درایوهای USB ظاهرا خطرناکتر از آنچه که تا کنون تصور می­کردید هستند. این مربوط به بدافزارهایی که از مکانیسم AutoPlay در ویندوز استفاده می­کنند، نمی­شود – این به خاطر نقص طراحی در پایۀ USB است.در حال حاضر شما واقعا نباید از درایوهای فلش USB مشکوک استفاده کنید. حتی اگر شما مطمئن باشید که فلش درایو عاری از نرم ­افزارهای مخرب است، آنها می­توانند فریمور مخرب  malicious firmware داشته باشند.این بدافزار بعدها ممکن است ریکاوری فلش مموری را کمی پیچیده تر کند.

فلش درایو USB آلوده به بدافزار فریمور
فلش درایو USB آلوده

همۀ دستگاه­ های USB  دارای یک مشکل امنیتی بزرگی هستند!

USB مخفف گذرگاه سری جهانی universal serial bus  است. تصور می­شود که USB یک نوع جهانی از پورت و پروتکل ارتباطی است که به شما اجازه می­دهد تا بسیاری از دستگاه­های مختلف به کامپیوترتان متصل شوند. دستگاه­های ذخیره­ سازی مانند درایوهای فلش و هارد درایوهای اکسترنال، ماوس، صفحه کلید، دسته بازی، هدستهای صوتی، کارتهای شبکه، و بسیاری دیگر از انواع دستگاه که تماما از پورت USB استفاده می­کنند.

فلش درایو USB آلوده به بدافزار فریمور
فلش درایو USB آلوده به بدافزار فریمور

این دستگاه­ های USB ( و دیگر قطعات در کامپیوتر شما) یک نوع نرم ­افزار شناخته شده به عنوان فریمور Firmware را اجرا می­کنند، هنگامیکه شما یک دستگاه به کامپیوترتان متصل می­کنید، فریمور بر روی دستگاه، اجازه می­دهد تا دستگاه عمل کند. برای مثال، یک فریمور فلش درایو USB معمولی، ذخیره کردن و یا انتقال داده ها را از درایو فلش و تمامی دیگر عملیات را مدیریت می­کند.

فریمور صفحه کلید USB که به کامپیوتر شما متصل شده است، کلید فشرده شده بر روی صفحه کلید را به اطلاعات دیجیتال تبدیل می­کند و به کامپیوتر ارسال می­کند.

این فریمور در واقع یک قطعۀ عادی از نرم­افزاری که کامپیوتر شما دسترسی به آن داشته باشد، نیست. این کد در دستگاه اجرا می­شود،­ و هیچ راهی واقعی برای بررسی و تایید امنیت فریمور دستگاه USB وجود ندارد.

بدافزار مخرب فریموری چه کاری می­تواند انجام دهد؟

دستگاه های USB می توانند بسیاری از کارهای مختلف را انجام دهند و کلید این مشکل هدف، طراحی آنها است. بعنوان مثال، یک فلش درایو USB آلوده با فریمورهای مخرب می­تواند بعنوان یک صفحه کلید USB عمل کند. هنگامی که شما آن را به کامپیوترتان متصل می­کنید، می­تواند کاری مانند فشرده شدن صفحه کلید را به کامپیوتر ارسال کند (مانند این که کسی بر سر کامپیوتر بنشیند و کلیدهایی را تایپ کند). به لطف میانبرهای صفحه کلید، فریمورهای مخرب بعنوان یک صفحه کلید می­توانند عمل کنند ( برای مثال – باز کردن پنجره Command Prompt ، دانلود یک برنامه از یک سرور از راه دور و اجرای آن، با یک فوریت User Account Control – (UAC.

به طور حیرت انگیزی شاید به نظر برسد که فلش درایو USB آلوده دارد بصورت معمولی عمل می­کند، اما فریمورش می­تواند فایلهای را که در حال ترک دستگاه هستند، آلوده کند. یک فلش درایو USB آلوده متصل شده می­تواند به عنوان یک آداپتور USB-اترنت عمل کند  و مسیر  ترافیک را به سمت سرورهای مخرب هدایت کند. برای مثال می تواند از اینترنت  یک تلفن و یا هر نوع دستگاه USB که دارای اتصال اینترنت است استفاده کرده و اطلاعات  کامپیوتر شما را بازپخش و نشر نماید.

یک فلش درایو USB آلوده به عنوان یک  دستگاه ذخیره­ سازی که فریمور آن تغییریافته شده (برای مقاصد خاص)  وقتیکه بوت شدن کامپیوتر را تشخیص می­دهد می­تواند به عنوان دستگاه بوت عمل کند و در آن هنگام کامپیوتر از طریق آن فلش درایو USB آلوده بوت شده ، یک تکه نرم افزار مخرب ( که به عنوان یک Rootkit شناخته می­شود) را بارگذاری می­کند و سپس سیستم عامل واقعی را بوت می کند و آن نرم افزار مخرب در زیر سیستم عامل خود را پنهان کرده اجرا می شود.

فلش درایو USB آلوده به بدافزار فریمور
فلش درایو USB آلوده به بدافزار فریمور

Rootkit چیست؟

این کلمه از دو بخش تشکیل شده، root و kit. این ساده‌ترین راه معرفی و توضیح برای rootkit است. کلمه root از دنیای لینوکس و یونیکس وارد شده و مترادف administrator در سیستم‌عامل ویندوز است. Administrator یعنی کسی که به سیستم‌عامل سطح دسترسی کاملی دارد یا در واقع صاحب اصلی آن سیستم‌عامل است. اگر یک خدمات دهنده (server) یونیکس هک شود و یک کاربر غیرمجاز بتواند به عنوان صاحب سیستم (root) فرمان صادر کند، گفته می‌شود که سرور root شده است. در واقع کاربر غیر مجاز با سطح دسترسی کاربر اصلی سیستم (root) مدیریت سیستم را به دست گرفته است.

اما کلمه kit: به برنامه‌ای گفته می‌شود که برای به دست آوردن سطح دسترسی صاحب سیستم (root / admin) سعی بر انجام پذیری عملیاتی را دارد که فقط دسترسی به صاحب سیستم برایش رضایت‌بخش است تا بتواند فرامینی را اجرا کند.

علت استفاده از rootkit؟

Rootkit‌ها دو وظیفه اصلی دارند اول اینکه به صورت پنهانی وارد سیستم موردنظر بشوند. این روش ممکن است از طریق یک برنامه که با اراده شما نصب شده اتفاق بیافتد و دوم اینکه پس از ورود خود را پنهان نگاه دارد، در واقع آنها با بهره‌گیری از تکنیک‌های مختلف خودشان را از نظرها پنهان می‌کنند و حتی در بسیاری موارد خود را رمزنگاری می‌کنند تا به هیچ عنوان شناخته نشوند.

با توجه به این دو وظیفه نظر بسیاری از هکرها به استفاده از rootkit‌ها مثبت است. RootKit‌ها از نظر ساختار کاری بسیار شبیه  Trojan‌ها و Backdoor‌ها هستند با این تفاوت که آنها اجازه دسترسی Root یا Administrator  را به ما نمی‌دهند و در واقع سیستم از کنترل ما خارج خواهد شد. Rootkit ها نرم افزارهای مخربی هستند که بدون اینکه شناسایی شوند به سیستم هدف وصل می شوند و کارشان را انجام می دهند ، در واقع مهمترین فاکتور یک Rootkit عالی همین بسیار بسیار دشوار بودن شناسایی یا بعضا به هیچ عنوان شناسایی نشدن توسط بسیاری از ضدبدافزارها می باشد. طبیعتا این نوع بدافزار دسترسی های غیرمجازی را بدون اجازه به سیستم هدف از راه دور ایجاد می کنند تا هکر یا مهاجم بتواند از این دسترسی ها سوء استفاده کند. هدف اصلی یک Rootkit همانطور که از نامش هم پیداست ، دست یافتن به بالاترین سطح دسترسی به سیستم یا همان دسترسی root است .

