على الأمن المضمن". "هذه هي المرة الأولى التي ننظر فيها إلى أمان الكمبيوتر ، بزاوية مضمنة. كيف يمكن إعادة استخدام USB بطرق ضارة؟"

قفز الباحث في مجال البحث Jakob Lell إلى العرض التوضيحي. قام بتوصيل محرك أقراص USB بجهاز كمبيوتر يعمل بنظام Windows ؛ لقد ظهر كمحرك ، تمامًا كما كنت تتوقع. لكن بعد فترة قصيرة ، أعادت تعريف نفسها على أنها لوحة مفاتيح USB وأصدرت أمرًا قام بتنزيل وصول عن بعد طروادة. ووجه هذا التصفيق!

وقال نول "لن نتحدث عن الفيروسات في وحدة تخزين USB". "أسلوبنا يعمل مع قرص فارغ. يمكنك حتى إعادة تنسيقه. هذه ليست ثغرة أمنية في Windows يمكن تصحيحها. نحن نركز على النشر ، وليس على Trojan."

السيطرة على المراقب المالي

وقال نول: "USB يحظى بشعبية كبيرة". "تحتوي معظم أجهزة USB (إن لم تكن جميعها) على شريحة تحكم. لا تتفاعل مطلقًا مع الشريحة ، ولا يراها نظام التشغيل. لكن وحدة التحكم هذه هي التي تتحدث عن USB."

تحدد رقاقة USB نوع الجهاز الخاص بها على الكمبيوتر ، ويمكنها تكرار هذه العملية في أي وقت. أشار Noll إلى وجود أسباب وجيهة لقيام أحد الأجهزة بتقديم نفسه كأكثر من جهاز ، مثل كاميرا ويب بها برنامج تشغيل للفيديو وآخر للميكروفون المتصل. إن التعرف على محركات أقراص USB أمر صعب حقًا ، لأن الرقم التسلسلي اختياري وليس له تنسيق ثابت.

مر Lell بالخطوات الدقيقة التي اتخذها الفريق لإعادة برمجة البرامج الثابتة على نوع معين من وحدة تحكم USB. باختصار ، كان عليهم أن يتطابقوا مع عملية تحديث البرامج الثابتة ، وأن يعيدوا هندسة البرامج الثابتة ، ثم يقومون بإنشاء نسخة معدلة من البرنامج الثابت تحتوي على الكود الضار. "لم نكسر كل شيء عن USB ،" لاحظت Noll. "لقد قمنا بتصميم هندسي عكس ورقتي تحكم رائعتين. الأول استغرق ربما شهرين ، والثاني شهر واحد."

، النسخ المتماثل النفس

بالنسبة إلى العرض التوضيحي الثاني ، أدخل Lell محرك أقراص USB فارغًا جديدًا في الكمبيوتر المصاب من العرض التوضيحي الأول. إعادة برمجة الكمبيوتر المصاب البرامج الثابتة لمحرك USB الفارغ ، وبالتالي تكرار نفسه. يا للهول.

ثم قام بتوصيل محرك الأقراص المصاب للتو في كمبيوتر محمول يعمل بنظام Linux ، حيث أصدر أوامر لوحة المفاتيح بشكل واضح لتحميل التعليمات البرمجية الضارة. مرة أخرى ، استقطب العرض التوضيحي من الجمهور.

سرقة كلمات المرور

وقال نول: "كان هذا مثالاً ثانياً حيث يردد أحد USB نوعًا آخر من الأجهزة" ، لكن هذا مجرد غيض من فيض. وفي العرض التوضيحي التالي ، قمنا بإعادة برمجة محرك أقراص USB 3 ليكون نوع جهاز يصعب اكتشافه. راقب عن كثب ، يكاد يكون من المستحيل رؤيته ".

في الواقع ، لم أستطع اكتشاف وميض أيقونة الشبكة ، ولكن بعد توصيل محرك أقراص USB ، ظهرت شبكة جديدة. أوضح Noll أن محرك الأقراص يحاكي الآن اتصال Ethernet ، حيث يعيد توجيه البحث عن DNS للكمبيوتر. على وجه التحديد ، إذا زار المستخدم موقع PayPal ، فسيتم إعادة توجيهه بشكل غير مرئي إلى موقع سرقة كلمة المرور. للأسف ، ادعى الشياطين التجريبي هذا واحد ؛ لم تنجح.

الثقة في USB

وقال نول "دعونا نناقش للحظة الثقة التي نضعها في USB". "إنه شائع لأنه سهل الاستخدام. يعد تبادل الملفات عبر USB أفضل من استخدام البريد الإلكتروني غير المشفر أو التخزين السحابي. لقد غزا USB العالم. نحن نعرف كيفية مسح محرك أقراص USB ضوئيًا. نحن نثق في لوحة مفاتيح USB أكثر. هذا البحث ينهار تلك الثقة ".

