Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
„Dziękujemy za bycie lojalnym klientem, w nagrodę dajemy kartę prezentową na $50 oraz pendrive!” Cieszysz się? A nie powinieneś, bo w środku jest malware
„Dziękujemy za bycie lojalnym klientem Best Buy. W nagrodę wysyłamy kartę prezentową na 50$. Te pieniądze możesz wydać na dowolny produkt z listy przesłanej na pendrive” – taką wiadomość w skrzynce pocztowej znaleźli pracownicy pewnej firmy, razem ze wspomnianą kartą prezentową i pendrivem, jak podaje TrustWave.
W rzeczywistości pendrive był urządzeniem działającym podobnie RubberDucky (o którym już na Sekuraku kilka razy pisaliśmy). Po podłączeniu, przedstawiało się ono jako klawiatura USB i w pierwszym kroku próbowało uruchomić zobfuskowany kod PowerShella. Jego zadaniem było pobranie z zewnętrznej domeny kolejnego, dłuższego kodu PowerShella, który z kolei pobierał skrypt JScript, nawiązujący połączenie z serwerem C&C (Command & Control). W trakcie analizy przez TrustWave, do C&C były wysyłane tylko pewne ogólne informacje o systemie operacyjnym i użytkownik, natomiast kod napisany był w taki sposób, że alternatywnie mógł zostać wykonany dowolny inny kod.
Jest to kolejny przykład ataku, który przypomina, by nie podłączać do swojego komputera urządzeń USB pochodzących z niezaufanych źródeł.
— mb
format nośnika nie załatwia spawy? przy wyłączonym autostarcie
Klawiaturę chcesz formatować?
„Po podłączeniu, przedstawiało się ono jako klawiatura USB […]”
Czy format lub zerowanie dobrze wyczyszczą USB? Czy coś może zostać?
To atak sprzętowy. W środku jest ATMEGA32U4 najprawdopodobniej. Microchip może być tak zaprogramowany aby emulował klawiaturę. Wysyła ciąg znaków i zatwierdza enterem. Jedynie przeprogramować takiego pendrive można.
Zalezy czy w srodku jest pamiec usb czy jakis inny uklad emulujacy pamiec, w tekscie mowia ze jako klawiatura usb sie instaluje wiec moze byc roznie
Update firmware powinien załatwić sprawę
A najgłupsza rzecz – trzymać dowolny klawisz na swojej klawiaturze? Powinni skutecznie zablokować możliwość wpisania przez urządzenie poprawnej komendy.
Jasne to sobie odłącz klawiaturę i pisz. Przeczytaj raz jeszcze uważnie. Nawane jest to urządzenie pendrive a w rzeczywistości to system widzi jako klawiaturę.