وقتی هکر با استفاده از Rootkit موفق به دستیابی به بالاترین دسترسی سیستمی شد می تواند از راه دور نرم افزارها یا بهتر بگوییم بدافزارهای مورد نظر خودش را نصب کند و هر کاری که لازم باشد را بر روی سیستم قربانی انجام بدهد ، معمولا Rootkit ها از آسیب پذیری هایی که در خود سیستم عامل ها یا نرم افزارهای نصب شده بر روی آنها وجود دارند برای آلوده سازی سیستم عامل استفاده می کنند.

نکتۀ مهم، دستگاه­های USB می­تواند پروفایلهای متعدد و مرتبط با آنها را داشته باشد. زمانیکه شما یک فلش درایو USB آلوده را به کامپیوتر خود وارد می­کنید می­تواند به عنوان یک فلش درایو، یک صفحه کلید و یا یک آداپتور USB اترنت مدعی شود. این قطعه می تواند به عنوان یک درایو فلش معمولی عمل کند، در حالی که حق انجام کارهای دیگر را برای خود از پیش رزرو کرده است.

این فقط یک مسئله اساسی با خود یواس بی است. این داستان امکان ایجاد دستگاههای مخربی را فراهم می کند که می توانند وانمود کنند که تنها یک نوع دستگاه باشند و فقط یک کار انجام می دهند، در صورتیکه قابلیت آن را دارند که سایر انواع دستگاه ها باشند.

کامپیوترها می­توانند فریمور فلش درایو USB را آلوده کنند

از این وحشتناک تر تا به حال نداشته ایم، اما نه آنطور که فکر می کنید نیست. بله، ممکن است شخصی  یک دستگاه اصلاح شده با فریمورهای مخرب ایجاد کند، اما احتمالا فراگیر نمی­شود و شما نیز درگیر نخواهید شد. اما به این فکر کنید که چقدر احتمال دارد که شما نیز در ایجاد یک دستگاه USB مخرب خاص  مشارکت کنید؟

اثبات مفهوم بدافزارهای “Bad-USB” به یک سطح جدید و ترسناک تبدیل ­شده است. محققان آزمایشگاه SR دو ماه وقت صرف مهندسی معکوس کد فریمور USB پایه از دستگاه های مختلف کردند و متوجه شدند که آنها در واقع می­توانند برنامه­ ریزی، اصلاح و تغییر یافته شوند. به عبارت دیگر، کامپیوتر آلوده می­تواند فریمور دستگاه USB متصل شده را دوباره برنامه ریزی و دستگاه USB را به یک دستگاه مخرب تبدیل کند. و آن می­تواند دیگر کامپیوترهایی که به آن متصل می­شود را آلوده کند، و دستگاه می­تواند آلودگی را از یک کامپیوتر به دستگاه USB دیگر پخش کند.

این اتفاق در گذشته میافتاده است که در زمان اتصال فلش درایو USB آلوده که حاوی بدافزارهای وابسته به ویژگی های خودکار ویندوز بودند، بصورت اتوماتیک بدافزارها بر روی کامپیوتر اجرا می شدند. اما در حال حاضر برنامه های آنتی ویروس نمی­توانند آنها را تشخیص داده و یا  جلوی این نوع جدید از آلودگی را که می­تواند از دستگاه به دستگاه گسترش یابند، را بگیرند. این نوع بد افزار با بد افزار Autorun متفاوت بوده و با نحوه از بین بردن ویروس اتوران در فلش نیز متفاوت است.

این مشکل بطور بالقوه می­تواند با حملات “juicejacking” ترکیب شود و یک دستگاه را آلوده کند مثلا بدین صورت که یک دستگاه که دارد از طریق  USB شارژ میشود از یک پورت USB مخرب دیگر آلوده شود.

خبر خوب این است که تا اواخر سال ۲۰۱۴  تنها با حدود ۵۰ درصد از دستگاه های USB این کار امکان پذیر بود. خبر بد این است که بدون باز کردن و امتحان کردن مدارات داخلیشان نمی توانید بگویید که چه دستگاه هایی آسیب پذیر هستند و کدام یک نیستند. تولیدکنندگان امیدوارند که دستگاه های USB را ایمن تر کنند تا در مقابل تغییر سیستم عامل خودشان در آینده محافظت شوند. با این حال، تا به حال، مقدار زیادی از دستگاه های USB در دنیای امروز در مقابل برنامه ریزی مجدد آسیب پذیر هستند.

