Marcus1337
VIP Members
-
01/04/2021
-
62
-
76 bài viết
Khám phá BadUSB - Kỹ thuật tấn công mới và cách bảo vệ chính mình
BadUSB là gì? Tại sao nó là một rủi ro cho hệ thống an ninh mạng của chúng ta? Trong bài viết này, chúng ta sẽ tìm hiểu về khái niệm BadUSB và các biện pháp để bảo vệ hệ thống máy tính của chúng ta khỏi những tấn công này.
Trong trường hợp người dùng để quên máy tính của họ tại một nơi công cộng như quán cà phê hoặc công ty, bạn có thể thử những phương pháp sau để tiếp cận tấn công vật lý máy tính của họ:
Thiết bị BadUSB có thể thay đổi cài đặt hệ thống, tạo backdoor, truy xuất dữ liệu, cài đặt mã độc hoặc thực hiện bất kỳ điều gì có thể đạt được bằng quyền truy cập vật lý. Tức là với BadUSB có thể làm bất kỳ hành động nào có thể thực hiện từ bàn phím hoàn toàn tự động với thời gian rất ngắn.
Ngày nay, có thể tìm thấy các thiết bị BadUSB được trang bị nhiều tính năng nâng cao hơn như khe cắm thẻ SD, các thiết bị nhúng như adruno với thiết kế tinh xảo khiến chúng trông giống như những chiếc USB thông thường. Những thiết bị này đã là chủ đề của nhiều hội nghị và hội thảo trong những năm qua. Một trong các sự kiện đó là hội nghị Black hat được tổ chức vào năm 2014, nơi các nhà nghiên cứu Karsten Nohl và Jakob Lell đã trình bày chi tiết về bảo mật BadUSB.
Bằng cách mô phỏng bàn phím, các thiết bị BadUSB có thể dễ dàng thực hiện một loạt các chức năng bắt chước các tương tác thực tế của người dùng trên hệ thống. Bất kỳ thiết bị USB nào có bộ điều khiển vi mô cho phép ghi đè đều có thể dễ dàng biến thành BadUSB. Các thiết bị BadUSB sử dụng các ngôn ngữ kịch bản để cho chúng biết phải làm gì sau khi cắm vào hệ thống đích. Trong khi hầu hết các thiết bị này sử dụng tập lệnh khá đơn giản, một số BadUSB thậm chí còn tương thích với các chương trình phức tạp hơn như JavaScript.
Thiết bị USB này sử dụng một ngôn ngữ tập lệnh đặc biệt có tên là Ducky Script, có thể dễ dàng viết mà không cần hoặc có ít kinh nghiệm lập trình. Ducky Script sử dụng các lệnh chuỗi đơn giản để cho USB Rubber Ducky biết cần nhập gì. Một ví dụ đơn giản về Ducky Script có thể được tìm thấy bên dưới.
Ví dụ đây là một đoạn mã để thêm mới 1 user có quyền admin trên máy tính nạn nhân
Các thiết bị MalDuino thường thấy ngày nay hỗ trợ thẻ Micro SD và cũng có một bộ công tắc nhúng để giúp người dùng chuyển đổi giữa các chương trình được lưu trữ trong thẻ Micro SD.
BadUSB hỗ trợ WiFi có thể ở các dạng khác nhau tùy thuộc vào mục đích và chức năng chính xác mà chúng phục vụ. Các bước lặp phổ biến của thiết bị này được sử dụng ngày nay như sau.
Còn được biết đến với những cái tên như USB Ninja và USB Harpoon, những loại cáp có vẻ ngoài chung chung này ẩn BadUSB trong mạch bên trong và dễ lừa đảo hơn bất kỳ biến thể nào khác được tìm thấy hiện nay. Cáp BadUSB có thể hỗ trợ các chức năng như sạc và truyền dữ liệu trong khi tất cả các hoạt động độc hại diễn ra trong nền.
Một số cách để phòng chóng BadUSB:
Nhược điểm của việc sử dụng phương pháp phòng ngừa này là các chương trình này mất vài mili giây để phát hiện một cuộc tấn công. Tùy thuộc vào độ dài của mã khai thác có thể mã khai thác đã được thực thi trước khi bị chương trình chặn. Hoặc đối với các BadUSB được thiết kế đặc biệt giả lập cả tốc độ gõ của con người thì các chương trình này sẽ không phát hiện và ngăn chặn được.
