BadUSB
Что такое BadUSB?
BadUSBКласс атак, при которых перепрошивается прошивка контроллера USB-устройства, чтобы оно представлялось вредоносной клавиатурой, сетевой картой или накопителем.
Атаку BadUSB представили Карстен Нол и SR Labs на Black Hat 2014. Она использует тот факт, что у большинства USB-устройств перепрошиваемая прошивка контроллера, а операционные системы доверяют USB по умолчанию. Атакующий перепрошивает флешку, зарядное устройство или периферию так, чтобы при подключении устройство сообщало дополнительные USB-дескрипторы: HID-клавиатуру, набирающую команды, сетевую карту, перехватывающую DNS, или скрытый раздел с вредоносным ПО. Поскольку вредоносное поведение живет в прошивке, антивирус и форматирование его не удалят. Меры защиты: устройства с подписанной прошивкой, USB-белый список по VID/PID, отключение автозапуска и недоверие к незнакомой периферии.
● Примеры
- 01
Перепрошитая рекламная USB-флешка, раздаваемая на конференции, ведет себя как клавиатура и при подключении тихо запускает PowerShell.
- 02
Троянизированный USB-Ethernet-адаптер незаметно подменяет DNS и перенаправляет корпоративный трафик.
● Частые вопросы
Что такое BadUSB?
Класс атак, при которых перепрошивается прошивка контроллера USB-устройства, чтобы оно представлялось вредоносной клавиатурой, сетевой картой или накопителем. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает BadUSB?
Класс атак, при которых перепрошивается прошивка контроллера USB-устройства, чтобы оно представлялось вредоносной клавиатурой, сетевой картой или накопителем.
Как работает BadUSB?
Атаку BadUSB представили Карстен Нол и SR Labs на Black Hat 2014. Она использует тот факт, что у большинства USB-устройств перепрошиваемая прошивка контроллера, а операционные системы доверяют USB по умолчанию. Атакующий перепрошивает флешку, зарядное устройство или периферию так, чтобы при подключении устройство сообщало дополнительные USB-дескрипторы: HID-клавиатуру, набирающую команды, сетевую карту, перехватывающую DNS, или скрытый раздел с вредоносным ПО. Поскольку вредоносное поведение живет в прошивке, антивирус и форматирование его не удалят. Меры защиты: устройства с подписанной прошивкой, USB-белый список по VID/PID, отключение автозапуска и недоверие к незнакомой периферии.
Как защититься от BadUSB?
Защита от BadUSB обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия BadUSB?
Распространённые альтернативные названия: Перепрошитый USB, Атака на прошивку USB.
● Связанные термины
- attacks№ 1192
USB Rubber Ducky
USB-устройство от Hak5, которое при подключении выдает себя за клавиатуру и вводит заранее запрограммированные нажатия клавиш со скоростью машины.
- attacks№ 395
Атака «злая горничная»
Физическая атака, при которой злоумышленник на короткое время получает доступ к оставленному без присмотра устройству и подменяет прошивку, загрузчик или оборудование, чтобы позже похитить секреты.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.