"ليس فقط الوضع الذي يمنحك شخصًا فيه USB ،" تابع. "مجرد توصيل الجهاز بجهاز الكمبيوتر الخاص بك يمكن أن يصيبه. للحصول على عرض توضيحي آخر ، سوف نستخدم أسهل مهاجم USB ، وهو هاتف Android."

قال ليل: "دعنا فقط نربط هاتف Android القياسي هذا بجهاز الكمبيوتر ، ونرى ما سيحدث. أوه ، فجأة يوجد جهاز شبكة إضافي. دعنا نذهب إلى PayPal وسجّل الدخول. لا توجد رسالة خطأ ، لا شيء. لكننا استولينا اسم المستخدم وكلمة المرور! " هذه المرة ، كان التصفيق مدويا.

"هل تكتشف أن هاتف Android تحول إلى جهاز Ethernet؟" طلب لا شيء. "هل يقوم جهازك بالتحكم في برنامج منع فقدان البيانات أو اكتشافه؟ في تجربتنا ، لا يفعل معظمهم. ومعظمهم يركز فقط على وحدة تخزين USB ، وليس على أنواع الأجهزة الأخرى."

عودة قطاع التمهيد Infector

"لا يقوم BIOS بنوع مختلف من تعداد USB عن نظام التشغيل" ، قال Noll. "يمكننا الاستفادة من ذلك من خلال جهاز يحاكي اثنين من محركات الأقراص ولوحة المفاتيح. سيرى نظام التشغيل محركًا واحدًا على الإطلاق. يظهر الثاني فقط على BIOS ، والذي سيتم التمهيد منه إذا تمت تهيئته للقيام بذلك. إذا لم يكن ، يمكننا إرسال ضغطات المفاتيح ، ربما F12 ، لتمكين التشغيل من الجهاز."

أشار Noll إلى أن كود rootkit يتم تحميله قبل نظام التشغيل ، وأنه يمكن أن يصيب محركات أقراص USB أخرى. وقال "إنه النشر الأمثل لفيروس". "يتم تشغيله بالفعل على الكمبيوتر قبل أن يتم تحميل أي برنامج مكافحة فيروسات. إنه عودة فيروس قطاع التمهيد."

ماذا يمكن ان يفعل؟

أشار Noll إلى أنه سيكون من الصعب للغاية إزالة فيروس موجود في البرامج الثابتة USB. أخرجه من محرك أقراص فلاش USB ، ويمكن أن يعيد تكوينه من لوحة مفاتيح USB. حتى أجهزة USB المدمجة في جهاز الكمبيوتر الخاص بك قد تكون مصابة.

وقال نول "لسوء الحظ ، لا يوجد حل بسيط. فكل أفكار الحماية الخاصة بنا تقريبًا تتداخل مع فائدة USB". "هل يمكنك إدراج أجهزة USB الموثوق بها في القائمة البيضاء؟ حسنًا ، يمكنك إذا كانت أجهزة USB محددة بشكل فريد ، لكنها ليست كذلك."

"يمكنك حظر USB تمامًا ، لكن هذا يؤثر على قابلية الاستخدام" ، وتابع. "يمكنك حظر أنواع الأجهزة الهامة ، لكن حتى الفئات الأساسية جدًا يمكن إساءة استخدامها. أزلها ولم يتبق الكثير منها. ماذا عن الفحص بحثًا عن البرامج الضارة؟ لسوء الحظ ، من أجل قراءة البرنامج الثابت ، يجب أن تعتمد على وظائف البرنامج الثابت نفسه ، لذلك يمكن للبرامج الثابتة الخبيثة محاكاة ساخرة شرعية."

"في حالات أخرى ، يحظر البائعون تحديثات البرامج الثابتة الضارة باستخدام التوقيعات الرقمية" ، قال Noll. "ولكن من الصعب تطبيق التشفير الآمن على وحدات التحكم الصغيرة. وعلى أي حال ، لا تزال مليارات الأجهزة الموجودة عرضة للخطر."

وقال نول: "كانت الفكرة العملية الوحيدة التي توصلنا إليها هي تعطيل تحديثات البرامج الثابتة في المصنع". "الخطوة الأخيرة هي قيامك بذلك حتى لا يمكن إعادة برمجة البرنامج الثابت. يمكنك إصلاحه في البرنامج. قم بنسخ ترقية واحدة جديدة للبرامج الثابتة تمنع جميع التحديثات الأخرى. يمكننا التغلب على القليل من مجال أجهزة USB الموثوق بها ".

اختتم Noll بالإشارة إلى بعض الاستخدامات الإيجابية لتقنية تعديل وحدة التحكم الموصوفة هنا. وقال "هناك قضية يجب تقديمها للأشخاص الذين يلعبون بهذا ، لكن ليس في بيئات موثوق بها." أنا ، لأحد ، لن أنظر إلى أي جهاز USB بالطريقة التي اعتدت عليها.