Trong trường hợp người dùng để quên máy tính của họ tại một nơi công cộng như quán cà phê hoặc công ty, bạn có thể thử những phương pháp sau để tiếp cận tấn công vật lý máy tính của họ:
- Sử dụng tính năng AutoRun của USB trên Windows để cắm USB và chạy mã độc. Tuy nhiên, phương pháp này chỉ áp dụng cho các máy tính Windows bật AutoRun và cho phép cắm USB.
- Copy file và tải file về từ Internet bằng tay để chạy trên máy tính nạn nhân.
Badusb là gì?
BadUSB là 1 thiết bị phần cứng được lập trình lại firmware giả lập hoạt động một thiết bị ngoại vi dành cho con người (human interface) như bàn phím, chuột hoặc tai nghe. Nói cách khác BadUSB là bàn phím ảo có thể được lập trình trước để gõ các ký tự trên máy tính mà không cần con người thao tác gõ.Thiết bị BadUSB có thể thay đổi cài đặt hệ thống, tạo backdoor, truy xuất dữ liệu, cài đặt mã độc hoặc thực hiện bất kỳ điều gì có thể đạt được bằng quyền truy cập vật lý. Tức là với BadUSB có thể làm bất kỳ hành động nào có thể thực hiện từ bàn phím hoàn toàn tự động với thời gian rất ngắn.
Lịch sử của BadUSB
BadUSB là một lỗ hổng được phát hiện vào năm 2006, cho phép máy tính tự động chạy các chương trình được lưu trữ trong CDROM khi chúng được đưa vào. Lỗ hổng này đã mở đường cho một trong những phiên bản trước đó của BadUSB, được gọi là USB Switchblade. Switchblade có thể xuất hiện trên máy tính như thể nó là một đĩa CDROM, có nghĩa là bất kỳ chương trình nào được lưu trữ bên trong thiết bị sẽ tự động chạy và thực thi các mã khai thác.BadUSB hoạt động như thế nào?
Các thiết bị BadUSB hoạt động dựa trên tiền đề rằng các máy tính vốn đã tin tưởng các thiết bị ngoại vi như bàn phím là đầu vào hợp lệ và an toàn. Theo mặc định các chương trình bảo vệ máy tính không tin tưởng các tệp thực thi đã tải xuống, các tệp này đều được chạy chương trình rà quét để xác thực nguồn và ý định của file đó trước khi lưu trữ trên hệ thống. Nếu một tệp thực thi bắt nguồn từ một nhà phát triển không xác định hoặc hiển thị mục đích xấu, rất có thể máy tính sẽ ngăn không cho nó chạy. Tuy nhiên, nếu một người dùng chuẩn mở Command Prompt và nhập một lệnh, máy tính của họ sẽ làm sẽ bỏ qua các cơ chế bảo vệ này.Bằng cách mô phỏng bàn phím, các thiết bị BadUSB có thể dễ dàng thực hiện một loạt các chức năng bắt chước các tương tác thực tế của người dùng trên hệ thống. Bất kỳ thiết bị USB nào có bộ điều khiển vi mô cho phép ghi đè đều có thể dễ dàng biến thành BadUSB. Các thiết bị BadUSB sử dụng các ngôn ngữ kịch bản để cho chúng biết phải làm gì sau khi cắm vào hệ thống đích. Trong khi hầu hết các thiết bị này sử dụng tập lệnh khá đơn giản, một số BadUSB thậm chí còn tương thích với các chương trình phức tạp hơn như JavaScript.
Một số loại BadUSB
USB Rubber Ducky
Công cụ được giới thiệu vào năm 2011 bởi Hak5, một nhà cung cấp độc lập chuyên về bộ công cụ dành cho người kiểm tra thâm nhập. Mặc dù có nhiều thiết bị khác tương tự được phát triển và thương mại trên thị trường nhưng thiết bị này vẫn là BadUSB phổ biến nhất được tìm thấy hiện nay.
Ví dụ đây là một đoạn mã để thêm mới 1 user có quyền admin trên máy tính nạn nhân
MalDuino
MalDuino là một BadUSB dựa trên Arduino mã nguồn mở, đưa các mã khai thác độc hại vào máy tính mục tiêu. Thu hút được sự chú ý rộng rãi trong thời gian gần đây, MalDuino tích hợp nhiều tính năng hơn so với các thiết bị BadUSB thông thường nhờ có máy tính tích hợp.Các thiết bị MalDuino thường thấy ngày nay hỗ trợ thẻ Micro SD và cũng có một bộ công tắc nhúng để giúp người dùng chuyển đổi giữa các chương trình được lưu trữ trong thẻ Micro SD.
