بد یو اس بی (Bad USB) چیست ؟ راه های مقابله با آن

بد یو اس بی چیست ؟

بد یو اس بی (Bad USB) چیست ؟ راه های مقابله با آن

 

با یکی دیگر از مقالات تیم بلک سکوریتی خدمت شما کاربران محترم هستیم.
در این پست و مقاله قصد داریم درمورد مبحث بد یو اس بی چیست ؟ راه های مقابله با آن بپردازیم.

 

بد یو اس بی (Bad USB) چیست ؟

Bad USB یک آسیب پذیری امنیتی است که به مهاجم اجازه می دهد یک دستگاه USB را دوباره برنامه ریزی یا بهتر بگیم reprogram کند
و آن را به ابزاری برای دستکاری کامپیوتر قربانی تبدیل کند. حملات Bad USB خطرناک هستند زیرا آنتی ویروس معمولاً نمی توانند به سیستم عامل دستگاه های USB دسترسی داشته باشند و از رایانه محافظت کنند. Bad USB یکی از دلایل اصلی نیاز سازمان ها به پیاده سازی USB blocker است.

 

بد یو اس بی چیست ؟

 

  • اگر بخواهیم به زبان دیگری Bad USB را تعریف کنیم باید بگیم که بد یو اس بی خود را به عنوان یک human interface device پنهان می کند
    و به طور مخفیانه دستورات مخرب را اجرا می کند یا بهتر ه بگیم  payloads  های ویروس را روی کامپیوتر قربانی  باز یا اجرا می کند. این کار با بهره‌برداری از یک نقص مهم که عمیقاً در USB firmware قرار دارد رخ میدهد که به راحتی قابل اصلاح یا درست شدن نیست.

 

 نیم نگاهی به Bad USB

اگر کمی تفکر کنیم متوجه می شویم که به جای اینکه یک هکر برای باز کردن خط فرمان، تایپ کردن دستورات متعدد و باز کردن reverse shell وقت بگذارد خیلی راحت می توانند به سادگی یک بد یو اس بی را وصل کنند تا تمام کارهای دستی را تنها در چند ثانیه انجام دهد.

  • چیزی که Bad USB ها را خطرناک تر می کند این واقعیت است که پیکربندی آنها بسیار آسان است.
    به عنوان مثال، penetration testing products  مانند Hak5’s Rubber Ducky از “Ducky Script” استفاده می کند که این باعث میشود
    حتی شخصی که تجربه برنامه نویسی ندارد بتواند از آن استفاده کند. همینطور محصولاتی مانند MalDuino به طور مشابه عمل می کنند اما از پلتفرم  open source مبتنی بر آردوینو  ( Arduino-based ) برای حمله به endpoints استفاده می کنند. MalDuino Bad USB حتی می‌تواند با یک رایانه کوچک داخلی با حافظه microSD قابل راه اندازی باشد که این به مهاجم اجازه می دهد تا برنامه ها و execute complete را از دستگاه راه اندازی و اجرا کند.

شاید براتون جالب باشه که بد یو اس بی ها حتی می توانند در داخل کابل های USB با ظاهر بی ضرر (innocuous-looking USB cables) پنهان شوند. این کابل ها می توانند انتقال داده و شارژ را در حین اجرای یک اسکریپت مخرب اسان کنند. متأسفانه، در یک اتاق سرور یا محیط دسکتاپ  شلوغ افراد ممکنه کم دقتی کنند و کابل USB یدکی (spare USB cable) توجه نکنند که منجر به فاجعه میشه

  • اما خوب بیایم الان راجب یکی از جدیدترین نسخه های بد یو اس بی یعنی کابل OMG یا کیت Offensive MG صحبت کنیم.
    این کابل شبیه یک کابل استاندارد Wi-Fi است اما حاوی یک میکروکنترلر مخفی Wi-Fi است که می تواند payload ها را به صورت بی سیم از طریق دستگاه ارسال کند. این دقیقاً مانند Bad USB است، اما یک هکر می تواند از راه دور آن را کنترل کند.

 

Bad USB ها چگونه کار می کنند ؟

Bad USB ها از اعتماد رایانه ها (trust computers) به human interface devices (HIDs) استفاده می کنند. به عنوان مثال :
هنگامی که  کیبورد خود را وصل می کنید، رایانه به طور خودکار به دستگاه به عنوان یک قطعه سخت افزار ورودی اعتماد می کند. متأسفانه، Bad USB ها یک HID را تقلید می کنند، بنابراین رایانه فریب می خورد و فکر می کند USB یک انسان پشت کامپیوتر است. یعنی در حقیقت فکر میکند یک وسیله مانند کیبورد بهش متصل شده و به آن اعتماد میکند.

 – اگر بخواهید همان دستورات را روی BadUSB از طریق یک فایل اجرایی یا اسکریپت اجرا کنید، به  احتمالاً خیلی زیاد تلاش ما  با شکست مواجه خواهد شد.

Bad USB ها به سخت افزار خاصی نیاز ندارند و می توانند آنها را در خانه بسازید یا از وب سایت های متعدد خریداری کنید. هر USB مدرنی که از  overwriting پشتیبانی می کند و با microcontroller همراه است، می تواند به Bad USB تبدیل شود. اسکریپت‌های مورد استفاده در Bad USB ساده و شبیه به پیکربندی یک فایل دسته‌ای هستند، اما می‌توان آن‌ها را برای پشتیبانی از زبان‌های پیشرفته‌تر مانند جاوا اسکریپت یا C# گسترش داد.

