Как злоумышленники могут командовать компьютером через веб-камеру и что делать защитникам.
Подключенную к компьютеру веб-камеру обычно подозревают , но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку , которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия.
Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.
При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих.
Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.
Во-вторых, обновление прошивки в камере не имеет никакой криптографической защиты, достаточно отправить ей пару команд и новый образ памяти по интерфейсу USB. Перепрошить камеру можно, запустив на компьютере ПО с правами обычного пользователя. Обновленная таким образом прошивка камер Lenovo превращает их в комбинацию камеры и клавиатуры, способной отправлять на компьютер заранее заданные команды.
Хотя исследователи работали исключительно с камерами Lenovo, они указывают, что другие USB-устройства на базе Linux могут быть подвержены такой же уязвимости.
Поэтому атака такого рода, вероятнее всего, будет использоваться для закрепления в пораженной системе, хотя в матрице MITRE ATT&CK техника BadUSB имеет индекс T1200 (Hardware additions) и относится к фазе первоначального доступа.
Подключенную к компьютеру веб-камеру обычно подозревают , но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку , которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия.
Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.
Возвращение BadUSB
Атаку тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку.При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих.
Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.
От BadUSB к BadCam
Исследователи Eclypsium смогли повторить трюк по перепрограммированию прошивки с веб-камерами Lenovo 510 FHD и Lenovo Performance FHD. Обе используют производства SigmaStar, который имеет два интересных свойства. Во-первых, ПО камеры работает на основе Linux и поддерживает расширения USB Gadget. Благодаря этой возможности ядра Linux устройство может представляться как USB-периферия, в том числе клавиатура или сетевой адаптер.Во-вторых, обновление прошивки в камере не имеет никакой криптографической защиты, достаточно отправить ей пару команд и новый образ памяти по интерфейсу USB. Перепрошить камеру можно, запустив на компьютере ПО с правами обычного пользователя. Обновленная таким образом прошивка камер Lenovo превращает их в комбинацию камеры и клавиатуры, способной отправлять на компьютер заранее заданные команды.
Хотя исследователи работали исключительно с камерами Lenovo, они указывают, что другие USB-устройства на базе Linux могут быть подвержены такой же уязвимости.
Киберриски атаки BadCam
Вектором атаки BadCam на организацию может стать:- новая, присланная злоумышленником камера;
- камера, временно отключенная от корпоративного компьютера и подключенная к ноутбуку атакующего для перепрошивки;
- камера, которую вообще не отключали от компьютера организации и скомпрометировали дистанционно при помощи ВПО.
- отключения средств защиты;
- загрузки и запуска дополнительного вредоносного ПО;
- запуска легитимных инструментов ;
- подтверждений в ответ на запросы системы, например, при повышении привилегий;
- выгрузки данных с компьютера в сеть.
Поэтому атака такого рода, вероятнее всего, будет использоваться для закрепления в пораженной системе, хотя в матрице MITRE ATT&CK техника BadUSB имеет индекс T1200 (Hardware additions) и относится к фазе первоначального доступа.
Как защищаться от атак BadCam
Атаку можно остановить на нескольких стадиях при помощи стандартных защитных инструментов, предотвращающих работу троянской периферии и резко усложняющих атаки LotL. Мы рекомендуем:- настроить в решении EDR/EPP проверку подключаемых HID-устройств. При подключении устройства, имеющего функции клавиатуры, пользователю потребуется ввести числовой код с экрана, до этого новая клавиатура не сможет управлять системой;
- настроить в и сбор и обработку детальной телеметрии, связанной с событиями подключения и отключения HID-устройств;
- настроить в решении MDM/EMM контроль USB-портов. В зависимости от возможностей решения EMM, можно отключить USB-порты или задать закрытый список устройств, которые могут быть подключены к компьютеру (конкретные идентификаторы VID/PID);
- по возможности применять на компьютерах сотрудников закрытый список (allowlist) приложений, которые могут быть запущены, — все, что не входит в список, блокируется;
- систематически обновлять не только ПО, но и прошивки типового оборудования в организации. Так, для двух моделей Lenovo из исследования , усложняющие зловредное обновление прошивки;
- внедрить принцип наименьших привилегий, дающий каждому сотруднику только доступы, нужные для его работы;
- включить информацию о BadUSB и BadCam в ИБ-тренинги сотрудников, дать им краткую инструкцию, что делать, если подключенное USB-устройство вызывает неожиданные эффекты, похожие на срабатывание клавиатурных команд.
