Чим можуть бути небезпечні незнайомі флешки

Не так давно я писав статтю про те, чому не варто підключати до комп’ютера знайдені на вулиці флеш-накопичувачі. Але тоді я писав переважно про спрямовану проти конкретного користувача вірусну атаку – такі проводять, як правило, на замовлення. Сьогодні ж я хочу розповісти додатково про два типи небезпечних флешок – USB-кілер і Bad USB.

Де можна зустріти такі флешки і навіщо?

Зазвичай обидва типи пристроїв-шкідників використовуються проти конкретного комп’ютера або мережі підприємства, але з невеликими змінами алгоритму дій. USB-кілери випалюють шини USB, а в деяких випадках і самі комп’ютери, Bad USB виступає в ролі ініціатора вірусної атаки. Як я і говорив в одній із попередніх статей – такі флешки розкидають лише з певною метою і далеко не у випадкових місцях. Хоча в деяких випадках (наприклад, Dead Drops) – це може і не бути цілеспрямованим ударом по конкретній персоні або організації. Розглянемо типи флешок окремо.

USB-кілер

Так називаються пристрої, що зовні мають вигляд стандартної USB флеш-карти, але з сильними технічними змінами – замість чіпа пам’яті на ній встановлено схему, що дає змогу акумулювати електричну енергію для створення короткочасного, але потужного імпульсу. Імпульс, залежно від своєї потужності, здатний випалити як USB-порт, так і комп’ютер цілком. Так, у сучасних комп’ютерах є “захист від дурня” і коротке замикання лише призведе до відмови або перезавантаження комп’ютера. Однак USB-кілери працюють із позамежними для порту напругами – часом потужність електричного імпульсу, що подається пристроєм-шкідником, досягає декількох тисяч вольт.

Пристрій може мати дві схеми складання – на основі перетворювача або на основі акумулятора. USB-кілер, побудований на базі перетворювача, як накопичувачі енергії використовуються твердотільні конденсатори. Така схема вважається “одноразовою” (після кожного використання її необхідно “заряджати”) і може генерувати імпульс невеликої потужності, здатний лише на випалювання порту. Крім того, ця схема працює тільки за увімкненого комп’ютера.

Принцип роботи такої схеми – у поверненні електричного сигналу, що надходить по 5V лінії, але багаторазово посиленого. Для цього в схему пристрою включений якийсь аналог розрядника, який спрацьовує в разі переповнення ємності – а оскільки ємність накопичувачів зазвичай заповнюють перед використанням, то розряд відбувається в момент під’єднання “кілера” до комп’ютера.

Друга схема передбачає використання акумуляторної збірки, що живиться через той самий перетворювач, але вже піднімає напругу подачі для прискореної зарядки акумулятора. Такі конструкції використовують у випадках, коли потрібна “міна уповільненої дії”, тобто флешку можна під’єднати, навіть спробувати на неї щось скопіювати (здебільшого там навіть встановлюють мікросхему пам’яті), але в момент повної зарядки акумулятора відбувається різке скидання накопиченої енергії. Як наслідок – вигоряння материнської плати, а то й інших компонентів комп’ютера. У деяких випадках можливе і загоряння приміщення, в якому встановлено комп’ютер – це і зовсім будуть серйозні втрати, зате без слідів для замовника “послуги” – практично всі компоненти таких пристроїв згорають у полум’ї.

Але є і позитивний момент – всіх цих страшних історій про знищення комп’ютерів можна уникнути, шляхом придбання недорогого пристрою – USB-тестера. У товаришів з Піднебесної такий пристрій можна купити всього за кілька сотень рублів, а це значно менше вартості відновлення згорілого комп’ютера. Єдиний недолік такого пристрою – це режим “камікадзе”, адже при підключенні USB-кілера згорить саме тестер. Причому неважливо якого типу буде “убивця”, перетворювального або акумуляторного.

BadUSB

Цей тип флешок вже має якийсь накопичувач, а частіше – виділену ємність, на якій розташовується партиція з готовим скриптом активації вірусу або самим вірусним кодом. Але частіше зустрічається інший варіант, коли зловмисники змінюють прошивку мікроконтролерів на USB-носіях інформації або на пристроях. Таке мімікрування допомагає поширенню вірусного програмного забезпечення, але створює певні труднощі соціально-інженерного характеру – адже жертву потрібно змусити під’єднати пристрій до свого комп’ютера. А для цього найкраще підходять два способи – гра на цікавості або підміна потрібного пристрою на свій. Таким чином, зловмисники частіше використовують улюблений прийом із розкиданням флеш-карт.

Як правило, це носії даних, які потрібні лише для ініціювання вірусної атаки або відключення антивірусного ПЗ для проникнення вірусу в систему або мережу. При цьому основний вірус або вже буде завантажено в комп’ютер, або в комп’ютерну мережу підприємства (якщо атака проводиться під час дій промислового шпигунства).

Є захист і від цього пристрою – грамотно налаштовані політики безпеки, а також антивірусне програмне забезпечення зі свіжими базами по боротьбі з вірусною активністю.

Що таке Dead Drops і чим вони небезпечні?

Ще один спосіб, яким користуються зловмисники для атак на комп’ютери і подальшої крадіжки даних (або зі шкідливості – випалювання комп’ютерів), отримав назву Dead Drops. Це флеш-накопичувачі, вмуровані в стіни, які за початковим задумом є лише проміжними точками в довгому ланцюзі, що має закінчуватися схованкою з чимось цікавим – від якихось платних курсів на кінцевому накопичувачі, до якоїсь цінної речі (від сувеніра до золотого злитка). Витоки цього сягають у роки Холодної війни, коли шпигуни обмінювалися даними за допомогою таємних комірок. До речі, любителі літератури можуть згадати стосунки Марії Троєкурової та Володимира Дубровського – той самий принцип, але Dead Drops передбачає довгий ланцюжок із непередбачуваним маршрутом.

Такі ланцюги небезпечні тим, що на флешках, закладених за задуманим “закладником” маршрутом, може міститися надто багато всього – від нешкідливих координат або любовних листів, до комп’ютерних вірусів або під личиною нешкідливої флешки може ховатися USB-кілер.

Як захиститися?

Рецепт захисту від подібних пристроїв простий – не піднімати незнайомих USB-накопичувачів, а також не під’єднувати до свого комп’ютера жодних сторонніх флешок. У крайньому разі – тільки через USB-тестер або з обов’язковою автоматичною перевіркою підключених носіїв на віруси.

Висновок

Сьогодні ми з вами розглянули три типи основних пристроїв-шкідників, а також єдиний придатний спосіб захисту від загроз, які несуть у собі флеш-накопичувачі, підібрані з вулиці. Ну а прислухатися до моєї поради, чи ні – вирішувати тільки вам.