Комментарии 114
Слишком дорогой способ распространения малвари. Ну или у злоумышленников случайно завалялся грузовик флешек.
Не дорогой, эти флешки в китайском интернет магазине стоят очень мало. Тем более для вируса много места не надо, и можно смело брать на 64-128 мегабайт. И если они тырят какие нить пароли из браузера, а флешки подкидывают людям со среднем достатком, то окупятся легко, даже если из 100 штук сработают только 3-4
Смотря какая выгода.
У китайцев можно спокойно прикупить ящик флешек за пару сотен баксов, большие объемы (места на флешке) там не нужны.
Даже «128 Гб по $0,3» покатит — фигня, что там какой-то копеечный чип с прошивкой с циклической перезаписью, записать малварь и пару фоточек-завлекалок хватит.
И если открывать exe-шники и архивы в почте народ уже более-менее приучен, воткнуть халявную флешку в ноут соблазн будет у многих.
Так что все возможно.
У китайцев можно спокойно прикупить ящик флешек за пару сотен баксов, большие объемы (места на флешке) там не нужны.
Даже «128 Гб по $0,3» покатит — фигня, что там какой-то копеечный чип с прошивкой с циклической перезаписью, записать малварь и пару фоточек-завлекалок хватит.
И если открывать exe-шники и архивы в почте народ уже более-менее приучен, воткнуть халявную флешку в ноут соблазн будет у многих.
Так что все возможно.
По факту — один из самых дешевых способов протащить малварь в закрытые учреждения. Собирается чуть-чуть рекламных флешек на выставке, прошивается что нужно, разбрасывается вокруг объекта. С вероятностью 99.9% хотябы одна флешка будет воткнута в компьютер внутри. Себестоимость — два человеко-дня. Об этом способе писали уже лет больше 10 назад. А сейчас вообще гигабайтные флешки прикольного дизайна с нанесением логотипа стоят от 0.8 доллара…
Раз кидают — значит выгодно.
Находил флешку в метро забытую на сидении. Брать не стал. Хотя очень хотелось.
НЛО прилетело и опубликовало эту надпись здесь
Находил несколько раз флешки. Приносил домой и подключал к старой машине для проверки содержимого, про существование USB киллеров тогда не знал. В двух случаях удавалось найти владельца по содержимому и вернуть.
Каким образом вирусы распространяются? Лежит exe-шник и ждет пока его запустят — или найден механизм автозапуска?
Никаким, сейчас во всех осях автозапуск отключен. Эти «исследователи» пишут же про открытие HTML файлика который фетчит определённый адрес, т.е. их исследования в целом довольно глупые.
Ну можно сделать fake keyboard — если флешка представит помимо диска еще и виртуальную клавиатуру, на которой наберутся нужные команды для запуска.
НЛО прилетело и опубликовало эту надпись здесь
Нашедший вставляет флешку, Windows ему выдаёт стандартное окошко «что хотите: ничего не делать/открыть в проводнике/запустить autorun.exe?». Те, кто выбирает третий пункт — попадаются.
Для Windows используется файл autorun.inf
Автозапуск? У них что, Windows XP?
Не хватает варианта «возьму и уничтожу».
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
легче просто снять корпус и глянуть внутренности. флешку от какого-нибудь другого устройства можно отличить на глаз
Следующая серия USB-киллеров, видимо, будет анализировать, подключены ли линии D+ и D- хоть куда-нибудь или просто висят в воздухе… :)
они на большинстве зарядок хорошо если полноценным контроллером не снабжены. для того чтоб вставленное в них устройство понимало что там больше полампера.
Ага, процедура аннигиляции будет следовать за USB энумерацией.
Прям читаете мои мысли. )))
Прям читаете мои мысли. )))
Следующая версия будет содержать немного пластида.)
И будут тогда подключать флешки роботы во взрывобезопасных ящиках!
Такое уже есть. У нас в Украине задержали группу преступников, которые за 50-100 $ изготавливали флешки/ручки/зажигалки начиненные взрывчаткой. Взрывчатки туда помещалось несколько грамм, но этого вполне достаточно чтобы нанести сильные увечия или убить в самом плохом случае. Клиентов находили через интернет.