فلش درایو USB آلوده به بدافزار فریمور یک مشکل واقعی است؟

تا کنون، این بصورت یک آسیب­پذیری نظری ( تئوری) ثابت شده است. حملات واقعی پس از یک آسیب­ پذیری واقعی مشخص می­شوند. برخی از افراد استدلال می­کنند که NSA این مشکل را مدتها است که می شناسد و از آن استفاده می­شود. NSA’s COTTONMOUTH به نظر میرسد که شامل استفاده از دستگاه­های USB اصلاح شده برای حمله به اهداف خاص باشد، اگرچه به نظر میرسد که NSA سخت­ افزارهای اختصاصی نیز در این دستگاههای USB آلوده کار گذاشته است.

COTTONMOUTH-I

(TS//SI//REL) COTTONMOUTH-I (CM-I) is a Universal Serial Bus (USB) hardware implant which will provide a wireless bridge into a target network as well as the ability to load exploit software onto target PCs.

با این وجود، این مشکل احتمالا چیزی نیست که به زودی به شما برسد. در امور روزمره شما احتمالا نیازی به مشاهدۀ کنترلر ایکس باکس دوستتان و یا دیگر دستگاه­های مشترک با سوءظن زیاد، ندارید. با این حال، این یک عیب اصلی در هسته و استاندارد USB است که باید برطرف شود.

چگونه شما می­توانید از خودتان محافظت کنید

شما باید در هنگام برخورد با دستگاه­های USB مشکوک احتیاط کنید. در این روز ها ما راجع به  بدافزارهای خودکار ویندوز زیاد میشنویم، ما گاهی دربارۀ درایوهای فلش USB  که هدیه می دهند یا بسیار ارزان قیمت هستند و یا در مکانی در نزدیکی شرکت شما رها شده اند نیز میشنویم. امید این است که یک کارمند یک فلش درایو USB آلوده رها شده را بردارد و به کامپیوتر شرکت متصل کند و سپس بدافزارهای آن درایو USB رها شده بطور خودکار اجرا شوند و کامپیوتر را آلوده کنند. کمپین هایی برای بالا بردن آگاهی از این موضوع وجود دارد که مردم را تشویق  می­کند تا دستگاه­های USB را از جایی برندارند و یا درایو های مشکوک را به کامپیوترشان متصل نکنند.

با غیر فعال کردن پخش خودکار AutoPlay ، ما فکر می­کنیم که مشکل حل شده است. اما مشکلات فریمور USB نشان می­دهد که دستگاه­های مشکوک هنوز هم می­تواند خطرناک باشند. دستگاه­های USB را از محلی مانند کوچه و خیابان  برندارید، در زمان خرید برند های اصلی را خریداری کنید و یا هر دستگاه USB  را به کامپیوترتان متصل نکنید.

البته اینکه شما چقدر باید نگرانی داشته باشید بستگی دارد به اینکه شما چه کسی هستید و چه کاری انجام می دهید. شرکتها بخاطر داشتن اسرار تجاری حیاتی ویا اطلاعات مالی ممکن است خواستار دقت و مراقبت های ویژه ای برای دستگاه­ های USB که به کامپیوترشان وصل می­شوند، داشته باشند تا از  گسترش آلودگی جلوگیری شود.

اگر چه این مشکل تاکنون فقط در اثبات مفهوم حملات دیده شده است، اما یک نقص امنیتی بزرگ در هسته دستگاه­هایی که هر روز از آنها استفاده می­کنیم را نشان می دهد. این چیزی است که باید در ذهن داشته باشیم، و در حالت مطلوب، چیزی است که باید برای بهبود امنیت USB برای خودش حل شود.

 

۵/۵ - (۲ امتیاز)

دیدگاهتان را بنویسید