В ито­ге на «руч­ную» ком­про­мета­цию оставлен­ной без прис­мотра раз­бло­киро­ван­ной пер­сонал­ки пот­ребу­ется все­го три‑четыре секун­ды! Компь­юте­ры сегод­ня пов­сюду, и тор­чащие наружу USB-пор­ты мож­но уви­деть дос­таточ­но час­то.

Объ­ектом ата­ки может стать заб­локиро­ван­ный компь­ютер, оставлен­ный без прис­мотра на корот­кое вре­мя, либо тер­минал, либо стенд с тор­чащим наружу USB-пор­том.

info

Эта статья — часть серии пуб­ликаций о прак­тичес­ких при­емах взло­ма и атак с исполь­зовани­ем под­ручных устрой­ств, которые мож­но соб­рать дома. В этих матери­алах мы рас­кры­ваем прос­тые спо­собы получе­ния несан­кци­они­рован­ного дос­тупа к защищен­ной информа­ции и показы­ваем, как ее огра­дить от подоб­ных атак. Пре­дыду­щая статья серии: «Очень пло­хая флеш­ка. Раз­бира­ем ата­ку BadUSB в деталях».

Теория

Под­клю­чаемое устрой­ство BadUSB-ETH опре­деля­ется как сетевая кар­та Еthernet. На самом деле это не прос­то сетевая кар­та, а устрой­ство, внут­ри которо­го пол­ноцен­ный компь­ютер со сво­ей ОС. И мы реали­зуем дос­таточ­но хит­рую цепоч­ку из мно­жес­тва атак. По сути, это собс­твен­ная, более узко заточен­ная реали­зация Bash Bunny от Hak5. А за осно­ву мы возь­мем откры­тый про­ект PoisonTap.

Пер­вое и самое глав­ное — это то, как мы нас­тра­иваем сеть на ата­куемой машине. В момент под­клю­чения интерфейс имен­но соз­дает­ся, а не под­нима­ется. Это зна­чит, что сра­зу пос­ле под­клю­чения ПК зап­росит нас­трой­ки по DHCP (дефол­тное поведе­ние). В ответ на такой зап­рос наше устрой­ство выда­ет не сов­сем обыч­ную кон­фигура­цию сети, при которой она ста­нет при­ори­тет­ной и перек­роет все активные сетевые под­клю­чения на ата­куемом компь­юте­ре. Дос­тига­ется это через более корот­кие мас­ки мар­шру­тов:

Во всех сов­ремен­ных ОС мар­шру­тиза­ция в IP-сетях стро­ится по еди­ному прин­ципу: чем короче мас­ка сети у мар­шру­та, тем при­ори­тет­нее мар­шрут. Это глав­ное пра­вило мар­шру­тиза­ции. И в нашем слу­чае мас­ка /1 чуть короче мас­ки /0 дефол­тно­го мар­шру­та.

Пос­ле при­мене­ния таких нас­тро­ек нового сетево­го под­клю­чения все пакеты от дру­гих сетевых интерфей­сов пой­дут по новому мар­шру­ту — уже в наше хакер­ское устрой­ство, и мы как бы «вытянем» весь тра­фик. Таким обра­зом, мы смо­жем реаль­но перех­ватывать весь сетевой тра­фик заб­локиро­ван­ного устрой­ства пос­редс­твом обыч­ного USB. Схе­матич­но ата­ка пред­став­лена на рисун­ке ниже.

Не сто­ит забывать, что мы уста­нови­ли и обыч­ный сетевой канал вза­имо­дей­ствия с заб­локиро­ван­ным ПК. Учи­тывая это, на целевой машине может быть запущен целый спектр сетевых атак, который зависит лишь от тво­ей фан­тазии:

• NetBIOS Poisoning (Hash leak);
  


• MS17-010, BlueKeep, PrintNightmare;
  


• Bruteforce;
  


• ска­ниро­вание пор­тов, скрин­шоты RDP/WWW и сбор про­чих све­дений.
  

На­конец, наше устрой­ство явля­ется еще и «супер­шлю­зом», пос­коль­ку сетевой тра­фик, вклю­чая и смеж­ные сетевые интерфей­сы, идет теперь через него. Находясь в позиции «легаль­ного MITM», мы можем запус­тить еще ряд атак, пред­назна­чен­ных для перех­вата тра­фика:

• Cookie Siphoning (выкачи­вание cookie в redirect-цик­ле перебо­ра сай­тов по сло­варю);
  


• WebCache Poisoning (внед­рение js-backdoor в ска­чива­емые jаvascript);
  


• Insecure Updates (сиг­нал популяр­ному ПО обно­вить­ся и отправ­ка backdoor);
  


• Passive Sniffing (FTP, SMTP, SMB, HTTP, etc).
  

Реализация

Ус­трой­ство может быть реали­зова­но на базе мно­жес­тва одноплат­ных решений. Наибо­лее лег­ковес­ное и извес­тное сре­ди них — Raspberry Pi Zero (W). Эта пла­та не пот­ребу­ет допол­нитель­ного питания, необ­ходимое нап­ряжение берет­ся от USB-пор­та компь­юте­ра. С целью инди­кации хода атак для прос­тоты исполь­зуем три све­тоди­ода со сле­дующи­ми ролями:

• зе­леный (INFO) — ПК опре­делил наш девайс как сетевую кар­ту Ethernet, и под­нялась сеть;
  


• жел­тый (WARNING) — утеч­ка NetNTLM-хеша или иной чувс­тви­тель­ной информа­ции;
  


• крас­ный (CRITICAL) — обна­руже­на RCE, подоб­ран пароль и тому подоб­ное.
  

Боль­шинс­тво одноплат­ных ПК снаб­жены GPIO-пинами, с помощью которых мож­но подавать неболь­шое нап­ряжение, необ­ходимое для работы све­тоди­одов.

Со­ответс­твен­но, что­бы зажечь, а потом погасить све­тоди­од, под­клю­чен­ный, нап­ример, к 26-му пину, пот­ребу­ется выпол­нить сле­дующие коман­ды ОС внут­ри пла­ты:

Эму­ляция Ethernet-устрой­ства, как и эму­ляция дру­гих видов USB-девай­сов, под­держи­вает­ся непос­редс­твен­но ядром Linux через так называ­емые USB-гад­жеты. Очень кра­сиво такую ата­ку про­демонс­три­ровал Сами Кам­кар (Sami Kamkar) в про­екте под наз­вани­ем PoisonTap:

Имен­но этот инс­тру­мент взят за осно­ву, осо­бен­но в эму­ляции сетевой кар­ты, но с некото­рыми улуч­шени­ями:

Пос­коль­ку ата­ка кросс‑плат­формен­ная, тре­бует­ся нас­трой­ка эму­ляции сра­зу двух сос­тавных USB-устрой­ств: для сетевых карт RNDIS (Windows) и CDC (Unix). Перек­рытие сетевых интерфей­сов зада­ется в фай­ле dhcpd.conf:

Теги: CSS