Перейти к содержимому


Фото
- - - - -

Как у Dr.Web отношения с BadUSB?

dr.web badusb

  • Please log in to reply
29 ответов в этой теме

#1 RedRain

RedRain

    Newbie

  • Posters
  • 54 Сообщений:

Отправлено 05 Октябрь 2014 - 19:48

 Здравствуйте. Какие у вас планы на эту новую угрозу?



#2 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 05 Октябрь 2014 - 21:07

А что Вам известно про эту уязвимость, кроме общих слов, написанных на http://www.cnews.ru/news/top/index.shtml?2014/08/01/581443 ?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#3 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 801 Сообщений:

Отправлено 06 Октябрь 2014 - 11:54

 Здравствуйте. Какие у вас планы на эту новую угрозу?

Грандиозные. Мирные. 


Sergey Komarov
R&D www.drweb.com

#4 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 12:23

Грандиозные. Мирные.
А если немного конкретизировать и сказать вместо "BadUSB" - аппаратные клавиатурные шпионы/вредоносные устройства ввода-вывода?

#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Октябрь 2014 - 12:26

 

Грандиозные. Мирные.
А если немного конкретизировать и сказать вместо "BadUSB" - аппаратные клавиатурные шпионы/вредоносные устройства ввода-вывода?

 

То есть с юзерами? :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 06 Октябрь 2014 - 12:55

 

Грандиозные. Мирные.
А если немного конкретизировать и сказать вместо "BadUSB" - аппаратные клавиатурные шпионы/вредоносные устройства ввода-вывода?

 

Это Вы не конкретизируете, а пишете совсем о другом.

Поиском аппаратных закладок занимаются несколько другие организации.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#7 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 13:05

Это Вы не конкретизируете, а пишете совсем о другом.
BadUSB - одна из разновидностей, а не другое.

#8 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 06 Октябрь 2014 - 13:08

 

Это Вы не конкретизируете, а пишете совсем о другом.
BadUSB - одна из разновидностей, а не другое.

 

Клавиатурный шпион должен передавать кому-то то, что он зашпионил.

Как это делают аппаратный закладки, я представить могу.

Как это будет делать Ваша "разновидность"?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#9 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 13:16

Как это будет делать Ваша "разновидность"?

Один из типовых вариантов (описаний коего уже великое множество):

1) имитируется клавиатура

2) с этой клавиатуры в систему вводится тело заразы (тут тоже вариантов несколько: от vbs/cmd до PE через консоль отладчика)

3) зараза собирает данные и отправляет их либо через интернет непосредственно, либо обратно устройству

4) вредоносное устройство может либо передать данные дальше по wifi/синезубу, либо стать виртаульной сетевой картой и вклиниться в процесс приёма-передачи данных (что, кстати, может быть реализовано изначально и, более того, и быть основной целью).

При этом само устройство будет дополнительно вполне корректно функционировать как обычная флэшка.


Сообщение было изменено usverg: 06 Октябрь 2014 - 13:18


#10 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 13:23

От себя добавлю, что угрозу эту не стоит называть новой: встречались ранее не только usb-устройства с модификациями (тут, кстати, стоит вспомнить и про современные принтеры с полным для этого функционалом), но даже видеокарточки с модифицированной прошивкой. Из задач позаковыристей (и, так уж и быть, не из серии "закладок") могу предложить вопрос: а как контролировать корректность доступа к серверу/рабочей станции через IPMI?



#11 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 13:26

То есть с юзерами? :-)
Ну тут только молоток поможет.

#12 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 06 Октябрь 2014 - 13:29

 

Как это будет делать Ваша "разновидность"?

Один из типовых вариантов (описаний коего уже великое множество):

1) имитируется клавиатура

2) с этой клавиатуры в систему вводится тело заразы (тут тоже вариантов несколько: от vbs/cmd до PE через консоль отладчика)

OK, т.е. это устройство будет устанавливать в систему обычного трояна...


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#13 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Октябрь 2014 - 13:30

 

То есть с юзерами? :-)
Ну тут только молоток поможет.

 

Вот именно. Отличить клавиатуру от чего-то, что выдает себя за клавиатуру вы как предлагаете? Приниципиально можно создать устройство, которое от клавиатуры не будет отличимо. И говорить об уязвимости тут не стоит, для системы это будет именно что клавиатура.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#14 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 13:32

Вот именно. Отличить клавиатуру от чего-то, что выдает себя за клавиатуру вы как предлагаете? Приниципиально можно создать устройство, которое от клавиатуры не будет отличимо. И говорить об уязвимости тут не стоит, для системы это будет именно что клавиатура.

Поведенческий анализ на предмет нетипичных действий пользователя по окончании периода обучения? (Хотя, честно скажу, меня IPMI гораздо больше интересует, как-никак а отдельный мини сервер на рабочих станциях).


Сообщение было изменено usverg: 06 Октябрь 2014 - 13:34


#15 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Октябрь 2014 - 13:33

 

Вот именно. Отличить клавиатуру от чего-то, что выдает себя за клавиатуру вы как предлагаете? Приниципиально можно создать устройство, которое от клавиатуры не будет отличимо. И говорить об уязвимости тут не стоит, для системы это будет именно что клавиатура.
Поведенческий анализ на предмет нетипичных действий пользователя по окончании периода обучения?

 

Вы пользователей вживую видели?! Они exe-файлы из письма запускают, ЭТО для них типичное (!!!) действие. :-D В общем, решение полным и окончательным быть не может.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#16 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 13:37

Они exe-файлы из письма запускают
Этим не удивишь, а вот вводом PE в дебугер, пожалуй что можно.

#17 RedRain

RedRain

    Newbie

  • Posters
  • 54 Сообщений:

Отправлено 06 Октябрь 2014 - 14:04

Вроде как проблему объявили серьезной, но о каких-либо крупных последствиях ничего не слышно. Дыма без огня не бывает, поэтому чисто дедуктивно можно заявить что это просто запугивание. Также, появились некие приложения, которые "снижают риск" заражения этим вирусом. Пока небо чисто.



#18 usverg

usverg

    Member

  • Posters
  • 450 Сообщений:

Отправлено 06 Октябрь 2014 - 14:10

заражения этим вирусом
Это даже и не вирус.

#19 Victor_koly

Victor_koly

    Member

  • Posters
  • 306 Сообщений:

Отправлено 06 Октябрь 2014 - 14:13

Они exe-файлы из письма запускают

 

А антивирус должен сканировать exe файл перед запуском. А самое странное, что нормальные почтовые системы даже не дают отправить зараженный exe-файл.



#20 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Октябрь 2014 - 14:17

 

Они exe-файлы из письма запускают

 

А антивирус должен сканировать exe файл перед запуском. А самое странное, что нормальные почтовые системы даже не дают отправить зараженный exe-файл.

 

Антивирус и сканирует, вот только определять 100% угроз он не может. И почтовые системы не все нормальные, и именно не нормальные будут использоваться для рассылки всякой гадости.


Личный сайт по Энкодерам - http://vmartyanov.ru/




Also tagged with one or more of these keywords: dr.web, badusb

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых