Вопрос: В чем опасность вставки и просмотра ненадежного USB-накопителя?


Предположим, кто-то хочет, чтобы я скопировал некоторые файлы на их USB-накопитель. Я запускаю полностью исправленную Windows 7 x64 с отключенным автозагрузкой (с помощью групповой политики). Я вставляю USB-накопитель, открываю его в проводнике Windows и копируем в него некоторые файлы. Я не запускаю и не просматриваю ни один из существующих файлов. Какие плохие вещи могут произойти, если я это сделаю?

А если я сделаю это в Linux (скажем, Ubuntu)?

Обратите внимание, что я ищу Детали из конкретный риски (если таковые имеются), а не «было бы безопаснее, если вы этого не сделаете».


129
2018-01-30 18:44


Источник


Глядя на список каталогов, вряд ли будет представлять опасность. Открытие вредоносного PDF-файла в старой неподдерживаемой версии Adobe Reader может представлять большой риск. В некоторых случаях даже предварительный просмотр изображения или значок файла могут содержать эксплойт. - david25272
@ david25272, даже глядя на список каталогов может быть риском, - tangrs
Это немного похоже на то, чтобы попасть в лифт с незнакомцем, большую часть времени вы в порядке, но если незнакомец также известен как Ганнибал Лектер ... - PatrickT
Вы можете сломать свою урановую центрифугу en.wikipedia.org/wiki/Stuxnet - RyanS
@tangrs, это отличный пример того, что я искал. Почему бы не опубликовать это как ответ? - EM0


Ответы:


Менее впечатляюще, ваш браузер графического интерфейса, как правило, исследует файлы для создания эскизов. Любой основанный на pdf, основанный на ttf (вставляющий в себя тип файла, поддерживающий turing), основанный на использовании эксплойта, который работает в вашей системе, потенциально может быть запущен пассивно, отбросив файл и ожидая, что он будет проверен рендерером эскизов. Большинство эксплойтов, которые я знаю об этом, но для Windows, но не недооценивайте обновления для libjpeg.


45
2018-01-31 16:02



Это возможность, поэтому +1. Проводник Windows (или Nautilus) делает это, даже если вы никогда не просматриваете миниатюры? - EM0
@EM Может случиться - последние версии explorer могут, например, создавать эскизы в подпапках для симпатичных значков папок в корне, даже если эти вложенные папки установлены, чтобы никогда не показывать эскизы. - Tynam
Или, может быть, не пытайтесь отображать миниатюры, а скорее какие-то метаданные - That Brazilian Guy
Это не относится к подключенной к USB файловой системе. Если у браузера файлов есть уязвимость, он может быть запущен файлами, загруженными на ваш компьютер с помощью других средств, например, вложений электронной почты или загрузки через браузер. - HRJ


Худшее, что может случиться, ограничено только воображением вашего атакующего. Если вы собираетесь быть параноидальным, физически подключая практически любое устройство к вашей системе, это может быть скомпрометировано. Совсем так, если это устройство выглядит как простой USB-накопитель.

Что, если это так? enter image description here

На снимке изображена печально известная USB-резинка утка, небольшое устройство, которое выглядит как обычный ручка, но может доставлять произвольные нажатия клавиш на ваш компьютер. В принципе, он может делать то, что ему нравится, потому что он регистрируется как клавиатура, а затем вводит любую последовательность ключей, которые он хочет. Имея такой доступ, он может всевозможные неприятные вещи (и это только первый хит, который я нашел в Google). Вещь написана сценарием, поэтому небо - это предел.


185
2018-01-30 19:45



Хороший, +1! В сценарии я имел в виду, что USB-накопитель, как известно, является реальным устройством хранения, и я доверяю тому, кто дает мне это, чтобы не злонамеренно заразить мой компьютер. (Я в основном обеспокоен тем, что они могут быть жертвой самого вируса.) Но это интересная атака, которую я не рассматривал. Я полагаю, что с эмулятором клавиатуры, как это, я бы, наверное, заметил что-то странное, но могут быть более скрытые способы ... - EM0
Я одобряю этот ответ. Делает OP думаю :) - steve
+1 «Самое худшее, что может случиться, ограничено только воображением вашего атакующего». - Newb
Hak5 - выглядит законно! - david25272
По-видимому, протокол USB-подключения очень похож на старый PS / 2-портовый протокол, поэтому USB обычно используется для мышей и клавиатур. (Конечно, я мог ошибаться - я копаю это из своей собственной памяти, которая имеет в основном потерю сжатия) - Pharap


Другая опасность заключается в том, что Linux попытается установить что угодно (шутка подавлена ​​здесь),

Некоторые из драйверов файловой системы не являются ошибками. Это означает, что хакер может найти ошибку, скажем, squashfs, minix, befs, cramfs или udf. Тогда этот хакер может создать файловую систему, которая использует эту ошибку, чтобы захватить ядро ​​Linux и поместить ее на USB-накопитель.

Это теоретически может случиться и с Windows. Ошибка в драйверах FAT или NTFS или CDFS или UDF может открыть Windows для захвата.


