Старый 22.08.2010, 11:06   #1
c0n Difesa
 
Аватар для c0n Difesa
 
Регистрация: 27.07.2010
Сообщений: 14
Репутация: 11
Post Оружие инсайдера: ядовитый USB.

Лирическое отступление. Угрозы Inside. Идеи "на поверхности".

В настоящее время бизнес представляет собой «гонку вооружений»: кто быстрее и качественнее может предложить свои услуги, тот занимает ведущие позиции. «Вооружения» в этой области отличаются своей специфичностью, однако предмет «гонки» не меняется – актуальная информация при правильном ее использовании способна как обеспечить своему владельцу светлое будущее, так и поставить крест на его конкурентах.

Способы получения «полезной» информации зависят от ее типа и инфраструктуры, в которой она циркулирует, поэтому трудно проводить классификацию методов ее добычи. Однако существует два принципиально разных метода, которые, так или иначе, занимаются ее сбором и обработкой.

Конкурентная разведка – сбор и обработка информации в условиях «легального» бизнеса. Данные получаются исключительно в результате анализа сообщений из различных СМИ и тому подобных источников, находящихся в рамках закона.

Промышленный шпионаж – незаконное получение и (или) использование закрытой информации в условиях ведения недобросовестной конкуренции.

Оба метода присутствуют во всех сферах и уровнях бизнеса, но в разном проявлении. Я хотел бы заострить внимание на последнем, в силу его противозаконности и особенности используемых техник получения конфиденциальной информации.

Из наиболее распространенных практик промышленного шпионажа можно привести несколько примеров:
  • шантаж лица или круга лиц, имеющих доступ к определенной информации;
  • подкуп того же круга лиц;
  • кража носителей информации;
  • инсайдинг.
Последний пункт, содержащий модное в настоящее время английское слово, скрывает целый класс преступлений, которые могут быть осуществлены как умышленно (с использованием специально внедренных и подготовленных агентов), так и неумышленно (преступления, совершенные сотрудниками целевой организации по причине своей некомпетентности и т.п.).

Инсайдинг - гражданская активность, связанная с утечкой информации и, как следствие, с нарушением закона.

Наиболее опасными, с точки зрения защиты информации, являются именно специально внедренные инсайдеры, обладающие техническими знаниями и средствами для сбора конфиденциальной информации. Однако, как показывают ежегодные исследования аналитического центра компании Perimetrix, и те и другие нарушители внутренней информационной безопасности получают приблизительно одинаковые по степени тяжести наказания, которые зависят лишь от стоимости потерянной информации: от строгого выговора до увольнения из компании. Редко дело доходит до суда. Возможно, этот факт является следствием того, что многие компании не хотят портить себе репутацию в глазах потенциальных клиентов, но тем не менее, нарушители не получают должного наказания, что ведет к «иллюзорной» безнаказанности инсайдинга (как средства конкуренции) и его распространению в бизнесе.

Инфраструктура, в которой циркулирует информация, также несовершенна к ее утечкам. Если в серьезных организациях техническим аспектам и стали уделять больше внимания, то организационное и кадровое обеспечение ИБ содержит потенциальные бреши практически в любой отдельно взятой организации. Внутренние уставы компаний, прежде всего, рассчитаны на «удобство работы», нежели на защиту информации. Конечно эти рассуждения весьма относительны, но позволяют сделать умозаключение – правильная организация внутрекорпоративных кодексов и уставов зачастую является одним из ключевых этапов обеспечения информационной безопасности наряду с отключением портов ввода-вывода на критичном аппаратном обеспечении .

Искажение «критической» информации зачастую более опасно, чем ее кража или потеря. Во-первых, факт изменения данных может откатить уровень развития компании, переопределив направления движения ее бизнеса в целом, и, во-вторых, искажение – трудно отслеживаемая процедура, которую можно избежать лишь логированием всех действий пользователя с «критическими» данными и архивированием всех документов.