WiFi-enabled BadUSB
Loại BadUSB này tương tự như MalDuino ở chỗ một bo mạch Arduino đóng vai trò là đế cho thiết bị nhưng được thiết kế đặc biệt để có khả năng WiFi. Sau khi cắm vào hệ thống mục tiêu, các thiết bị này cho phép kẻ tấn công đưa các mã khai thác độc hại vào máy tính của nạn nhân bằng giao thức WiFi.BadUSB hỗ trợ WiFi có thể ở các dạng khác nhau tùy thuộc vào mục đích và chức năng chính xác mà chúng phục vụ. Các bước lặp phổ biến của thiết bị này được sử dụng ngày nay như sau.
BadUSB cables
Cáp BadUSB có hình thức và chức năng tương tự như bất kỳ cáp USB nào khác, nhưng là thiết bị độc hại bí mật đưa tập lệnh và phần mềm độc hại vào máy tính mà người dùng không hề hay biết.Phòng chống Bad USB
Phần lớn các doanh nghiệp hiện tại đều có cơ chế kiểm soát cắm USB trên máy tính nhưng không chặn các thiết bị ngoại vi cắm vào như bàn phím và chuột. Do đó các cơ chế chặn USB truyền file không có hiệu quả với BADUSB vì đối với máy tính BadUSB chỉ là 1 bàn phím không hơn không kém.Một số cách để phòng chóng BadUSB:
- Chặn cổng USB
- Sử dụng các chương trình để giám sát tốc độ gõ phím
- Khóa máy tính khi đi ra ngoài
Chặn cổng USB
Cách đơn giản và triệt để nhất để chặn tấn công này là chặn cổng USB kể cả các thiết bị ngoại vị như chuột và bàn phím. Có một vài cách để vô hiệu hóa USB như sau:- Sử dụng phần mềm để vô hiệu hóa cổng USB
- Dùng các biện pháp vật lý vô hiệu hóa cổng USB như gỡ cổng USB ra khỏi thiết bị, sử dụng các thiệt bị che, ngăn chặn cắm cổng usb vào thiết bị
Sử dụng các chương trình để giám sát tốc độ gõ phím
Một số chương trình như DuckHunter, Penteract Disguised-Keyboard Detector được thiết kế để chạy trong nền và theo dõi chặt chẽ tốc độ gõ. Do các thiết bị BadUSB gõ ở tốc độ mà con người thực tế không thể gõ được, nên chương trình sẽ chặn đầu vào bàn phím một cách hiệu quả khi phát hiện thấy một cuộc tấn công BadUSB.Nhược điểm của việc sử dụng phương pháp phòng ngừa này là các chương trình này mất vài mili giây để phát hiện một cuộc tấn công. Tùy thuộc vào độ dài của mã khai thác có thể mã khai thác đã được thực thi trước khi bị chương trình chặn. Hoặc đối với các BadUSB được thiết kế đặc biệt giả lập cả tốc độ gõ của con người thì các chương trình này sẽ không phát hiện và ngăn chặn được.
Khóa máy tính khi đi ra ngoài
Vì BadUSB giả lập các thao tác gõ phím nên với một máy tính đã bị khóa thì việc gõ phím sẽ bị hạn chế các lệnh được thi. Do đó một việc khá đơn giản và hiệu quả là nâng cao ý thức của người dùng, của nhân viên phải thực hiện khóa máy tính sau khi rời khỏi bàn làm việc.Kết luận
Trong thế giới tấn công mạng ngày càng phát triển, các kỹ thuật mới luôn được phát triển để tiếp cận máy tính của nạn nhân. BadUSB là một trong những kỹ thuật mới và mạnh mẽ, cho phép kẻ tấn công tiếp cận máy tính của nạn nhân nhanh chóng và không cần phải sử dụng các phương pháp tấn công phức tạp khác. Tuy nhiên, điều này cũng có thể là một nguy cơ cho người dùng và các nhà quản lý mạng. Vì vậy, việc tăng cường về kiểm tra, bảo vệ và chú ý tới các dấu hiệu của BadUSB là rất quan trọng để ngăn chặn tấn công này. Để bảo vệ chính mình, hãy tìm hiểu và chú ý tới các kỹ thuật tấn công mới như BadUSB và cách chống lại chúng.
Chỉnh sửa lần cuối bởi người điều hành: