Осторожно. Новый вид атак.

← →
Павиа (2014-09-03 21:35) [0]

http://www.macdigger.ru/macall/xakery-nauchilis-vzlamyvat-kompyutery-zarazhaya-myshi-i-klaviatury-s-usb-interfejsom.html

Судя по ссылке ребята перепрошили микроконтроллёр флешки так, что она стала определяться как клавиатура(HID, HUD) и отправлять команды для заражения компьютера.

Так что совет ни в коем случае не вставляйте неизвестные флешки в свой компьютер. И известные тоже.

← →
Jeer © (2014-09-03 21:45) [1]

Ок, спасибо.

← →
куку (2014-09-03 21:51) [2]

Хакеры научились взламывать компьютеры, заражая мыши и клавиатуры с USB-интерфейсом

ага ага. именно хаскеры.

"от солнца отвалился огромный кусок и летит к земле. скоро всем коротышкам будет крышка"

по теме.
как раз таки не хакеры, а параноид-секурити гики мастырят (давно, а вовсе не "новым методом атак") усб-хид клавы в виде флешек для генерации новых паролей и посылки старых паролей как бы с клавиатуры.
ну или для приколов над павиами.
типа вставил флеху, а в открытом ворде печатается всякая ерунда.

всего-то и надо какая-нить атмега + v-usb + десяток строк кода.
а нуда. еще паяло с канифолью надо.

← →
Inovet © (2014-09-04 08:48) [3]

> [2] куку (03.09.14 21:51)
> всего-то и надо какая-нить атмега + v-usb + десяток строк кода.
> а нуда. еще паяло с канифолью надо.

А хакать куда?

← →
brother © (2014-09-04 09:01) [4]

Дело в том, что заражение может быть направлено в обе стороны: как от USB к компьютеру, так и обратно.
с трудом верится ибо сколько там разных чипов используется? на каждый свое по нуна... низачОД...

← →
Rouse_ © (2014-09-04 10:21) [5]

Уже лет пять назад как научились, ибо этот подход используется в вирусе Stuxnet, разработанном аж в 2009-ом.

← →
Rouse_ © (2014-09-04 10:22) [6]

Да и года два назад тоже пытались это как новость оформить: http://www.stopvirus.net/news/3294920A-7EE0-95E7-AECD-1C62C072CCF7/

← →
Пит (2014-09-04 11:01) [7]

> Уже лет пять назад как научились, ибо этот подход используется
> в вирусе Stuxnet

Объясни каким образом выдавание себя за клавиатуру может заразить компьютер?

← →
junglecat (2014-09-04 11:03) [8]

> каким образом выдавание себя за клавиатуру может заразить
> компьютер?

может, он посылает коды кнопок для команды форматирования дисков или еще какой-нибудь пакости?

← →
Пит (2014-09-04 11:55) [9]

> он посылает коды кнопок для команды форматирования

а что это за код от клавиатуры, который форматирует диск?

Кроме фотожаб никогда не видел клавиатуру, где была бы кнопка "Format c:"

> или еще какой-нибудь пакости?

ну допустим он может послать reset или типа того, но как он можно ЗАРАЗИТЬ компьютер?

← →
Rouse_ © (2014-09-04 11:55) [10]

> Объясни каким образом выдавание себя за клавиатуру может
> заразить компьютер?

Это одна из возможностей, а так это полноценный исполняемый код который может делать все что душе угодно.
Вообще в инете достаточно технической информации по этому поводу - поищи.

← →
junglecat (2014-09-04 11:58) [11]

> что это за код от клавиатуры, который форматирует диск?

ну например, последовательность нажатий
[win] R cmd [enter] delete /Q /S c:\*.*

← →
Jeer © (2014-09-04 11:59) [12]

>ну допустим он может послать reset или типа того, но как он можно >ЗАРАЗИТЬ компьютер?

Ты, работая на клавиатуре и пользуясь всеми возможностями операционной системы ( отключение антивиря, например, выход в Интернет и заход на сайт с вирусом или скачивание с ftp любой дряни и ее запуск и т.д) можешь заразить комп?

Вот тебе и ответ.

← →
Пит (2014-09-04 12:10) [13]

> Это одна из возможностей, а так это полноценный исполняемый
> код

ну так это понятно, флешка с автозапуском, вот тебе и полноценный исполняемый код.
Но эмулирование клавиатуры то здесь причем?

> Ты, работая на клавиатуре и пользуясь всеми возможностями
> операционной системы

я вижу обратную связь от операционной системы. Клавиатура же не получает этой информации, это сильно затрудняет "взлом".

Плюс это надо вставить флешку и еще не смотреть на экран, на котором будут происходить странности всякие.

← →
ну и (2014-09-04 12:17) [14]

[win] R cmd [enter] delete /Q /S c:\*.*

это вредонос но не вирус.

для вируса надо что-то хотябы
[win] R cmd [enter] wget или curl ......

← →
Пит (2014-09-04 12:45) [15]

wget по умолчанию в винду не входит.

https://ru.wikipedia.org/wiki/Stuxnet - прочитал про Stuxnet, он использует уязвимости Windows и имеет реальные цифровые подписи, что, видимо, облегчает задачу запуска с флешки, когда флешка как диск.

