Модифицированный Ethernet адаптер может красть данные с ПК и Mac

Александр Панасенко 08 Сентября 2016 - 20:47

...

Модифицированный Ethernet адаптер может красть данные с ПК и Mac

Независимый исследователь Роб Фуллер (Rob Fuller) представил методику похищения учетных данных с заблокированных компьютеров под управлением Windows и macOS (ранее OS X). Для кражи данных исследователь использовал немного модифицированный USB-адаптер Ethernet, стоимостью $50.

Рассказывая об атаке, Фуллер пишет, что она «смертельно проста» и не должна работать и, тем не менее, работает. Также Фуллер отмечает, что вряд ли он первым додумался до такого способа атак. Исследователь начинал свои тесты с девайса USB Armory ($155), но затем пришел к выводу, что Hak5 Turtle ($49,99) тоже вполне подойдет. Атака опирается на то, как современные ОС работают с plug-and-play (PnP) USB-устройствами.

«Почему атака работает? — пишет исследователь. — Из-за того что USB – это plug-and-play. Это означает, что даже если система блокирована, устройство все равно будет установлено. В новейших операционных системах (Win10/El Capitan) существуют ограничения типов устройств, которые можно установить на заблокированную ОС, но Ethernet/LAN определенно входят в “белый список”».

Фуллер модифицировал USB Ethernet адаптер, добавив на него софт, благодаря которому устройство воспринимается машиной, как network gateway, DNS-сервер и сервер WPAD (Web proxy autodiscovery protocol). После установки адаптера, система общается к нему, так как сочтет, что «проводное» и недавно подключенное устройство предпочтительнее, к примеру, беспроводной сети. В итоге устройство перехватывает передаваемые по сети данные (за это, в основном, ответственен Responder) и сохраняет их в базу SQLite. Также, для большего удобства, исследователь использовал LED-индикатор, который загорается, как только хищение учетных данных завершено. Фуллер пишет, что в среднем подобная атака занимает всего 13 секунд, пишет xakep.ru.

Исследователь успешно протестировал свою атаку на Windows 98 SE, Windows 2000 SP4, Windows XP SP3, Windows 7 SP1, Windows 10 (Enterprise и Home), OS X El Capitan и OS X Mavericks. Фуллер пишет, что в теории данный способ хищения данных должен работать и для некоторых дистрибутивов Linux, но их он еще не тестировал.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 26 Ноября 2024 - 17:22

Соответствие законодательству РФ Корпорации Средства поиска уязвимостей Соответствие требованиям регуляторов Positive Technologies

Standoff Bug Bounty включили в реестр российского софта

Решением Минцифры РФ платформа Standoff Bug Bounty внесена в единый реестр российского программного обеспечения. Ожидается, что регистрация продукта Positive Technologies расширит его использование для запуска профильных программ.

Согласно реестровой записи №24778 от 15.11.2024, платформа PT, предназначенная для организации поиска уязвимостей в активах за вознаграждение, классифицируется как средство автоматизации процессов ИБ.

Включение Standoff Bug Bounty в реестр российского софта означает, что данный продукт рекомендуется к использованию субъектами критически важной инфраструктуры (КИИ). К слову, для российских операторов КИИ запуск баг-баунти может вскоре стать обязательным.

«В некоторых случаях в рамках закупок государственные организации предъявляют требование подтвердить место происхождения программного обеспечения, — поясняет Юлия Воронова, директор по консалтингу центра компетенции PT. — Поэтому компания приняла решение внести Standoff Bug Bounty в единый реестр российского ПО. Этот шаг позволит расширить круг клиентов нашей платформы».

Площадка Standoff Bug Bounty функционирует с мая 2022 года. За истекший срок ее использовали более 80 раз для размещения программ баг-баунти, в том числе сама PT.

Число регистраций багхантеров уже превысило 16 тысяч. За 2,5 года через платформу подали около 8 тыс. отчетов об уязвимостях, в том числе критических (12%) и высокой степени опасности (20%).

За свои находки исследователи совокупно получили более 148 млн рублей. Примечательно, что предельные баунти, назначаемые за найденные уязвимости, сравнимы с предложениями зарубежных компаний.