Осторожно. Новый вид атак.

← →
Павиа (2014-09-03 21:35) [0]

http://www.macdigger.ru/macall/xakery-nauchilis-vzlamyvat-kompyutery-zarazhaya-myshi-i-klaviatury-s-usb-interfejsom.html

Судя по ссылке ребята перепрошили микроконтроллёр флешки так, что она стала определяться как клавиатура(HID, HUD) и отправлять команды для заражения компьютера.

Так что совет ни в коем случае не вставляйте неизвестные флешки в свой компьютер. И известные тоже.

← →
Jeer © (2014-09-03 21:45) [1]

Ок, спасибо.

← →
куку (2014-09-03 21:51) [2]

Хакеры научились взламывать компьютеры, заражая мыши и клавиатуры с USB-интерфейсом

ага ага. именно хаскеры.

"от солнца отвалился огромный кусок и летит к земле. скоро всем коротышкам будет крышка"

по теме.
как раз таки не хакеры, а параноид-секурити гики мастырят (давно, а вовсе не "новым методом атак") усб-хид клавы в виде флешек для генерации новых паролей и посылки старых паролей как бы с клавиатуры.
ну или для приколов над павиами.
типа вставил флеху, а в открытом ворде печатается всякая ерунда.

всего-то и надо какая-нить атмега + v-usb + десяток строк кода.
а нуда. еще паяло с канифолью надо.

← →
Inovet © (2014-09-04 08:48) [3]

> [2] куку (03.09.14 21:51)
> всего-то и надо какая-нить атмега + v-usb + десяток строк кода.
> а нуда. еще паяло с канифолью надо.

А хакать куда?

← →
brother © (2014-09-04 09:01) [4]

Дело в том, что заражение может быть направлено в обе стороны: как от USB к компьютеру, так и обратно.
с трудом верится ибо сколько там разных чипов используется? на каждый свое по нуна... низачОД...

← →
Rouse_ © (2014-09-04 10:21) [5]

Уже лет пять назад как научились, ибо этот подход используется в вирусе Stuxnet, разработанном аж в 2009-ом.

← →
Rouse_ © (2014-09-04 10:22) [6]

Да и года два назад тоже пытались это как новость оформить: http://www.stopvirus.net/news/3294920A-7EE0-95E7-AECD-1C62C072CCF7/

← →
Пит (2014-09-04 11:01) [7]

> Уже лет пять назад как научились, ибо этот подход используется
> в вирусе Stuxnet

Объясни каким образом выдавание себя за клавиатуру может заразить компьютер?

← →
junglecat (2014-09-04 11:03) [8]

> каким образом выдавание себя за клавиатуру может заразить
> компьютер?

может, он посылает коды кнопок для команды форматирования дисков или еще какой-нибудь пакости?

← →
Пит (2014-09-04 11:55) [9]

> он посылает коды кнопок для команды форматирования

а что это за код от клавиатуры, который форматирует диск?

Кроме фотожаб никогда не видел клавиатуру, где была бы кнопка "Format c:"

> или еще какой-нибудь пакости?

ну допустим он может послать reset или типа того, но как он можно ЗАРАЗИТЬ компьютер?

← →
Rouse_ © (2014-09-04 11:55) [10]

> Объясни каким образом выдавание себя за клавиатуру может
> заразить компьютер?

Это одна из возможностей, а так это полноценный исполняемый код который может делать все что душе угодно.
Вообще в инете достаточно технической информации по этому поводу - поищи.

← →
junglecat (2014-09-04 11:58) [11]

> что это за код от клавиатуры, который форматирует диск?

ну например, последовательность нажатий
[win] R cmd [enter] delete /Q /S c:\*.*

← →
Jeer © (2014-09-04 11:59) [12]

>ну допустим он может послать reset или типа того, но как он можно >ЗАРАЗИТЬ компьютер?

Ты, работая на клавиатуре и пользуясь всеми возможностями операционной системы ( отключение антивиря, например, выход в Интернет и заход на сайт с вирусом или скачивание с ftp любой дряни и ее запуск и т.д) можешь заразить комп?

Вот тебе и ответ.

← →
Пит (2014-09-04 12:10) [13]

> Это одна из возможностей, а так это полноценный исполняемый
> код

ну так это понятно, флешка с автозапуском, вот тебе и полноценный исполняемый код.
Но эмулирование клавиатуры то здесь причем?

> Ты, работая на клавиатуре и пользуясь всеми возможностями
> операционной системы

я вижу обратную связь от операционной системы. Клавиатура же не получает этой информации, это сильно затрудняет "взлом".

Плюс это надо вставить флешку и еще не смотреть на экран, на котором будут происходить странности всякие.

← →
ну и (2014-09-04 12:17) [14]

[win] R cmd [enter] delete /Q /S c:\*.*

это вредонос но не вирус.

для вируса надо что-то хотябы
[win] R cmd [enter] wget или curl ......

← →
Пит (2014-09-04 12:45) [15]

wget по умолчанию в винду не входит.

https://ru.wikipedia.org/wiki/Stuxnet - прочитал про Stuxnet, он использует уязвимости Windows и имеет реальные цифровые подписи, что, видимо, облегчает задачу запуска с флешки, когда флешка как диск.

Но причем тут эмуляции клавиатуры?

← →
ну и (2014-09-04 12:52) [16]

я бы сказал при чем здесь вообще атаки и при чем здесь хакеры

← →
Rouse_ © (2014-09-04 13:08) [17]

> Но эмулирование клавиатуры то здесь причем?

