Antonio Gabor
Certified Ethical Hacker and Network Security Engineer
Fotografija: CSO
Da li ste se ikada zapitali koliko su zaista sigurne preinstalirane aplikacije? Da li ih i kako napadači mogu zaobići ili isključiti? Kako se zaštititi od istih?
Nedavno sam imao priliku da se poigram sa nekoliko načina zaobilaženja Windows Defender EDR, i definitivno najlakši i najbrži način je korišćenje USB-a koji sadrži čitač mikro SD kartice i programabilni kontroler kako bi emulirao HID uređaj.
Verovatno se pitate šta su to HID (Human Interface Device) uređaji? Prosto rečeno, to su uređaji koji su inherentno poverljivi operativnom sistemu, a u ovom slučaju tastatura. Kada se nova tastatura poveže na računar, sistem bi automatski instalirao neophodne drajvere i tastatura bi magično proradila.
U našem slučaju, napad koji se koristi, zloupotrebljava tu dispoziciju poverenja tako što se prilikom priključenja BadUSB prepoznaje kao HID tastatura, koja potom izvršava skriptu koja je pohranjena na mikro SD kartici.Nepotrebno je reći da ove uređaje ne možemo na očigled razlikovati od običnih USB-ova, te da su lako dostupni i mogu se kupiti za male pare.
Postoji specijalni jezik namenjen ovim uređajima, zvan DUCKY SCRIPT. Neću previše ulaziti u specifikaciju tog standarda, ali svakako možete istražiti sami na linku.
Pomoću njega možemo kreirati željeni ishod i koristeći nekoliko trikova i prečica koje su dostupne na Windows operativnom sistemu, možemo naneti štetu koja se kreće od bezazlene do potpune destrukcije sistema i svih pohranjenih podataka.
Verovatno su vam posebno drage datoteke sa slikama letovanja u Grčkoj? E pa više ih nema i zauvek su izgubljene. Naravno, ovo je samo jedan od primera kako se može zloupotrebiti ovaj USB, a ima ih bezbrojno.
Evo malog primera Ducky skripte:
GUI r
DELAY 50
STRING notepad.exe
ENTER
DELAY 100
STRING Hello World
Skroz bezazleno složićete se…
Prvi korak napada je da se istipka kratica za otvaranje run applikacije: Win+R
Ona nam omogućuje da pokrenemo bilo koju aplikaciju dostupnu našem operativnom sistemu.
Potrebno je zabeležiti precizno koje se komande na tastaturi koriste, da bi se isključila windows defender zaštita kao i delay između svake komande kako bi se one uspešno izvršile, te da bi došli do željenog rezultata.
I naravno ovako to izgleda kada je sve uspešno izvršeno.
Ovo je samo početna tačka kompromitovanja sistema posle prvobitnog pristupa, ali svakako jedna od važnijih u Cyber Kill lancu. Ukoliko je naš primarni mehanizam zastite onemogućen, napadač moze kasnije da instalira razne maligne aplikacije poput mimikatz, prikupi lozinke lokalnog administratora i da dalje nastavi sa širim kompromitovanje računarske mreže i lateralnim pomerajem na druge siteme u Windows Aktivnom Direktoriju, sve do Domejn admina.
Važnost poznavanja ovakvog tipa napada, leži u odbrani koja je krucijalna kako bismo osigurali naše sisteme i zaštitili personalne podatke od eksfiltracije. Tehnika zaobilaženja sigurnosnih sistema prema Mitre Attack matrici T1562 Impair Defenses – koje možemo povezati sa ovom tehnikom, T1562.001 Disable or Modify Tools da budemo precizniji.
Kako sprečiti napadače da uspešno izvrše ovaj napad?
Imamo na raspolaganju par opcija koje bi bile pogodne za isto.
Pristup implementacije sigurnosnih polisa i grupnih polisa je samo jedan od načina kako sprečiti ovaj napad, zajedno sa modifikovanjem Windows Registara ili korištenjem applikacija da se blokiraju USB portovi.
Na linku možete pronaći korisne informacije kako se zaštiti.
Radeći u Centralnoj Banci Irske, slično je bilo primenjeno.
Naravno ovo je ujedno i sprečilo eksfiltraciju osetljivih i poverlivih dokumenata putem prenosivih medija.
Da bi uklonili mogućnost pokretanja prenosivih uređaja pratite sledeće korake:
- Otvorite Start.
- Pretražite “gpedit.msc” i kliknite OK da otvorite Local Group Policy Editor.
- Pronađite sledeći put: Computer Configuration > Administrative Templates > System > Removable Storage Access
- Na desnoj strani dvaput kliknite na politiku Deny all access policy.
- Pristup prenosivim skladištima
- Izaberite opciju “Omogućeno”.
- All removable storage classes deny all access policy
- Kliknite na dugme “Primeni”.
- Kliknite na dugme “U redu”.
- Ponovo pokrenite računar.
Iako sledeće možda nije najbolja opcija, postoje specijalizovani uređaji koji su namenjeni da se prikljuce na otvoreni USB port i zaključaju pomocu male ključaonice. Kensignton je poznati proizvođač uređaja za fizičku sigurnost
I najzad, cyber bezbednosni trening. Trening korisnika korporativnih uređaja je nešto što je od neporcenjivog značaja i poželjno je da ga sve kompanije implementiraju u nekom obliku. Ako uspemo da dočaramo zaposlenima važnost obraćanja pažnje na pojedinosti i realnost ovih napada možemo sprečiti u dobroj meri napade na iste. Dovoljno je da samo jedan USB koji je podmetnut ispred neke kancelarije bude utaknut da se potencijanlo kompromituje cela računarska mreža i informacioni sistemi.
Budite na oprezu i ostanite sigurni!