Будущее — уже сегодня.) Ссылка есть на новость?
И чем они осуществляли подрыв? Электродетонатор — довольно объемная штука, сравнимая по размерам с как раз с ручкой.
И чем они осуществляли подрыв? Электродетонатор — довольно объемная штука, сравнимая по размерам с как раз с ручкой.
Попробую узнать детали у моего знакомого прокурора. От него собственно это и узнал. Думаю суд над ними уже прошел и детали можно оглашать. Хотя сомневаюсь что в новостях будет приведена полноценная электрическая схема с детонатором :)
Да чего там… очень тонкая нихромовая спираль со старого фена. Я с одного фена смотал немного нихромовой проволоки — диаметром где-то 0.1мм а может и того меньше. В качестве запала к петарде отлично подходила. Отлично работает от 3-х вольт. А в наше время, такие даже специальные были — запалы для ракетомоделизма размером со спичечную головку.
Это немного не то. Детонатор должен не поджигать или нагревать взрывчатку, а инициировать волну детонации. Так что просто кусок тола или пластида нихромовой проволочкой не взорвать.
Можно ли использовать как детонатор мелкую петарду — хз. А фабричный как раз размером с петарду среднего размера.
Можно ли использовать как детонатор мелкую петарду — хз. А фабричный как раз размером с петарду среднего размера.
А пертарда собственно взрывается не из-за детонации, взрыв и звук петарды основан на ограничении объёма. И чем прочнее корпус тем сильнее взрыв — само вещество в петарде горит достаточно медленно, но будучи заключенным в прочный корпус(пусть даже из бумаги) создаётся давление, и чем прочнее корпус тем выше поднимается давление прежде чем вырваться наружу, конечно если хватает реактивов чтобы создать это давление. Вот уже при разрушении корпуса собственно и возникает взрывная волна… К тому же, реакция получается с положительной обратной связью — при увеличении давления скорость растёт.
Детонатор по большому счёту нужен для бескорпусных устройств и там где нужно регламентированное время от поступления сигнала до взрыва.
Что-то мне подсказывает, для тех устройств просто использовали корпусной вариант, как у петарды.
Детонатор по большому счёту нужен для бескорпусных устройств и там где нужно регламентированное время от поступления сигнала до взрыва.
Что-то мне подсказывает, для тех устройств просто использовали корпусной вариант, как у петарды.
НЛО прилетело и опубликовало эту надпись здесь
Да всё правильно, если сильно перетянуть эффект сходит на нет — давление же должно разорвать оболочку резко, а если превышение небольшое то и оболочка будет разрываться медленно, и ударная волна станет слабее.
У них мощнее, очевидно, больше активного вещества ложат. Может, даже в смесь добавляют окислителя а не надеются на атмосферный кислород.
Вроде бы это логично — больше давление интенсивней идёт реакция, и эффект разогрева происходит за счёт сжатия.
У них мощнее, очевидно, больше активного вещества ложат. Может, даже в смесь добавляют окислителя а не надеются на атмосферный кислород.
Вроде бы это логично — больше давление интенсивней идёт реакция, и эффект разогрева происходит за счёт сжатия.
Вот что скинули
http://www.mk.mk.ua/rubric/crime/2016/06/27/30636/
http://www.mk.mk.ua/rubric/crime/2016/06/27/30636/
Когда учился в универе, регулярно находил чужие флешки. Просто постоянно. Почти все смог вернуть владельцам. Бывало и мне пару раз возвращали мою флешку, в корне который был ReadMe.txt и содержал мои контакты с просьбой вернуть утерянное. Такой файлик, кстати говоря, у меня не только на флешке — но также на телефоне и ноутбуке.
Любые не мои флешки включались и включаются в ПК только в относительно безопасной среде (любой подручный дистриб Линукса).
Любые не мои флешки включались и включаются в ПК только в относительно безопасной среде (любой подручный дистриб Линукса).