Ну я так и понял что ты не понял :)

← →
antonn © (2014-09-04 13:41) [18]

> ну так это понятно, флешка с автозапуском, вот тебе и полноценный
> исполняемый код.
> Но эмулирование клавиатуры то здесь причем?

Вот есть функция Inc(). Она может уменьшать передаваемое значение в зависимости от второго параметра. "Но как же так, причем тут уменьшение, это если это функция для увеличения!!!"
шире смотри, а не только в рамках того для чего предполагалось использовать

← →
Пит (2014-09-04 16:04) [19]

> Ну я так и понял что ты не понял :)

естественно, я же сразу это указал в посте [7], чтобы ты пояснил как такое возможно, я о таких возможностях не знаю.

← →
Rouse__ (2014-09-04 18:11) [20]

Еще раз говорю, это как пример, такой девайс может себя выдать за что угодно, хоть за коврик для мышки, не важно. Суть в том что код имеет доступ к системе на том уровне, на котором его никто не контролирует

← →
RDen © (2014-09-04 18:45) [21]

щя каспер станет дороже и ещё более тормознутым ))

← →
brother © (2014-09-04 18:48) [22]

> Суть в том что код имеет доступ к системе на том уровне,
> на котором его никто не контролирует

о каком кольце речь?

← →
brother © (2014-09-04 18:48) [23]

о 0 ща говорим?

← →
Пит (2014-09-04 19:04) [24]

> Еще раз говорю, это как пример, такой девайс может себя
> выдать за что угодно, хоть за коврик для мышки, не важно.
>

по моему, мы о разных вещах говорим. Я про топик, там написано:

Судя по ссылке ребята перепрошили микроконтроллёр флешки так, что она стала определяться как клавиатура(HID, HUD) и отправлять команды для заражения компьютера.

вот мне и интересно как это возможно.

← →
Rouse__ (2014-09-04 19:17) [25]

Говорим есесно о нуле, а по поводу как это возможно - ну мне сложно будет тебе обьяснить, бо это не твоя тематика и на пальцах такие вещи не показывают.

← →
brother © (2014-09-04 19:20) [26]

расскажи как ядро ОС c микропрограммой USB устройства общается или как ее загружает (на выполнение)...
зы. скока там рабочий размер то? на трояна хватит?) + еще оригинальную прошивку поддерживать надо...

← →
Rouse__ (2014-09-04 19:26) [27]

Что прямо вот тут начнем с даташитов и прочего? Да брось :)

← →
brother © (2014-09-04 19:39) [28]

А кого нам стесняться? все свои! :)))))))))
зы. да понятно, что тема нууудная, но интересная)

← →
Rouse__ (2014-09-04 19:42) [29]

Ну ок, начни с микропрограммы для usb контроллера. Что есть такое, как устроено, откуда получает управление и как фунциклирует

О_о господа, я сливаюсь...)

← →
куку (2014-09-04 20:58) [31]

да нет там никаких микропрограмм и контроллеров усб.
простейшая копеечная восьмибитная аттинька в которую залита софтварная реализация усб-1.0 (v-usb) и чуток пользовательского кода.
проект выходного дня для среднего семи-восьми-классника

← →
Павиа (2014-09-04 21:50) [32]

Флешка состоит из микроконтролера и памяти.
Микроконтроллёр реализует обработку команд от USB. А также некоторые реализуют шифрование и прочее.
В микро контролёре достаточно поменять идентификатор девайся и код класса. Программы такие есть.
Микроконтроллёров хотя и много, но как правило используют единую систему команд, а их можно пересчитать по пальцам руки. Можно написать прошувку под большинство флешек.
Либо же просто найти такой бит который будет слать что-то из чипа памяти и побольше.

Как исполнить вредоносный код имея только клавиатуру? Стоит читать как написать вредоносный код используя клавиатуру.
Есть два способа писать код в машинных кодах используя только латинские буквы и цифры. Это возможно статьи есть.
Либо сделать замену или перекодирование. Что тоже возможно и есть статьи.

Как вызвать и сохранить такой код. Можно сделать через командную строку к примеру команда copy или через блокнот. Более того существует и прочая экзотика.

Так что задача вполне решаемая. Не скажу что за 1 день, но за 1 неделю в полне.

← →
куку (2014-09-04 22:11) [33]

Удалено модератором

← →
куку (2014-09-04 22:59) [34]

в начале двухтысячных те же персонажи писали о супер уязвимости мобильников.
типа сидишь в кафе, мобила на столе.
за соседним столиком клхацкер с ноутом и ик-портом.
и он такой типа коварный и хитрый цепляет твою мобилу по ик-порту как модем и юзает на своем ноуте твой мобильный интернет.

и всем боятся, всем спасаться, мы типа предупредили.

← →
junglecat (2014-09-05 10:00) [35]

так это и сейчас актуально. Типа сосед по лестнице подрубается на халяву к твоему вайфаю и качает порнуху

← →
куку (2014-09-05 10:09) [36]

Удалено модератором
Примечание: Правила читаем

Ещё спецслужбы могут в любое время незаметно включить любой мобильный телефон и начать прослушку. Даже отключенный. Помогает только хак молотком.

← →
junglecat (2014-09-05 10:23) [38]

причем прослушку всех разговоров, а не только телефонных

← →
куку (2014-09-05 10:31) [39]

так это и сейчас актуально.

ИК порт актуален сейчас?

← →
Дмитрий СС (2014-09-05 10:33) [40]

Объясните, пожалуйста, как может что-либо с USB устройства выполниться на процессоре, а еще и с большими привилегиями?

autorun не в счет.

Осторожно. Новый вид атак. Найти похожие ветки