 

قابلیت های Bad USB چی هستند ؟

به طور کلی هر چیزی را که می توانید آن را روی keyboard تایپ کنید، می توانید آن را روی Bad USB پیاده سازی یا اجرا کنید. Functions های مانند “wait “، ” pause ” و دستورات میانبر صفحه کلید (keyboard shortcut commands) همگی می توانند از طریق اسکریپت اجرا شوند. در بسیاری از موارد، مهاجمان فقط باید یک command prompt را باز کنند یا یک بار را اجرا کنند تا به طور کامل یک ماشین را در معرض خطر قرار دهند.

  • در زیر نمونه‌ای از یک دفترچه یادداشت BadUSB را مشاهده می‌کنید که «Hello World» را تایپ می‌کند. این در Ducky Script و برخی از straightforward syntax انجام می شود.

 


GUI r

DELAY 50

STRING notepad.exe

ENTER

DELAY 100

STRING Hello World

ALT f

STRING s

REM alt-f pulls up the File menu, and s saves.

 

این انعطاف‌ پذیری و سهولت استفاده حتی به  افراد اماتور هم نیز اجازه می‌دهد تا یک حمله ویرانگر را در چند ثانیه انجام دهند. همانطور که می توانید تصور کنید، کارهای زیادی می توانید با BadUSB انجام دهید.

 

چگونه از حملات Bad USB جلوگیری کنیم ؟

از آنجایی که بد یو اس بی ها خود را به عنوان keyboards پنهان می کنند تشخیص آنها تقریبا امکان پذیر است.
چند برنامه مانند DuckHunter می توانند single endpoints را برای این نوع حملات نظارت کنند. با این حال شرکت ها سازمان های بزرگ می‌خواهند رویکردی سازمان‌ یافته‌ تر برای ایمن کردن پورت‌های USB و اجرای سیاست‌های حفاظتی (implementing protection policies) داشته باشند. بنابراین بیایید نگاهی به چند راه بیندازیم که می‌توانید از آلوده شدن شبکه‌تان توسط BadUSB‌ ها جلوگیری کنید.

 

بد یو اس بی چیست ؟

 

قفل کردن دسترسی محلی : (Lockdown local access)

حملات BadUSB را می توان با اجرای local solid security policies کاهش داد
و گاهی اوقات از آن جلوگیری کرد. این policies  ‌ها را می‌توان از طریق Group Policy یا logon script  یا حتی manual registry تنظیم کرد.

 

آموزش :

با تایپ کردن “regedit” در start menu ، به Registry Editor خود دسترسی پیدا کنید.

به مسیر زیر بروید :


"Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"

و “ConsentPomptBehaviorAdmin” را پیدا کنید.

روی Modify کلیک کنید و Value Data را به 1 تغییر دهید. OK را کلیک کنید.

از طرف دیگر، می توانید از طریق group policy از دسترسی به Command Prompt با هم جلوگیری کنید. این به شما امکان می‌دهد user groups خاصی را برای این تغییر بگنجانید یا حذف کنید. اگر از اسکریپت های use logon  یا remote desktop services در آن endpoint استفاده می کنید، از مرحله چهار رد شوید.

  1. Group Policy Editor را از محیط ویندوز سرور خود راه اندازی کنید.
  2. به مسیر “User Configuration > Administrative Templates > System.”بروید.
  3. “Prevent access to the command prompt” را پیدا کرده و آن را فعال کنید.
  4. « Disable the command prompt script processing» را پیدا کرده و Yes را انتخاب کنید.
  5. روی Apply کلیک کنید.

استفاده از این دستورات باعث  اطمینان از اینکه کاربران از دسترسی های غیرضروری در دستگاه خود برخوردار نیستند میشود و در نتیجه موجب مسدود سازی حملات Bad USB میشود.

در ادامه بحث جلوگیری از حملات Bad USB باید بگیم روش های دیگری هم وجود دارد برای بحث مسدود سازی که عبارت از :

 

Block access to USB ports –

  Use behavior monitoring tools –

    Use enterprise device control –

 

حمله مرد میانی چیست ؟ توضیحاتی در مورد Man in the Middle

پست های مرتبط

مطالعه این پست ها رو از دست ندین!
Soc چیست ؟

Security Operations Center یا SOC چیست ؟

آنچه در این پست میخوانید بررسی Security Operations Center یا SOC چیست ؟Security Operations Center چیست ؟ یا همان SOC…

بیشتر بخوانید
stream ciphers و block ciphers

Stream Ciphers و Block Ciphers چیست ؟

آنچه در این پست میخوانید Stream Ciphers و Block Ciphers چیست ؟Ciphers را توضیح دهید ؟Symmetric ciphersAsymmetric cipherدر ادامه..Block Cipher…

بیشتر بخوانید
LLMNR-NBT-NS Poisoning چیست ؟

حمله LLMNR/NBT-NS Poisoning چیست ؟

آنچه در این پست میخوانید LLMNR/NBT-NS Poisoning attack چیست ؟LLMNR/NBT-NS Poisoning attack چیست ؟در ادامه..و همینطوراگر LLMNR و NBT-NS فعال…

بیشتر بخوانید

نظرات

سوالات و نظراتتون رو با ما به اشتراک بذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *