هجمات ال USB بالتّفصيل

الهجمات التي تعتمد على الذاكرة المتنقلة في ازدياد مضطرد. وكنّا قد في مقال سابق تناولها بشكل مبسّط، ولكننا سنغطيها الآن بالتّفصيل. فهي وسيلة سهلة وسريعة لتبادل الملفات بين الأصدقاء، وهي كذلك وسيلة سريعة لجعل حاسوبك ضحيّة. ما سأغطيه في هذه المقالة هو ما تمّ الكشف عنه في مؤتمر Def Con 18 الأخير، ولكن المبدأ نفسه ينسحب على كل التقنيات المشابهة.

Programmable HID USB Keystroke Dongle

العديد من الشركات والمؤسسات تقوم بتعطيل خاصيّة التشغيل التلقائي أو Autorun في ويندوز، من أجل تلافي تشغيل برمجيّات ضارة قد تكون قد أصابت الذاكرة المتنقلة أو القرص المضغوط. ولكن تقوم هل هذه الشركات بتعطيل إضافة  لوحات المفاتيح التي تعتمد على USB؟ الجواب، لا. وهنا تأتي فكرة لوحة مفاتيح USB المبرمجة. كون الأنظمة الحديثة (ويندوز، لينكس، ماك، الخ) لا تحتاج الى معرّفات خاصة للتعرف على الذاكرة المتنقلة، لوحة المفاتيح المبرمجة لا تحتاج الى معرّفات أيضاً.

أمثلة على لوحة المفاتيح المبرمجة

ولكن قبل الخوض في فوائد هذه الأداة وطرق استخدامها في الهجوم، سنمرّ على الكلمات التي يحتويها العنوان.

HID USB هي اختصار ل Human Interface Device USB وهي تشتمل على لوحات المفاتيح وكذلك الفأرة وبعض أدوات التحكم بالألعاب.

Keystroke تسجيل ما يقوم المستخدم بكتابته على لوحة مفاتيحه.

كيف تعمل التقنية؟

يقوم المهاجم بتسجيل مجموعة من الأوامر على لوحة المفاتيح المبرمجة، لاستخدامها في هجوم آلي على حاسوب الضحية. بعض الأوامر التي يمكن إضافتها (القائمة قد تحتوي اوامر على سبيل المثال لا الحصر):

1- أضف مستخدم.

2- شغّل برنامج

3- انسخ ملفات من حاسوب الضحية الى اللوحة.

4- ارفع ملفات الى موقع ما

5- حمّل وثبّت برامج

لماذا تحتاج الى استخدام هكذا أداة؟

1- لأنها تطبع أسرع بكثير من البشر. مهما كانت سرعة في الطباعة على لوحة المفاتيح فلن تكون اسرع من اداة تطبع الاوامر التي تمّت برمجتها عليها.

2- تعمل حتى لو كانت خاصيّة التشغيل التلقائي ل U3 معطّلة.

3- تلفت اهتمام اقل للمهاجم. تخيل لو كنت تجلس على حاسوب لشخص في شركة من الاهتمام ستجلب الى نفسك، مقارنة بوضع اللوحة في حاسوب الضحية عندما يدير بوجهه عن حاسوبه.

4- يمكن تشغيلها حسب مؤقت، لتعمل فقط عندما يكون الضحيّة مسجلاً للدخول على حاسوبه.

5- والعديد من الأمور الأخرى. على رأي مطوّرها استخدم مخيّلتك.

دمج اللّوحة مع أداة SET للهجمات الإجتماعيّة

من خلال برنامج التّحكم باللّوحة، يمكن تخزين الكود الذي تنتجه أداة الهجمات الإجتماعيّة SET من أجل إضافة أبعاد أخرى للهجوم. SET الإصدارة الجديدة  0.6 تدعم ال powershell. قام مطوّروا SET بعمل عرض باستخدام اداتهم مع اللّوحة من أجل الهجوم على حاسوب الضّحية عبر استخدام powershell و wscript، وتمّ اعداد الهجوم الآلي باستخدام SET. المطوّر قام بوصل اللّوحة بحاسوب يحتوي على ويندوز 7 محدّث بآخر التحديثات ويحتوي على برنامج مكافحة فيروسات محدّث أيضاً، ومع ذلك تمكن من فتح باب خلفي الى حاسوب الضّحيّة.

كيف يمكنك حماية حاسوبك ضد هذا الهجوم؟

في ويندوز 7 وفيستا من خلال GPO اذهب الى start واكتب mcc gpedit.msc ومن ثمّ اذهب الى  Device Instillation Restrictions كما هو ظاهر في الشكل:

التعديل على سياسة إضافة الأجهزة

سيظهر لك الشكل الآتي عند اختيار Device Instillation Restrictions

اعدادات التّحكم بسياسة الإضافة

كما هو ملاحظ في الصورة اعلاه السياسة تحتوي على العديد من الإعدادات، وكلّها غير معرّفة بعد. في هذا المقال سنذكر الأربعة التّالية:

1- Prevent installation of removable devices بعد تفعيلها، سيقوم النّظام بمنع أي جهاز اضافي من اضافة نفسه للنّظام حتى مدير النّظام نفسه. للسّماح لمدير النّظام بإضافة أجهزة نفعّل الخاصيّة التالية.

2- Allow administrators to override Device Installation Restrictions. تفعيل هذه الخاصية يسمح لمدير النّظام بإضافة أجهزة.

3- Allow installation of devices using drivers that match these. وهي تتيح المجال لوضع قائمة بالأجهزة المصرّح بإضافتها.

4- Display a custom message when installation  is prevented. وهي تسمح بإظهار رسالة مخصصة للمستخدم تعلمه بسبب المنع. مثلاً. “لا يمكنك إضافة أجهزة إلى هذا النّظام، يمكنك الطلب من دائرة التكنولوجيا لتفعيله بعد موافقة مدير دائرتك”.

الخلاصة

الهجمات التي تعتمد على الأجهزة المضافة مثل USB هي هجمات خطيرة ومؤذية. ويمكن عبر استخدام الهندسة الاجتماعية من جعلها أحد أخطر الأدوات في جعبة المهاجمين سواء كانوا فاحصين أمنين او أشخاص بنوايا خبيثة. تعطيل خاصية التشغيل التلقائي أوAutorun وحدها لم تعد كافية، ولهذا على مدراء الأنظمة اتخاذ اجراءات اكثر صرامة لمنع الهجمات التي تعتمد على هذه الأجهزة.

قائمة المراجع التي استخدمت في هذا المقال

1- http://www.irongeek.com/i.php?page=security/programmable-hid-usb-keystroke-dongle

2- http://technet.microsoft.com/es-es/library/cc753539%28WS.10%29.aspx

3- http://www.secmaniac.com/PowerShell_Defcon.pdf

4- http://technet.microsoft.com/es-es/library/cc753539%28WS.10%29.aspx

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (3)

  1. يقول MaaMraa:

    اصبت اخي بشار…

    في الاونة الاخيرة حتى من ليس لديه تلك المهارات في الاختراق يقوم بذه الحيلة USB + برنامج رصد كتابات الكيبورد = لديه الابيض والاسود عن الضحية

    شكرا للطرح

  2. يقول صبري صالح:

    سلمت يداك يا بشار ,,

    موضوع رائع

  3. يقول Lahcen Loujdy:

    بارك الله فيكم أخي على الدرس

أكتب تعليق