Даже эти несколько вышеперечисленных фактов позволяют сделать вывод: только комплексный подход к обеспечению информационной безопасности позволяет пресечь попытки кражи информации санкционированными пользователями.


Оружие инсайдера: ядовитый USB.

Инсайд – пожалуй, самое ущербное явление в корпоративной среде. Как в прямом, так и переносном смысле. Грамотно продуманная техническая сторона защиты периметра корпоративной инфраструктуры еще не гарантирует полной безопасности циркулирующей в ней информации. В данном случае работает всем известный принцип: защищенность системы в целом определяется степенью защищенности ее самого слабого звена. Самым слабым звеном по-прежнему остается человеческий фактор. Персонал, через который проходит определенный объем информации, может ее «выносить» за пределы защитного периметра.

Человек, сам того не осознавая, может оказаться инсайдером. Например, в результате социального инженеринга или по-русски говоря: развода.

Нам такие личности не интересны, благо с ними в большинстве случаев справляется внутренний устав компании, регламентирующий порядок работы с информацией каждого служащего. Гораздо опаснее инсайдеры, специально подготовленные и имеющие определенную цель.

Что и говорить про обычных пользователей, которые каждый день рискуют попасть (и попадают) под колпак троянов. Причем тут инсайд? При том, что каждый может использовать оружие «засланного казачка» в своих целях, а в пользовательской среде сделать это гораздо эффективнее, нежели в корпоративной.

Для начала, рекомендую ознакомиться со статьей Андрея Комарова «Глазами инсайдера», в которой автор классифицирует основные технические инструменты промышленных «шпионов» и рассматривает условия, при которых можно благополучно «слить» нужную информацию.

Политика разрешения на подключение USB-устройств может сыграть на руку злоумышленнику. Если даже во многих организациях не задумываются над этими вопросами, то что твориться у обычных пользователей… Любой flash-накопитель, плеер и т.п. usb-девайс, имея в наличии специальное ПО, может собрать необходимую информацию с целевого ПК так, что у администратора не появится подозрений.

Созданием такого программного обеспечения для usb-девайсов мы и займемся. Естественно в интересах эксперимента. Неадекваты, воспринимающие материал как руководство к действию, идут косить изюм.


Определяем характеристики оружия.

Любой usb-flash накопитель имеет контроллер – микросхему, которая выполняет роль шлюза между микросхемой памяти и интерфейсом USB компьютера.

Определить тип контроллера, не разламывая корпус флешки, поможет утилита ChipGenius (http://flashboot.ru/index.php?name=Files&op=view_file&lid=131).

Из списка USB-контроллеров выбираем нашу флешку и в области «The details of selected device:» смотрим подробную информацию. Нам необходимо поле «Chip Vendor», которое содержит название производителя микросхемы; поле «Chip Part-Number» показывает версию прошивки. Этой информации достаточно для перепрошивки девайса.

В моем случае (Kingston DataTraveler 4GB):

Chip Vendor: phison
Chip Part-Number: UP8~UP10.




Модернизируем спусковой механизм.

Некоторое время назад на прилавках магазинов можно было наблюдать USB-flash память, поддерживающую технологию U3. Ничего принципиально нового такие флешки не содержали, за исключением специального ПО, которое позволяло запускать программное обеспечение, содержащееся в памяти накопителя в режиме автозагрузки.

Главная особенность - специальный раздел (по типу CD-ROM), который был доступен только для чтения и который, собственно, содержал портируемые (portable) версии программ.

В настоящее время эти девайсы на прилавках отсутствуют, т. к. содержали специфичную «багу», которая позволяла перезаписать автозагружаемую область и запускать любое ПО или .bat-файл. В ряде случаев это может привести к плачевным последствиям и поставить крест на конфиденциальной информации.

Условие текущей задачи: на входе – обычная usb-flash; на выходе – usb-flash с поддержкой U3.

Идем на сайт flashboot.ru и находим нужный пак для нашего контроллера. Производитель: Phison. А вот с версией пришлось поэкспериментировать, потому что прошивка содержит свои особенности для уникального девайса.

