Как защититься от вредоносной флешки

Вариант 3. Сделай сам

Ты хочешь пол­ностью поз­нать дзен фле­шек? Не воп­рос. Пред­варитель­но опре­делись с фай­ловой сис­темой. Открой любой HEX-редак­тор и перета­щи туда зна­чок флеш­ки из про­вод­ника. Для FAT32 VSN находит­ся по сме­щению 0x43, для NTFS — на 0x48.

Про­верим это.

Ис­ходный VSN устрой­ства с фай­ловой сис­темой NTFS

На­шел­ся серий­ник 6666-6666. Что ж, испра­вим его и сох­раним резуль­тат. Пом­ни, что порядок чте­ния бай­тов — спра­ва налево (little endian).

Из­менен­ный VSN устрой­ства с фай­ловой сис­темой NTFS

Для FAT32 ситу­ация пол­ностью ана­логич­на.

Из­менен­ный VSN устрой­ства с фай­ловой сис­темой FAT

Итак, теперь ты уме­ешь менять VSN (UUID). Но для по‑нас­тояще­му серь­езных вещей и соз­дания поч­ти пол­ноцен­ного кло­на нуж­но еще нем­ного углу­бить­ся в тему.

Часть 2. VID, PID, Serial

Что­бы менять мак­сималь­ное количес­тво парамет­ров, тре­бует­ся переп­рошить кон­трол­лер флеш­ки. Про­цеду­ра эта срав­нитель­но нес­ложная, но опас­ная — в слу­чае ошиб­ки ты рис­куешь сде­лать флеш­ку нерабо­тос­пособ­ной (одна­ко ошиб­ка чаще все­го воз­ника­ет при неудач­ном выборе про­шив­ки или про­шиваль­щика).

Пред­ста­вим, что у тебя есть исправ­ная флеш­ка (которая работа­ет в офи­се без проб­лем), а так­же ты при­обрел дру­гую флеш­ку — потен­циаль­ный клон. Если ты купишь флеш­ку точ­но той же модели, то при некото­рых обсто­ятель­ствах смо­жешь обой­ти СЗИ, в которых идет про­вер­ка толь­ко по VID и PID.

На прак­тике луч­ше най­ти флеш­ки, которые лег­че все­го переп­рошивать, нап­ример фир­мы Silicon Power или Transcend с USB 3.0 — в них час­то исполь­зует­ся SMI-кон­трол­лер. Хотя в целом тебе могут попасть­ся флеш­ки с кон­трол­лерами AlcorMP, Phison и дру­гие. Для них тоже есть про­шив­ки.

Об­щий алго­ритм про­шив­ки девай­са сле­дующий:

1. Вы­ясни тип иден­тифика­тора, который исполь­зует­ся для опре­деле­ния флеш­ки в СЗИ, или исполь­зуемые сос­тавля­ющие на осно­ве дан­ных флеш­ки (опци­ональ­но), запиши их для пос­леду­ющей под­делки.
2. Оп­редели кон­трол­лер флеш­ки.
3. Под­бери ути­литу для про­шив­ки, под­ходящую под кон­крет­ную вер­сию кон­трол­лера.
4. В про­шиваль­щике задай необ­ходимые парамет­ры, иден­тичные ори­гиналь­ной флеш­ке.
5. Про­шей флеш­ку‑клон и про­верь ее работу. В слу­чае неудач­ной про­шив­ки — пов­тори шаги, начиная со вто­рого. Если флеш­ка окир­пичилась, пос­тупай ана­логич­но.

Шаг 1. Так слу­чилось, что на пер­вой про­тес­тирован­ной нами машине сто­ял анти­вирус Comodo с воз­можностью кон­тро­ля устрой­ств. Недол­го думая, вклю­чаем бло­киров­ку для USB и добав­ляем флеш­ку‑ори­гинал в исклю­чение. Анти­вирь любез­но показы­вает нам исполь­зуемый иден­тифика­тор флеш­ки.

Кон­троль устрой­ств анти­виру­са Comodo

В свой­ствах обо­рудо­вания находим, что эта стро­ка соот­ветс­тву­ет опции «Путь к экзем­пля­ру устрой­ства». Запишем иден­тифика­тор как целевое зна­чение, которо­му наша флеш­ка‑фейк дол­жна соот­ветс­тво­вать:

На вся­кий слу­чай запом­ним и DeviceID:

Бывает и такое, что CЗИ может не отображать идентификатор, а только определять некоторые свойства подключенного устройства. Такие случаи часто бывают связаны с тем, что идентификатор может состоять из видимых полей и свойств. Здесь нет никакой разницы для нас – ведь, адаптируя фальшивые данные к исходным, мы используем одни и те же данные и формируем один схожий идентификатор.