Мне в универе тоже пару раз попадались. Для меня единственным приемлемым шагом было отдать вахтёру и повесить на доску объявление о находке. Мысль вставить в свой комп даже не приходила в голову до этой статьи.
Большинство из них было оставлено вставленными в компьютер в аудитории, так что в свой реже приходилось вставлять. Как правило на флешках было лаба N группа курс ФИО или что-то в этом духе, а потому легко было найти владельца. Вахтер, у нас по крайней мере, как бюро находок не служил, корпусов было несколько, да и проще было передать в нужную группу через преподов/кафедру.
Проверить под Linux :-) Лучше с LiveCD и при физически отключённом харде. От Killer'ов не защитит, правда.
Злоумышленники полагаются на закон больших чисел, они прекрасно понимают, что среди ста человек, нашедших флешки, найдутся полтора гика, которые поступят именно так, и смиряются с этим. Им важнее оставшиеся 98,5 негиков.
«Флешку-убийцу» можно выявить разборкой, а при корпусе, неудобном для разборки, поможет знакомый, работающий в вестибюле метро «рентгенологом». При успешном выявлении она после минимальной переделки (непрерывный режим вместо импульсного) станет источником питания катодов никси-ламп, напряжение как раз подходящее.
«Флешку-убийцу» можно выявить разборкой, а при корпусе, неудобном для разборки, поможет знакомый, работающий в вестибюле метро «рентгенологом». При успешном выявлении она после минимальной переделки (непрерывный режим вместо импульсного) станет источником питания катодов никси-ламп, напряжение как раз подходящее.
Эх, нет сердца у ребят из видео ролика — гробить старые thinkpad'ы! Тёплые, ламповые, ещё IBM'овские…
Жду не дождусь, когда в Windows по умолчанию будет отключён автозапуск для всех носителей, а то задолбало его отключать постоянно.
А я предупреждал.
Яд и мимикрия — что ж очень по-австралийски
Узбекский вирус эволюционировал?
Подкиньте, мне, пожалуйста флешку с малварью. А то у меня Linux есть а флешки нет.
Кстати, к нам на работу однажды приходил представитель известной фирмы, дарил флешки на 8Гб выглядящие точно так же, только с логотипом фирмы. Логотип нанесён на железку лазерной гравировкой, причём в станок пихали криво. Так вот, у всех, кто ими пользовался, они файлы поганили, а после сдохли через 2-3 месяца.
Кстати, к нам на работу однажды приходил представитель известной фирмы, дарил флешки на 8Гб выглядящие точно так же, только с логотипом фирмы. Логотип нанесён на железку лазерной гравировкой, причём в станок пихали криво. Так вот, у всех, кто ими пользовался, они файлы поганили, а после сдохли через 2-3 месяца.
НЛО прилетело и опубликовало эту надпись здесь
EXIF не смотрели?
Надо было пройтись ещё утилитами для восстановления данных. Я на своей первой гигабайтной флешке такоооое нашёл этим способом! Нет, не порнуху… а всего лишь скан инструкции к какому-то прибору. Кстати, флешка досихпор работает, со светодиодом, алюминиевым корпусом и… заявленным МИЛЛИОНОМ циклов перезаписи. Кто знает, может скоро такие будут на вес золота. Медленная правда, всего 5мб/с на чтение и 2мб/с на запись.
Эх, жаль что Австралия далеко.
>Автозапуск
А его разве не отключили по умолчанию в винде?
>Автозапуск
А его разве не отключили по умолчанию в винде?
Такое ощущение, что про дорожное яблоко никто до этого не слышал.
Ну если с вредоносным ПО флешка еще понятно, а какой профит от распространения USB Killer'ов?
Хитрый коммерческий ход продавцов запчастей.
а в чем был профит от вирусов типа Чернобыля и прочих деструктоидов?
Я владелец фирмы ООО «Акволабеан», у меня есть конкурент в виде ООО «Пробухатьбабло». Конкурент мне не нравится, на заказ налоговой/киллера нету/жалко денег (ну да, я не работаю честными методами и только пилю бюджет). Бинго — делаем так, чтобы у конкурента сдохла техника перед налоговой проверкой!