Требуется создание на флешке специального CD-ROM раздела, чтобы она стала поддерживать U3 или (по научному) работать в 21 режиме (Mode 21).

Запускаем находящуюся в паке перепрошивки утилиту ParamEdt-F1-v1.0.20.2.exe и сразу открываем вкладку «F1-1» и устанавливаем все, как на скриншоте:


Напомню, что нам нужен Mode 21.

Переходим к вкладке «F1-2» и в поле CD-ROM выбираем образ CD, который будет автозагрузочным. Это может быть любая LiveCD или PE-версия Windows. Однако отметьте для себя, что в будущем мы будем использовать специально подготовленный .iso-образ, созданием которого займемся в следующем разделе. Далее переходим к вкладке «Controller», где в области IC Type (Тип контроллера) выбираем пункт Previous vision (Возможно старый), а в области Used MP Tools выбираем пункт Last Version. Сохраняем все настройки в файл boot.ini, нажав на кнопку «Save As».

Запускаем F1_90_v196_00.exe и выбираем созданный boot.ini. Нажимаем «Start» и наблюдаем за процессом тестирования и записи образа. Процесс закончится, когда окно будет окрашено в зеленый цвет (светодиод накопителя при этом будет мерцать).


В результате всех манипуляций мы получаем флешку с двумя разделами: CD-ROM и накопитель стандартного типа.


Заряжаем.

Дальнейший материал основан на статье и разработках Вадима Даньшина (yurik_yurok@mail.ru), которые он привел в июньском (126) номере ][ («Троян в мозгах Flash»).

Вкратце скажу, что от Kingston выпущен патч для U3-флешек, который представляет собой незащищенный RAR-архив, что позволяет изменять его содержимое по своему желанию. Именно это и сделал Вадим Даньшин, модифицировав файл автозапуска защищенного диска таким образом, что он направлял выполнение кода сначала на специальный обработчик, а уже затем на файлы LaunchU3-обработчика.

Результатом его исследований стала подборка файлов, которая должна присутствовать на защищенном разделе флешки. Скачать архив, содержащий эти файлы можно здесь: www.defec.ru/sites/default/files/System.rar.

Прежде, чем записать эти файлы (используя методы, описанные в предыдущем разделе) в защищенную часть, перекинем их в .iso –образ. Как это сделать, я думаю, рассказывать не имеет смысла.

Перейдем к содержимому рабочей части – именно ей (а точнее скриптам) передается управление с защищенного хранилища. Основу рабочей области можно найти в архиве.

Я немного облегчил систему, убрав ненужный функционал (например, воспроизведение музыки) и удалив не имеющие отношение к системе файлы. Содержимое рабочей части каждый может «заточить» под свои нужды (естественно, не забываем про копирайты), благо в данном случае не придется при любом изменении перепрошивать девайс.


Выстрел!

Нет сомнений, что эта система работает и делает то, что, собственно, и требовалось доказать. Кому-то она покажется новым видом троянской лошади, а для кого-то станет рабочей лошадкой.

Важно другое: пока администраторы не оставят свою наивность - данные как сливали, так и будут сливать. А этот концепт – всего лишь доказательство данной теоремы.

Исходные коды рассмотренной системы

(c) c0n Difesa (defec.ru)
__________________
Мой блог: defec.ru
c0n Difesa вне форума   Ответить с цитированием
Старый 22.08.2010, 13:50   #2
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

Отличная статейка, это уже что то новое.
Правда если спалят это дело, то живым ты из оффиса не уйдешь =))
Nightmare вне форума   Ответить с цитированием
Старый 22.08.2010, 15:52   #3
tipsy
 
Аватар для tipsy
 
Регистрация: 11.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Любопытная статья, но в жизни для исполнения произвольного кода внутри выбранной организации достаточно купить пару болванок, написать маркером "Важно!" или "порно", и забросить на территорию.
Не обязательно быть инсайдером, не обязательно даже заходить в помещение. Можно просто оставить в папке в курилке, в туалете, в коридоре на полу, или прислать по почте на имя несуществующего сотрудника.