Шаг 2. Программа ChipGenius поможет определить контроллер фальшивой флешки. Для того чтобы скачать ее, необходимо зайти на сайт USBDev. По мнению многих пользователей сайта, он является самым полезным русскоязычным ресурсом по прошивке флешек. Также можно использовать аналог — Flash Drive Information Extractor.

Выпол­нения прог­рамм опре­деле­ния кон­трол­лера

Срав­ни с выводом ChipGenius для нашего будуще­го фей­ка:

• DeviceID
• USB\VID_090C&PID_1000\CCYYMMDDHHMMSS000000
• Description: [H:]Запоми­нающее устрой­ство для USB(SMI USB DISK)
• Device Type: Mass Storage Device
• Protocal Version: USB 2.00
• Current Speed: High Speed
• Max Current: 500mA
• USB Device ID: VID = 090C PID = 1000
• Serial Number: CCYYMMDDHHMMSS000000
• Device Vendor: SMI Corporation
• Device Name: USB DISK
• Device Revision: 1100
• Manufacturer: SMI
• Product Model: USB DISK
• Product Revision: 1100
• Controller Vendor: SMI
• Controller Part-Number: SM3257ENBA — ISP 131128-AA-
• Flash ID code: 98DE8493 — KIOXIA TC58TEG6DCJBA00 — 1CE/Single Channel [MLC-16K] → Total Capacity = 8GB
• Tools on web: http://dl.mydigit.net/special/up/smi.html

Теперь мы можем увидеть, что у нас есть контроллер семейства SMI (Silicon motion), номер SM3257ENBA. Найдем для него прошивку.

Шаг 3. На сайте ChipGenius есть ссылка для скачивания прошивки, но сайт полностью на китайском языке, поэтому его проще загрузить с USBDev. В этом случае это обязательно в версии с поддержкой нашего контроллера SM3257ENBA. Этот контроллер использует программы SMI MPToolи Dyna Mass Storage Production Tool. На данный момент у нас в приоритете последний вариант (работает долго и эффективно, и почти со всеми типами данных контроллеров).  Найдите нужную версию и скачайте Dyna Mass Store Production Tool, вставьте фейковую флешку и запустите программу.

Шаг 4. Вам не о чем волноваться, это совершенно не сложно. Практически все рошивальщики имеют почти идентичный набор параметров, поэтому общие правила и изменяемые параметры одинаковы у всех, независимо от марки и модели контроллера. Убедитесь в том, что флешка отображается в окне программы.

Флеш­ка в Dyna Mass Storage Production Tool

Справа нажмите на слово Settings, пропустите ввод пароля, нажав Enter (в некоторых инструментах он также есть, обычно легко гуглить на форумах), в качестве конфигурации по умолчанию укажите файл в корне каталога флешера — NDefault. INI.

Кстати, все эти операции позволяют восстановить любимый неисправный USB-гаджет, перепрошив его значениями по умолчанию, главное не связываться с определением программы и контроллера. Что ж, продолжаем. В появившемся окне перейдите на вкладку DeviceConfig.

Парамет­ры флеш­ки в Dyna Mass Storage Production Tool

Здесь мало что нужно изменить. В поле SN Method выберите Static SN (иначе наш серийник будет пустым, как у безымянных флешек). В этом случае мы создали серийный номер, такой же сильный, как швейцарский банк, который не будет меняться от системы к системе.

В сек­ции USB чуть ниже выс­тавля­ем парамет­ры, как у флеш­ки‑ори­гина­ла:

VID → 13FE, PID → 4200, bdcDevice (номер ревизии) → PMAP

Производитель и название продукта в нашем случае не используются, мы не можем его изменить. Однако в некоторых крупных СЗИ они также используются для формирования подписи устройства. Если вы совсем не знаете, какие параметры и куда вводить, рекомендуем повторить шаги с первого до этого на исходной флешке, скопировать все параметры на фальшивую флешку и продолжить чтение. Оригинал прошивать не нужно.

В поля SN Begin No., SN End No. и SN Mask забива­ем серий­ник флеш­ки‑ори­гина­ла: 070867948D560839.

Да­вайте еще раз пос­мотрим на целевую стро­ку:

Мы уже перенес­ли номер ревизии (PMAP) и серий­ник — циф­ровую часть в кон­це.