Как-то тож нашел флешку, Имя было у нее, номер телефона, содержимое не стал проверять. Набрал по номеру отдал, флеху отдал хозяину, получил на пиво.
Можно ли под видом флешки сделать некое подобие USB-клавиатуры или другого устройства и под админскими правами и незаметно выполнить произвольный программный код? Чел просто вставляет найденное нечто, похожее на флешку, малварь бесшумно интегрируется, разочарованный чел выбрасывает флешку и даже не понимает, что произошло.
Разбрасывание флешек метод древнючий до безобразия. Я о нем читал лет около 10 назад в какой-то статье для безопасников. И на тот момент это была не новая технология. А сейчас с киллерами так вобще лучше перебдеть.
Форматнуть под линухом и можно юзать
Как можно спалить USB порт не спалив часть южного моста / USB контроллер?
И вообще, почему речь сначала о Type-C киллерах?
Есть и устройства, способные сжечь USB-порт
И вообще, почему речь сначала о Type-C киллерах?
НЛО прилетело и опубликовало эту надпись здесь
Малвари не боюсь — автозапуск выключен, сам что попало не запущу. А вот разобрать и проверить что внутри действительно флешка, а не какой-то убийца USB стоит пожалуй действительно не лишне. Так что можете считать что одного человека от сгоревшей материнки вы этой статьей уберегли.
Интересно, как вы будете проверять что там внутри нет эмулятора клавиатуры...
Если девайс определяется не как хаб с клавиатурой и флешкой — нормально :)
Если кому-то не лень сделать столь высокотехнологичную приманку, чтобы украсть мои данные — ему они наверно ОЧЕНЬ нужны. И он явно заплатил за них гораздо больше, чем оно того стоило. Пускай уж.
Потому что если цель не кража личных данных, а скажем распространение малвари — то даже с виртуальной клавиатурой и мышкой это будет заметно невооруженным глазом, а стало быть время жизни малвари будет исчисляться минутами, если не секундами после этого я вдавлю ресет и загружусь с ливсиди для чистки.
Потому что если цель не кража личных данных, а скажем распространение малвари — то даже с виртуальной клавиатурой и мышкой это будет заметно невооруженным глазом, а стало быть время жизни малвари будет исчисляться минутами, если не секундами после этого я вдавлю ресет и загружусь с ливсиди для чистки.
У виндовс десятки способов стартовать на исполнение мимо пользователя. Ещё с вин95 и каждая следущая версия только добавляла способы.
Достаточно зайти проводником или другим менеджером использующим стандартные функции проводника виндовс.
На этом фоне выгодно отличается Фар, он использует свои методы доступа.
Достаточно зайти проводником или другим менеджером использующим стандартные функции проводника виндовс.
На этом фоне выгодно отличается Фар, он использует свои методы доступа.
Спасибо за статью. Даже не знал про USB-киллеры. А вообще был у меня один случай в жизни — нашел флешку. Посмотрел содержимое — выяснилось, что какой-то старшеклассник. Нашел его каким-то образом через фейсбук по косвенным признакам. Написал ему — он мне не ответил. Флешка так и лежала нетронутая целый год. А потом он мне написал, мол, моё сообщение упало в папку «остальные» и он не видел. Попросил вернуть флешку («если она еще осталась у меня»). Я, конечно, вернул ему её со всем содержимым. А он мне в ответ еще и 100 крон дал (я в Чехии). Такая вот история.
Вечная история. Вспомнил эпизод из «Энциклопедии профессора Фортрана»
Не умеете вы делать USB killers. Платы какие то, конденсаторы… Детский лепет. Учитесь у старшего поколения: Разбирается лампочка накаливания для фонарика. аккуратно изымается нить. из флешки выламывается и выбрасывается плата. Нить лампочки припаивается на контакты питания USB. Остальное пространство засыпается начинкой от петард.
Если без шуток, у нас в ВУЗе кто-то такое разбрасывал. Я, правда, ни одной не нашёл.
Если без шуток, у нас в ВУЗе кто-то такое разбрасывал. Я, правда, ни одной не нашёл.
