В чем опасность вставки и просмотра ненадежного USB-накопителя?

132

Предположим, кто-то хочет, чтобы я скопировал некоторые файлы на их флешку. Я использую полностью исправленную Windows 7 x64 с отключенным автозапуском (через групповую политику). Я вставляю USB-накопитель, открываю его в Проводнике Windows и копирую на него некоторые файлы. Я не запускаю и не просматриваю ни один из существующих файлов. Какие плохие вещи могут случиться, если я сделаю это?

Что если я сделаю это в Linux (скажем, в Ubuntu)?

Обратите внимание, что я ищу информацию о конкретных рисках (если есть), а не "было бы безопаснее, если бы вы этого не делали".

EM0
источник
6
Просмотр списка каталогов вряд ли будет рискованным. Открытие вредоносного PDF-файла в старой незащищенной версии Adobe Reader может быть большим риском. В некоторых случаях даже предварительный просмотр изображения или значок файла могут содержать эксплойт.
david25272
12
@ david25272, даже просмотр списка каталогов может быть опасным .
тангеры
5
Это немного похоже на то, чтобы попасть в лифт с незнакомцем, в большинстве случаев у вас все в порядке, но если незнакомец, он же Ганнибал Лектер ...
PatrickT
59
Вы можете сломать свою урановую центрифугу en.wikipedia.org/wiki/Stuxnet
RyanS
1
@tangrs, это отличный пример того, что я искал. Почему бы не опубликовать это как ответ?
EM0

Ответы:

45

Менее впечатляюще, ваш файловый браузер с графическим интерфейсом обычно исследует файлы для создания миниатюр. Любой эксплойт на основе pdf, ttf (вставьте сюда тип файла с поддержкой turing), который работает в вашей системе, потенциально может быть запущен пассивно, если вы уроните файл и подождите, пока он будет проверен средством визуализации миниатюр. Большинство эксплойтов, которые я знаю об этом, предназначены для Windows, но не стоит недооценивать обновления для libjpeg.

sylvainulg
источник
1
Это возможность, так что +1. Проводник Windows (или Nautilus) делает это, даже если вы никогда не просматриваете эскизы?
EM0
1
@EM Может случиться - последние версии проводника могут, например, создавать миниатюры в подпапках для красивых значков папок в корне, даже если эти подпапки не настроены на отображение миниатюр.
Tynam
Или, может быть, не пытаться отображать миниатюры, а скорее какие-то метаданные
Этот бразильский парень
1
Это не относится к файловой системе, смонтированной на USB. Если файловый браузер имеет уязвимость, он может быть вызван файлами, загруженными на ваш компьютер и другими способами, такими как вложения электронной почты или загрузки через браузер.
HRJ
186

Худшее, что может случиться, ограничено только воображением злоумышленника. Если вы собираетесь быть параноиком, физическое подключение практически любого устройства к вашей системе означает, что оно может быть скомпрометировано. Вдвойне, если это устройство выглядит как простая флешка.

Что если это так? введите описание изображения здесь

На картинке выше изображена печально известная резиновая утка USB , маленькое устройство, которое выглядит как обычный перьевой накопитель, но может доставлять произвольные нажатия клавиш на ваш компьютер. По сути, он может делать то, что ему нравится, потому что он регистрирует себя как клавиатуру и затем вводит любую последовательность клавиш по своему усмотрению. При таком доступе он может делать самые разные неприятности (и это только первый хит, который я нашел в Google). Эта вещь написана для сценариев, так что небо это предел.

terdon
источник
11
Хороший, +1! В сценарии, который я имел в виду, USB-накопитель, как известно, является реальным запоминающим устройством, и я доверяю человеку, который дает мне его, чтобы не злонамеренно заразить мой компьютер. (Меня больше всего беспокоит, что они сами могут стать жертвами вируса.) Но это интересная атака, которую я не рассматривал. Я полагаю, что с таким эмулятором клавиатуры я мог бы заметить что-то странное, но могут быть более
хитрые
3
Я одобряю этот ответ. Заставляет ОП думать :)
Стив
31
+1 "Худшее, что может случиться, ограничено только воображением вашего нападающего."
Нович
9
Hak5 - выглядит законно!
david25272
5
Очевидно, протокол USB-подключения очень похож на старый протокол порта PS / 2, поэтому USB обычно используется для мышей и клавиатур. (Конечно, я могу ошибаться - я копаю это из своей собственной памяти, в которой в основном сжатие с потерями)
Pharap
38

Другая опасность состоит в том, что Linux будет пытаться монтировать что-либо (шутка здесь исключена) .

Некоторые драйверы файловой системы не содержат ошибок. Это означает, что хакер потенциально может найти ошибку, скажем, в squashfs, minix, befs, cramfs или udf. Затем этот хакер может создать файловую систему, которая использует эту ошибку, чтобы захватить ядро ​​Linux, и поместить ее на USB-накопитель.

Теоретически это может произойти и с Windows. Ошибка в драйвере FAT или NTFS, CDFS или UDF может открыть Windows для поглощения.