Но причем тут эмуляции клавиатуры?

← →
ну и (2014-09-04 12:52) [16]

я бы сказал при чем здесь вообще атаки и при чем здесь хакеры

← →
Rouse_ © (2014-09-04 13:08) [17]

> Но эмулирование клавиатуры то здесь причем?

Ну я так и понял что ты не понял :)

← →
antonn © (2014-09-04 13:41) [18]

> ну так это понятно, флешка с автозапуском, вот тебе и полноценный
> исполняемый код.
> Но эмулирование клавиатуры то здесь причем?

Вот есть функция Inc(). Она может уменьшать передаваемое значение в зависимости от второго параметра. "Но как же так, причем тут уменьшение, это если это функция для увеличения!!!"
шире смотри, а не только в рамках того для чего предполагалось использовать

← →
Пит (2014-09-04 16:04) [19]

> Ну я так и понял что ты не понял :)

естественно, я же сразу это указал в посте [7], чтобы ты пояснил как такое возможно, я о таких возможностях не знаю.

← →
Rouse__ (2014-09-04 18:11) [20]

Еще раз говорю, это как пример, такой девайс может себя выдать за что угодно, хоть за коврик для мышки, не важно. Суть в том что код имеет доступ к системе на том уровне, на котором его никто не контролирует

← →
RDen © (2014-09-04 18:45) [21]

щя каспер станет дороже и ещё более тормознутым ))

← →
brother © (2014-09-04 18:48) [22]

> Суть в том что код имеет доступ к системе на том уровне,
> на котором его никто не контролирует

о каком кольце речь?

← →
brother © (2014-09-04 18:48) [23]

о 0 ща говорим?

← →
Пит (2014-09-04 19:04) [24]

> Еще раз говорю, это как пример, такой девайс может себя
> выдать за что угодно, хоть за коврик для мышки, не важно.
>

по моему, мы о разных вещах говорим. Я про топик, там написано:

Судя по ссылке ребята перепрошили микроконтроллёр флешки так, что она стала определяться как клавиатура(HID, HUD) и отправлять команды для заражения компьютера.

вот мне и интересно как это возможно.

← →
Rouse__ (2014-09-04 19:17) [25]

Говорим есесно о нуле, а по поводу как это возможно - ну мне сложно будет тебе обьяснить, бо это не твоя тематика и на пальцах такие вещи не показывают.

← →
brother © (2014-09-04 19:20) [26]

расскажи как ядро ОС c микропрограммой USB устройства общается или как ее загружает (на выполнение)...
зы. скока там рабочий размер то? на трояна хватит?) + еще оригинальную прошивку поддерживать надо...

← →
Rouse__ (2014-09-04 19:26) [27]

Что прямо вот тут начнем с даташитов и прочего? Да брось :)

← →
brother © (2014-09-04 19:39) [28]

А кого нам стесняться? все свои! :)))))))))
зы. да понятно, что тема нууудная, но интересная)

← →
Rouse__ (2014-09-04 19:42) [29]

Ну ок, начни с микропрограммы для usb контроллера. Что есть такое, как устроено, откуда получает управление и как фунциклирует

← →
brother © (2014-09-04 20:09) [30]

О_о господа, я сливаюсь...)

← →
куку (2014-09-04 20:58) [31]

да нет там никаких микропрограмм и контроллеров усб.
простейшая копеечная восьмибитная аттинька в которую залита софтварная реализация усб-1.0 (v-usb) и чуток пользовательского кода.
проект выходного дня для среднего семи-восьми-классника

← →
Павиа (2014-09-04 21:50) [32]

Флешка состоит из микроконтролера и памяти.
Микроконтроллёр реализует обработку команд от USB. А также некоторые реализуют шифрование и прочее.
В микро контролёре достаточно поменять идентификатор девайся и код класса. Программы такие есть.
Микроконтроллёров хотя и много, но как правило используют единую систему команд, а их можно пересчитать по пальцам руки. Можно написать прошувку под большинство флешек.
Либо же просто найти такой бит который будет слать что-то из чипа памяти и побольше.

Как исполнить вредоносный код имея только клавиатуру? Стоит читать как написать вредоносный код используя клавиатуру.
Есть два способа писать код в машинных кодах используя только латинские буквы и цифры. Это возможно статьи есть.
Либо сделать замену или перекодирование. Что тоже возможно и есть статьи.

Как вызвать и сохранить такой код. Можно сделать через командную строку к примеру команда copy или через блокнот. Более того существует и прочая экзотика.

Так что задача вполне решаемая. Не скажу что за 1 день, но за 1 неделю в полне.

← →
куку (2014-09-04 22:11) [33]

Удалено модератором

← →
куку (2014-09-04 22:59) [34]

в начале двухтысячных те же персонажи писали о супер уязвимости мобильников.
типа сидишь в кафе, мобила на столе.
за соседним столиком клхацкер с ноутом и ик-портом.
и он такой типа коварный и хитрый цепляет твою мобилу по ик-порту как модем и юзает на своем ноуте твой мобильный интернет.