В разделе «Inquiry» очистите поле «Vendor» и введите USB DISK 2.0 в поле «Product». Мы изменили VID и PID, чтобы серийный номер (Device ID) также был идентичен оригиналу. В правом верхнем углу нажмите «Save», а в главном окне нажмите «Start». Флешка запускается.

Парамет­ры в Dyna Mass Storage Production Tool

В нашем случае глубокая перепрошивка занимает 35 минут. А при использовании SMI MPTool можно использовать более быстрый способ перепрошивки, когда CID-регистр (Card Identification; открывается через Debug register → Read CID \ Write CID) считывается с контроллера, необходимые данные туда записываются вручную, по аналогии с HEX-редактированием (но еще раз вам нужно установить байты контроля длины, не забудьте водить значения справа налево и так далее, что удобно). 

Флеш­ка в прог­рамме SMI MPTool

Шаг 5. После успешной прошивки все, что вам необходимо сделать, это проверить нашу фальшивку и узнать, насколько она хороша. Теперь посмотрим на детали с ChipGenius и выделим отличия от оригинального варианта:  

• Description: [H:]Запоми­нающее устрой­ство для USB(USB DISK 2.0)
• Device Type: Mass Storage Device
• Protocal Version: USB 2.00
• Current Speed: High Speed
• Max Current: 500mA (у ори­гина­ла — 200 mA, мож­но поменять через свой­ство USB Power — см. позап­рошлый скрин, но при заниже­нии силы тока устрой­ство может отка­зать­ся работать)
• USB Device ID: VID = 13FE PID = 4200
• Serial Number: 070867948D560839
• Device Vendor: SMI Corporation (у ори­гина­ла отсутс­тву­ет, меня­ется через панель USB → Vendor String)
• Device Name: USB DISK (у ори­гина­ла USB DISK 2.0, меня­ется через панель USB → Product String)
• Device Revision: 4200 (у ори­гина­ла 0100, дан­ный параметр не изме­няет­ся)
• Product Model: USB DISK 2.0
• Product Revision: PMAP
• …(осталь­ное по кон­трол­леру и так раз­лича­ется)…

А теперь сопоставим DeviceID флеш-карты оригинала, фейка до клона и фейка после прошивки.

Изме­нения на флеш­ке‑кло­не

От­крыв свой­ства обо­рудо­вания, про­веря­ем путь к экзем­пля­ру‑кло­ну:

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070867948D560839&0

Це­левой путь:

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070867948D560839&0

Те­перь встав­ляем фейк в тес­товую машину с вклю­чен­ным белым спис­ком для флеш­ки‑ори­гина­ла.

Под­клю­чение флеш­ки анти­виру­сом Comodo

Флешка открывается и работает. Пытаемся подключить оригинальную флешку вместе с фейковой — жаль, конфликт возникает, поэтому работает только первая вставленная флешка. Затем соединяйте их по одному.

Чтобы копия полностью соответствовала оригиналу, рекомендуем изменить остальные параметры, отформатировать подделку и присвоить ей оригинальную метку. И не забудьте изменить свой VSN — вы уже знаете, как это сделать.

Да­вайте про­верим фейк на надеж­ном анти­виру­се — нап­ример, Kaspersky Endpoint Security 10.

Ин­терфейс кон­тро­ля устрой­ств Kaspersky Endpoint Security 10

Смот­рим, что исполь­зует­ся в качес­тве иден­тифика­тора флеш­ки‑ори­гина­ла.

Иден­тифика­тор флеш­ки в Kaspersky Endpoint Security 10

Это путь к экзем­пля­ру устрой­ства, добав­ляем его в белый спи­сок, про­веря­ем на какой‑нибудь левой флеш­ке.

Бло­киров­ка в Kaspersky Endpoint Security 10

И вот тут-то мы и рассмеялись – флешка отобразилась в проводнике, проверяется антивирусом, но при попытке обратиться к ней получаем вот такое окно.

Отка­з дос­тупа к флеш­ке

Но флеш­ка‑фейк пред­ска­зуемо работа­ет без каких‑либо проб­лем.

Схо­жим обра­зом мы про­тес­тирова­ли ряд ком­мерчес­ких DLP-сис­тем, СЗИ под Linux и ниг­де не встре­тили ни отпо­ра, ни попыток вос­пре­пятс­тво­вать ата­ке кло­нов.

Часть 3.

Со­вер­шенно слу­чай­но ока­залось, что в зависи­мос­ти от СЗИ мож­но исполь­зовать и допол­нитель­ные методы обхо­да USB-бло­киро­вок.