Зан Рысь
источник
+1 Это был бы аккуратный и вполне возможный подвиг
Стив
17
Существует целый уровень ниже. Не только файловые системы имеют ошибки, но и весь USB-стек имеет ошибки , и многие из них работают в ядре.
Поддельное имя
4
И даже прошивка вашего контроллера USB может иметь недостатки, которые могут быть использованы. Был взлом в Windows с USB-флешкой просто на уровне перечисления устройств .
sylvainulg
7
Что касается «linux пытается смонтировать что-либо», это не поведение системы по умолчанию, а связано с тем, что ваш файловый менеджер активно пытается смонтировать. Я уверен, что написанные на страницах man-страницы могут раскрыть, как деактивировать это и вернуться к «монтировать только по требованию».
sylvainulg
5
И Linux, и Windows пытаются все смонтировать. Разница лишь в том, что Linux может действительно преуспеть. Это не слабость системы, а сила.
Тердон
28

Существует несколько пакетов безопасности, которые позволяют мне настроить скрипт автозапуска для Linux или Windows, автоматически запуская мою вредоносную программу, как только вы подключите ее. Лучше не подключать устройства, которым вы не доверяете!

Имейте в виду, что я могу прикрепить вредоносное программное обеспечение практически к любому виду исполняемых файлов и практически к любой ОС. С отключенным автозапуском вы ДОЛЖНЫ быть в безопасности, но СНОВА я не доверяю устройствам, к которым я даже скептически отношусь.

Для примера того, что можно сделать, ознакомьтесь с инструментарием Social-Engineer Toolkit (SET) .

ЕДИНСТВЕННЫЙ способ по-настоящему быть в безопасности - это загрузить живой дистрибутив Linux с отключенным жестким диском. И подключить USB-накопитель и посмотреть. Кроме этого, вы бросаете кости.

Как показано ниже, необходимо отключить сеть. Это не поможет, если ваш жесткий диск в безопасности, и вся ваша сеть будет взломана. :)

Стив
источник
3
Даже если AutoRun отключен, все еще существуют эксплойты, которые используют определенные истины. Конечно, есть более эффективные способы заражения компьютера с Windows. Лучше всего сканировать неизвестные флэш-накопители на оборудовании, предназначенном для этой задачи, которое ежедневно стирается и восстанавливается до известной конфигурации при перезагрузке.
Ramhound
2
В качестве окончательного предложения вы можете также отключить сеть, если экземпляр Live CD действительно заражен, он может заразить другие машины в сети для более устойчивой точки опоры.
Скотт Чемберлен
6
Ramhound, я хотел бы увидеть примеры упомянутых вами подвигов (предположительно уже исправленных!) Не могли бы вы опубликовать некоторые из них в качестве ответа?
EM0
5
@EM, некоторое время назад был эксплойт нулевого дня, который использовал уязвимость в том, как значок отображался в файле ярлыков (файл .lnk). Достаточно просто открыть папку с файлом ярлыка, чтобы активировать код эксплойта. Хакер мог бы легко поместить такой файл в корень USB-накопителя, чтобы при его открытии выполнялся код эксплойта.
тангеры
4
> ЕДИНСТВЕННЫЙ способ по-настоящему быть в безопасности - это загрузить живой дистрибутив Linux с отключенным жестким диском… - Нет, мошенническое программное обеспечение также может заразить прошивку. Они очень плохо защищены в наше время.
Sarge Borsch
23

USB-накопитель на самом деле может быть сильно заряженным конденсатором ... Я не уверен, что современные материнские платы имеют какую-либо защиту от таких неожиданностей, но я бы не стал проверять это на своем ноутбуке. (теоретически может сжечь все устройства)

Обновить:

см. этот ответ: https://security.stackexchange.com/a/102915/28765

и видео с него: YouTube: тестирование USB Killer v2.0.

Сардж Борщ
источник
3
Да, они делают. Почти все они имеют небольшие самовосстанавливающиеся предохранители. Я нашел этот electronics.stackexchange.com/questions/66507/… довольно интересным.
Zan Lynx
Это видео ранит мою душу.
k.stm
6

Некоторые вредоносные программы / вирусы активируются, когда мы открываем папку. Хакер может использовать функцию Windows (или Linux с Wine ), которая начинает открывать значок / эскиз некоторых файлов (например, файлов .exe, .msi или .pif или даже папок со значком вредоносного ПО) при открытии папка. Хакер находит ошибку в программах (например, в программе, создающей миниатюру), чтобы позволить вредоносной программе вступить в действие.

Некоторые неисправные устройства могут убить ваше оборудование , особенно материнскую плату, и чаще всего молча, так что вы можете не знать об этом.

Тотти
источник
5

Видимо, простое USB-устройство может даже поджарить всю материнскую плату:

Российский исследователь безопасности, известный как «Темно-пурпурный», создал флешку с необычной полезной нагрузкой.

Он не устанавливает вредоносное ПО и не использует уязвимость нулевого дня. Вместо этого, настроенный USB-накопитель посылает 220 Вольт (технически минус 220 Вольт) через сигнальные линии интерфейса USB, жаря аппаратные средства.

https://grahamcluley.com/2015/10/usb-killer/

EM0
источник
3

Худшее, что может случиться, - это печально известная инфекция BadBios . Предположительно, это заражает ваш хост-контроллер USB, подключая его к вашему компьютеру независимо от вашей ОС. Существует несколько производителей USB-чипов, поэтому их использование не слишком надумано.

Конечно , не все считают , что BadBios реально, но это самое худшее , что может произойти с вашим компьютером, подключив диск USB.

Ник
источник
2

Это почти то, как вся секретная сеть Министерства обороны США была скомпрометирована. Флешка была оставлена ​​на земле на парковке возле сайта Министерства обороны США. Какой-то гений взял это, взял его внутрь и подключил, современный шпионаж так скучен. Я имею в виду флешку в парковке, верни 007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

screig
источник