37
2018-01-31 00:28



+1 Это был бы аккуратный и вполне возможный эксплойт - steve
Наступает еще один уровень. Мало того, что файловые системы имеют ошибки, но весь USB-накопитель имеет ошибки, и многие из них выполняются в ядре. - Fake Name
И даже у вашей прошивки вашего USB-контроллера могут быть недостатки, которые могут быть использованы. В Windows произошел сбой с USB-накопителем, уровень перечисления устройства, - sylvainulg
Что касается «linux пытается смонтировать что-либо», это не поведение системы по умолчанию, но связано с вашим файловым проводником, проактивно пытающимся установить. Я уверен, что spelunking manpages может раскрывать, как деактивировать это и вернуться к «монтированию только по требованию». - sylvainulg
И Linux, и Windows пытаются установить все. Единственное различие заключается в том, что Linux может на самом деле преуспеть. Это не слабость системы, а сила. - terdon


Есть несколько пакетов безопасности, которые позволяют мне настроить сценарий автозапуска для Linux или Windows, автоматически выполняя мою вредоносную программу, как только вы ее подключите. Лучше не подключать устройства, которым вы не доверяете!

Имейте в виду, что я могу приложить вредоносное ПО практически к любому исполняемому файлу, который я хочу, и практически для любой ОС. С отключенным автозапуском вам ДОЛЖНО быть в безопасности, но, к сожалению, я не доверяю устройствам, с которыми я даже немного скептически отношусь.

Пример того, что можно сделать, проверьте Инструментарий Social-Engineer Tool (SET),

Единственный способ по-настоящему быть в безопасности - это загрузить живой дистрибутив Linux с отключенным жестким диском. И подключите USB-накопитель и посмотрите. Кроме этого, вы бросаете кости.

Как показано ниже, необходимо отключить сетевое взаимодействие. Это не помогает, если ваш жесткий диск безопасен, и вся ваша сеть становится скомпрометированной. :)


28
2018-01-30 18:50



Даже если AutoRun отключен, все еще существуют эксплойты, которые используют определенные истины. Конечно, есть способы заразить машину Windows. Лучше всего сканировать неизвестные флеш-накопители на аппаратных средствах, посвященных этой задаче, которые ежедневно стираются и восстанавливаются до известной конфигурации при перезагрузке. - Ramhound
Для вашего окончательного предложения вы можете включить также отключить сеть, если экземпляр Live CD заразится, он может заразить другие компьютеры в сети для более стойкого плацдарма. - Scott Chamberlain
Рамхаунд, я бы хотел увидеть примеры эксплойтов, которые вы упомянули (предположительно, исправлены сейчас!) Не могли бы вы разместить некоторые ответы? - EM0
@EM, некоторое время назад был какой-то эксплойт с нулевым днем, который воспользовался уязвимость в том, как отображается значок в файле ярлыков (файл .lnk). Просто открыть папку, содержащую файл ярлыка, достаточно, чтобы вызвать код эксплойта. Хакер мог бы легко разместить такой файл в корневом каталоге USB-накопителя, поэтому при его открытии будет выполняться код эксплойта. - tangrs
> Единственный способ по-настоящему быть в безопасности - это загрузить живой дистрибутив Linux с отключенным жестким диском ... - Нет, программное обеспечение изгоев может также заражать прошивку. В настоящее время они очень плохо защищены. - Sarge Borsch


USB-накопитель на самом деле может быть очень заряженным конденсатором ... Я не уверен, что современные материнские платы имеют какую-либо защиту от таких неожиданностей, но я бы не стал проверять это на своем ноутбуке. (он мог бы сжечь все устройства, теоретически)

Обновить:

см. этот ответ: https://security.stackexchange.com/a/102915/28765

и видео от него: YouTube: USB Killer v2.0 testing.


22
2018-01-31 16:08



Да, да. Почти у всех есть небольшие перезаряжаемые предохранители. я нашел это electronics.stackexchange.com/questions/66507/... быть интересным. - Zan Lynx
Это видео вредит моей душе. - k.stm


Некоторые вредоносные программы / вирус активируются, когда мы открываем папку. Хакер может использовать функцию Windows (или Linux с Вино), которые начинают создавать иконку / миниатюру некоторых файлов (например, файлы .exe, .msi или .pif или даже папки со значком вредоносного ПО) при открытии папки. Хакер обнаруживает ошибку в программах (например, программу, создающую миниатюру), чтобы можно было запустить вредоносное ПО.

Некоторые неисправные устройства могут аппаратные средства, особенно материнская плата, и в большинстве случаев молча, поэтому вы можете не знать об этом.


6
2018-01-31 09:25





По-видимому, простое USB-устройство может даже поджарить всю материнскую плату:

Российский исследователь по безопасности, известный как «Темный фиолетовый», создал USB-накопитель   который содержит необычную полезную нагрузку.

Он не устанавливает вредоносное ПО и не использует уязвимость с нулевым днем.   Вместо этого настраиваемая USB-накопитель отправляет 220 вольт (технически минус   220 вольт) через сигнальные линии интерфейса USB, обжаривание   аппаратное обеспечение.

https://grahamcluley.com/2015/10/usb-killer/


5
2017-10-14 19:58





Самое худшее, что может случиться, - это печально известный BadBios инфекционное заболевание. Это предположительно заражает ваш USB-контроллер хоста, подключая его к компьютеру независимо от вашей ОС. Существует ограниченный набор производителей USB-чипов, поэтому эксплуатация всех из них не слишком удалена.

Конечно, не все считают BadBios реальным, но это является самое худшее, что может случиться с вашим компьютером, подключив USB-накопитель.


2
2018-02-03 09:32





Это в значительной степени связано с компрометацией всей секретной сети Министерства обороны США. USB-накопитель был оставлен на земле в автостоянке за пределами площадки DOD. Некоторые гения подняли его, взяли его внутрь и включили, современный шпионский режим настолько скучен. Я имею в виду USB-накопитель на автостоянке, возвращаю 007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain


1
2018-02-06 11:18