Ух ты! *пошёл проверять почтовый ящик* Как раз есть старый ноут с линуксом для проверки.
Дискеты с мелкой шкуркой доросли до флешек с конденсатором. Интересно, каким будет следующее поколение убиваторов?
Раньше выпускали, а может, и до сих пор выпускают SD-карты с WiFi и миниатюрным подобием Raspberry Pi. Довольно дорогие. Такую карту владелец настраивает, чтобы она автоматически пересылала ему по WiFi снимки, сделанные фотоаппаратом. В принципе, злоумышленник мог перекогфигурировать такую карту так, чтобы снимки она пересылала уже ему, прилепить наклейку от обычной SD-карты, и кому-нибудь подбросить. Тот, ничего не подозревая, установит карту в свой фотоаппарат и будет пользоваться и радоваться, а карта будет цепляться ко всем незапароленным WiFi-сетям и слать снимки злоумышленнику.
Но теперь этот сценарий не пройдёт. Ладно, какой-нибудь лёгкий браузер микрокомпьютер карты потянет, но ИИ, пользующийся этим бразером — нет. И главное, в SD-карту никак не встроить GSM-модем, принимающий SMS.
Так что по крайней мере SD-карты можно подбирать спокойно. Генератор высокого напряжения или петарда туда точно не поместится, эмуляция HID не предусмотрена, указанный выше сценарий со сливом данных по WiFi более невозможен, так что единственная опасность — малварь, а от неё очистить карту, не подвергнув компьютер опасности, сможет любой гик. Особенно безопасно подбирать карты Micro SD, куда уж точно никакое опасное железо не влезет.
Ну а следующее поколение — может быть, придумают какие-нибудь сменные носители, работающие по принципу NFC, но с большими скоростями. И что там будут с ними вытворять злоумышленники, и как от этого защититься — покажет время.
Но теперь этот сценарий не пройдёт. Ладно, какой-нибудь лёгкий браузер микрокомпьютер карты потянет, но ИИ, пользующийся этим бразером — нет. И главное, в SD-карту никак не встроить GSM-модем, принимающий SMS.
Так что по крайней мере SD-карты можно подбирать спокойно. Генератор высокого напряжения или петарда туда точно не поместится, эмуляция HID не предусмотрена, указанный выше сценарий со сливом данных по WiFi более невозможен, так что единственная опасность — малварь, а от неё очистить карту, не подвергнув компьютер опасности, сможет любой гик. Особенно безопасно подбирать карты Micro SD, куда уж точно никакое опасное железо не влезет.
Ну а следующее поколение — может быть, придумают какие-нибудь сменные носители, работающие по принципу NFC, но с большими скоростями. И что там будут с ними вытворять злоумышленники, и как от этого защититься — покажет время.
НЛО прилетело и опубликовало эту надпись здесь
Что подумал. Допустим, подключаться к запароленным точкам карта не сможет, потому что злоумышленник не знает от них пароли, а к незапароленным — потому что там сплошь авторизация. Но лазейка для злоумышленника остаётся: он может разместить собственную точку там, где подобравший часто прогуливается, а пароль от неё прописать в карту заранее.
Но недостаточно просто разместить там точку, нужно ещё как-то убедить подобравшего включить в этом месте фотоаппарат, иначе на карту не поступит питание. Как убедить? Очевидно, разместить в этом месте то, что подобравший любит фотографировать, а для этого нужно знать его фотографические вкусы. Да и их знать недостаточно, надо ещё и взять где-то объект для размещения, а вдруг подобравший предпочитает фотографировать что-то встречающееся далеко не на каждом шагу, например (утрированно), мини-пигов, выкрашенных в зелёную полоску? Специально покупать, красить и привязывать?
И потом, наклейку на SD-карте недостаточно просто переклеить, чтобы не было понятно, что она с WiFi. Нужно переклеить ещё и аккуратно.
Ну а что там с Micro SD, они-то хоть безопасны? Их-то с WiFi не бывает, или я от жизни отстал?