Дискетко

Отформатировав флешку, вы можете превратить ее в классическую дискету для чтения / записи объемом всего 1,38 МБ. Хватит потихоньку перетащить игрушку на работу? Размещается по частям в несколько проходов. Вот как это сделать. Берем новую флешку и следуем известному алгоритму. На этот раз нам попалась флешка Transcend 8 Gb USB 3.0 с контроллером SMI SM3267AB (возьмем прошивальщик — SMI MPTool V2.5.51 v7 P0920v1). Итак, прошивальщик, окно настроек, вкладка Multi-Lun Settings.

Фор­матиро­вание флеш­ки как дис­кеты

Запускаем программу, устанавливаем галочки на Floppy и формотировании, прошиваем. 

Про­шив­ка флеш­ки в роль дис­кеты

Floppy-дис­ковод работа­ет.

Проверим на Касперском. USB по-прежнему заблокирован для любых флешек, кроме доверенных, но «дисковод» успешно подключен, можно читать-писать информацию. Доступа к флешке пока не предвидится.

В случае сравнения информации о Floppy в Касперском с информацией по USB, то разница заключается только в типе устройства (Дис­кеты и Съемные дис­ки).

Данный метод не работает при включении бло­киров­ки дискет.

CD-привод

Аналогичный подход, но теперь давайте попробуем создать раздел CD на USB-накопителе и предварительно записать образ из файла ISO. Обратная сторона очевидна — вы можете читать информацию только с раздела CD, вы не можете записывать файлы на USB-накопитель. Но запустить установщик любимой игры — не проблема. Берем такую ​​же флешку на контроллере SM3267AB и прошиваем раздел CD через SMI. В разделе Multi-Mon Settings установите флажок Static CDROM size и укажите размер вашего ISO, который мы будем загружать в него.

Про­шив­ка флеш­ки в роль CD-при­вода

На вкладке Main Stream Parameter рядом с флажком Make Auto Run укажите путь к ISO-образу, например, с Kali Linux — или чем-то еще. После мигания флешка будет отображаться в проводнике как отдельная флешка и дисковод для компакт-дисков. С раздела CD можно читать, копировать файлы — все как при классическом монтировании ISO-образа.

Что по этому поводу скажут наши блокираторы? В Kaspersky и других коммерческих решениях ситуация полностью аналогична случаю с дискетами: раздел CD успешно подключен и готов к работе.

Покупка мутантов

Кстати, есть уже готовые флешки, в которых есть CD-раздел с утилитами для подключения «закрытого» раздела — как, например, в Jet Flash Transcend 620. Это похоже на CD-раздел с программой + 2 USB-раздела — открытый и закрытый до ввода пароля. Размер приватной области настраивается.

Флеш­ка‑мутан­т

Ин­терфейс прог­раммы JetFlash SecureDrive

Итак, если белый список на USB-накопителях в Касперском работает (если CD-привод разблокирован), такая флешка монтирует себе раздел CD — вы можете запускать и копировать программы. Отказано в доступе при попытке смонтировать защищенный раздел. Чтобы избежать этой катастрофы, вы должны заблокировать привод компакт-дисков, даже если родительское устройство устройства содержит тот же старый добрый идентификатор USB, что странно. В Comodo полностью исключена возможность монтирования таких ненадежных носителей. Почему? Вопрос касается внедрения системы защиты информации и механизмов организации белых списков.

Вывод

В статье мы подробно разобрали способы сделать максимально правдоподобный клон флэшки, который сможет обходить любые блокировки. В зависимости от степени запутанности почти каждый белый список можно обойти. С нашей точки зрения, для гарантированной защиты от спуфинга USB можно было бы указать определенные модели флеш-накопителей в DSS и занести в белый список хэш из области CID, из комбинации VID + PID + serial или добавить ChipGenius выводит хеш (ну или его часть). Было бы неплохо добавить к идентификационной информации данные о модели контроллера устройства.

Поскольку нам известно несколько операционных систем, которые используют название производителя или другие аналогичные параметры в качестве значений для белого списка, было бы хорошо на уровне операционной системы проверить подключенные носители на предмет их замены или несоответствия с обычным (ожидаемым ) (например, вы можете сравнить VSN / UUID и обнаружить различия с одним и тем же DeviceID).

Безопасникам рекомендуется полностью заблокировать подключение гибких дисков и дисков в ОС, чтобы исключить описанные варианты обхода защиты.