и всем боятся, всем спасаться, мы типа предупредили.

← →
junglecat (2014-09-05 10:00) [35]

так это и сейчас актуально. Типа сосед по лестнице подрубается на халяву к твоему вайфаю и качает порнуху

← →
куку (2014-09-05 10:09) [36]

Удалено модератором
Примечание: Правила читаем

← →
Inovet © (2014-09-05 10:21) [37]

Ещё спецслужбы могут в любое время незаметно включить любой мобильный телефон и начать прослушку. Даже отключенный. Помогает только хак молотком.

← →
junglecat (2014-09-05 10:23) [38]

причем прослушку всех разговоров, а не только телефонных

← →
куку (2014-09-05 10:31) [39]

так это и сейчас актуально.

ИК порт актуален сейчас?

← →
Дмитрий СС (2014-09-05 10:33) [40]

Объясните, пожалуйста, как может что-либо с USB устройства выполниться на процессоре, а еще и с большими привилегиями?

autorun не в счет.

← →
Дмитрий СС (2014-09-05 10:37) [41]

Максимум что могу представить - это сетевые USB-устройства, которые могут "подсмотреть" трафик и слить его куда-нибудь.

← →
Пит (2014-09-05 10:38) [42]

> ну мне сложно будет тебе обьяснить

я уверен, что общую концепцию можно описать в трех предложениях. Мне же не нужна техническая реализация, мне просто понять как это возможно.

Сейчас у меня понятие такое, что если сэмулировать по USB клавиатуру, то можно всего лишь посылать коды клавиш. То есть, по сути подключена клавиатуры, где злоумышленник может написать любой алгоритм нажатия клавиш.

Но причем тут исполняемый код - непонятно.

Насчет того, что открыть блокнот, написать там код или в консоли - это понятно. Но это не останется незамеченным на экране, к тому же вероятность ошибки большая, так как нет отклика от ОС что на самом деле происходит (простейший пример - посылаем WIN+R и далее запуск чего-то, но если компьютер при этом заблокирован - то ничего не выйдет).

В инете есть цикл статей и несколько книг от Дмитрия Чекунова (кажется так, если не ошибаюсь) вот у него там было достаточно подробно все описано (но там достаточно сложный материал, с ходу не вникнуть если с этим не работаешь)

> [38] junglecat (05.09.14 10:23)
> причем прослушку всех разговоров

Естественно.

← →
Пит (2014-09-05 15:01) [45]

> В инете есть цикл статей и несколько книг от Дмитрия Чекунова

Ну спасибо, Розыч! ))

Я же говорю - не нужны тех. подробности, хотелось бы понять вкратце принцип.

Так уже доказано экспериментами, что используя акселерометры ( MEMS ) встраиваемые в мобильники для определения ориентации, ударов и тп., можно фиксировать факт наличия разговора, определять пол говорящего, отдельные ( не все ) слова.

А вот кстати и исходный код выложили, с инжектором и исходником firmware прошивки.
Можно изучать принцип работы :)

Ой, линк забыл :)
https://github.com/adamcaudill/Psychson

Пожалуй апну: вот уже более наглядно :)
http://habrahabr.ru/company/pt/blog/243697/

Фигня какая, я это (HID) года два назад делал, по идее Алмаза, только с нормальными целями. а тут аж полсотни постов:)

> Rouse_ © (19.11.14 21:13) [49]

в этой статье половина бреда. т.е. теоретически там верно многое, а практически... например, установка эмулятора клавиатуры ничего не даст в большинстве случаях. Роутерам вообще на это пофиг, им модемный-то интерфейс запаришься подсовывать.
а про подмену DNS и перехват трафика ваще смешно.

Там из практики то пара телодвижений, чисто для демонстрации, вся суть в [48]

> Rouse_ © (20.11.14 01:07) [52]
>
> Там из практики то пара телодвижений, чисто для демонстрации,
> вся суть в [48]

Честно говоря я пока тоже не понял что за суть в [48].

почитал вокруг да около:
В действительности все, что нужно злодею, можно реализовать просто перепрограммированием прошивки контроллера USB. В результате такого «обновления» микрокода USB-устройство объявляет себя принадлежащим к другому классу – и в целом делает угрозу технологии намного более опасной.,
да.... страшно. мышка стала пистолетом, и застрелила проц.
а главное, как просто злодею: перепрограммировать прошивку контроллера! Тут месяцами корячишься, а злодей - вжик, и опля.

На мой взгляд, вся бодяга такова:
1) объявлять USB опасной технологией неверно, так можно весь комп в целом и по отдельности обвинить, а видяха ваще конь троянский.
2) найденной "опасности" сто лет в обед.
3) PS/2 тоже небезопасен.
4) Плутон - планета.

> Rouse_ © (20.11.14 19:48) [56]
>
>
> > Германн © (20.11.14 02:41) [53]
> > Честно говоря я пока тоже не понял что за суть в [48].
>
>
> Код по ссылке не понятен?

Ну раз ты так настаиваешь, попробую перечитать статью в [48} ещё раз. После того как разберусь со своими баранами.

Осторожно. Новый вид атак. Найти похожие ветки