Но недостаточно просто разместить там точку, нужно ещё как-то убедить подобравшего включить в этом месте фотоаппарат, иначе на карту не поступит питание. Как убедить? Очевидно, разместить в этом месте то, что подобравший любит фотографировать, а для этого нужно знать его фотографические вкусы. Да и их знать недостаточно, надо ещё и взять где-то объект для размещения, а вдруг подобравший предпочитает фотографировать что-то встречающееся далеко не на каждом шагу, например (утрированно), мини-пигов, выкрашенных в зелёную полоску? Специально покупать, красить и привязывать?
И потом, наклейку на SD-карте недостаточно просто переклеить, чтобы не было понятно, что она с WiFi. Нужно переклеить ещё и аккуратно.
Ну а что там с Micro SD, они-то хоть безопасны? Их-то с WiFi не бывает, или я от жизни отстал?
Ну а для подобравшего способ защиты такой возможен: нанести на SD-карту слой радионепрозрачной краски, оставив некорашенными только контактные площадки.
НЛО прилетело и опубликовало эту надпись здесь
Я имею в виду: SD-карты со встроенным подобием Raspberry Pi выпускают серийно, а Micro SD — наверное, нет, и её злоумышленникам придётся разрабатывать с нуля и изготавливать в единственном экземпляре.
Только эти фантазии всё больше напоминают рассказ о хакере и солонках. Иногда SD-карта — это просто SD-карта.
Только эти фантазии всё больше напоминают рассказ о хакере и солонках. Иногда SD-карта — это просто SD-карта.
И раз уж речь пошла о мелкой шкурке: злоумышленники могут распространять под видом флешек пустышки (просто куски пластмассы) с разъёмами преднамеренно изменённой формы, которые физически портят (механически распирают) USB-гнёзда, стирают той же мелкой шкуркой покрытие на контактах, или, наоборот, покрывают контакты тонким слоем диэлектрического клея, который затем переносится и на вставляемые в гнездо настоящие флешки, и так далее.
А одно время «Даджет», который тогда ещё не был отдельным «Даджетом», а был подразделением «Мастер Кита», продавал ионизаторы воздуха в форм-факторе флешки. Насколько опасным такой прибор был и для самого компьютера, и для расположенных рядом электронных железок, понятно. Ионизаторы обычно стремятся разместить подальше от электроники, а тут… И это покупали, и не кому-то, а себе.
Какие ещё возможны варианты? Самая настоящая, полностью функциональная флешка, даже с честным объёмом, даже без малвари, но с вибромотором, включаемым на пару секунд каждую минуту. В шумном помещении пользователь даже не заметит, как как девайс постепенно разбалтывает USB-гнездо его компьютера.
Или громкая ультразвуковая пищалка — пользователь будет долго думать, что случилось с живущими в его доме кошками и собаками, и ни за что не свяжет происходящее с найденной когда-то на улице безупречно работающей флешкой безо всяких петард, высоковольтных генераторов и малвари.
Какие ещё возможны варианты? Самая настоящая, полностью функциональная флешка, даже с честным объёмом, даже без малвари, но с вибромотором, включаемым на пару секунд каждую минуту. В шумном помещении пользователь даже не заметит, как как девайс постепенно разбалтывает USB-гнездо его компьютера.
Или громкая ультразвуковая пищалка — пользователь будет долго думать, что случилось с живущими в его доме кошками и собаками, и ни за что не свяжет происходящее с найденной когда-то на улице безупречно работающей флешкой безо всяких петард, высоковольтных генераторов и малвари.
зачем такие сложности? достаточно в «нормальную» флэшку вложить кусочек урана-238 или другого радиоактивного изотопа… будете пользоваться и не подозревать, что сами уже «светитесь» :)
Мой вариант, его не было в списке: Без проблем воткну в свой китайский USB хаб. Если определится — проведу быстрое форматирование, программкой позаписываю файлики для определения правильного размера раздела (а то может быть размер 16Gb а физически микросхем на 4Gb (если что, можно попробовать это поправить)) и буду использовать.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В Австралии распространяют зловредное ПО, подбрасывая флешки в почтовые ящики