Если что-то и втыкать в USB, то я бы лучше воткнул автозагрузочный flash + wifi в одном устройстве - не везде есть доступ к инету из корпоративной сети.
tipsy вне форума   Ответить с цитированием
Старый 22.08.2010, 21:16   #4
c0n Difesa
 
Аватар для c0n Difesa
 
Регистрация: 27.07.2010
Сообщений: 14
Репутация: 11
По умолчанию

Цитата:
Сообщение от Nightmare
Отличная статейка, это уже что то новое.
Скорее всего - хорошо забытое старое. Неудачную реализацию стандарта форматирования флешек U3 продвигают еще с далекого 2004 года. Если мне не изменяет память, последние экземпляры ушли с конвейера в 2007 году, но сама идея использования флешек нестандартным образом сохранилась и мутировала в разные формы: кто-то по-прежнему использует usb-носители для запуска portable-версий нужных программ, а кто-то с целью запуска вредоносного ПО .

Цитата:
Правда если спалят это дело, то живым ты из оффиса не уйдешь =))
В России в среднестатистической организации (опять же, по исследованиям Perimetrix: http://www.securitylab.ru/analytics/368176.php) инсайдер, в большинстве случаев, отделывается увольнением и/или легким испугом:


Цитата:
Сообщение от tipsy
Любопытная статья, но в жизни для исполнения произвольного кода внутри выбранной организации достаточно купить пару болванок, написать маркером "Важно!" или "порно", и забросить на территорию.
Не обязательно быть инсайдером, не обязательно даже заходить в помещение. Можно просто оставить в папке в курилке, в туалете, в коридоре на полу, или прислать по почте на имя несуществующего сотрудника.

Если что-то и втыкать в USB, то я бы лучше воткнул автозагрузочный flash + wifi в одном устройстве - не везде есть доступ к инету из корпоративной сети.
Согласен.

Оставить флешку в курилке – это уже отдельный метод, который можно отнести к пассивному проникновению в инфраструктуру (жертва сама инициализирует вектор атаки), в то время, как этот описанный метод является активным – инсайдер все делаем самостоятельно.
__________________
Мой блог: defec.ru
c0n Difesa вне форума   Ответить с цитированием
Старый 22.08.2010, 21:27   #5
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Это уже не очень актуально в силу запрета на авторан почти повсеместно в крупных организациях, сейчас актуальней как мне кажется вот это: http://www.irongeek.com/i.php?page=security/programmable-hid-usb-keystroke-dongle
SynQ вне форума   Ответить с цитированием
Старый 24.08.2010, 11:38   #6
c0n Difesa
 
Аватар для c0n Difesa
 
Регистрация: 27.07.2010
Сообщений: 14
Репутация: 11
По умолчанию

Цитата:
Сообщение от SynQ
Это уже не очень актуально в силу запрета на авторан почти повсеместно в крупных организациях, сейчас актуальней как мне кажется вот это: http://www.irongeek.com/i.php?page=security/programmable-hid-usb-keystroke-dongle
Если смотреть реальности в глаза, в крупных организациях и организациях, следящих за безопасностью своей деятельности, в общем случае стоит запрет на подключение внешних носителей (USB в первую очередь). Про автозагрузку при этом часто забывают или забивают. Зачастую, по-прежнему остается возможность подключения устройств через другие порты (LPT, COM) и интерфейсы (SATA, IDE). При наличии такой возможности, данный метод имеет право на существование.

Я бы сказал, что приведенный в статье способ сбора информации относится к разряду «классических», так как в настоящее время существует множество других вариантов получения вектора атаки, например, технологии беспроводной передачи данных.
__________________
Мой блог: defec.ru
c0n Difesa вне форума   Ответить с цитированием
Ответ

Метки
flash, insider, шпионаж, usb

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot