- изменить DNS сервера (т.е. следить за интернет активностью пользователя);
- отправить информацию о системе/содержимое заданного файла на сайт с помощью скрытого окна InternetExplorer;
Но можно осуществить и намного более хитрые атаки, если подключить к работе vbs и powershell. Открыв во фреймворке Kautilya папку lib/src, можно найти много интересных нагрузок для teensy:
Этот сценарий отработает мгновенно, и кроме мелькнувшего окна cmd пользователь ничего не заметит.
net user r00t t00r /add net localgroupАдминистраторы r00t /add
Самый просто сценарий - добавить пользователя с правами локального администратора в систему:
Теперь рассмотрим возможные сценарии, которые можно реализовать с помощью Teensy.
5. Если первым делом вбить команду "cmd /Q /D /T:7F /F:OFF /V:OFF /K" и "@echo off && mode con:COLS=15 LINES=1 && title . &&cls", то окно cmd будет выглядеть так (справа стандартное, слева - с твиком), что также серьезно скажется на маскировке.
4. Много интересного материала по использованию Teensy есть в , который является автором фреймворка для teensy Kautilya;
3. Для маскировки устройства следует поменять VENDOR_ID и PRODUCT_ID. Для этого нужно открыть файл \arduino-1.0.1-windows\arduino-1.0.1\hardware\teensy\cores\usb_hid\usb_private.h и поменять соответствующие параметры на параметры флешки Kingstone, к примеру. Кроме того, пролистываем файл и меняем параметр STR_PRODUCT с "Teensy" на "KingstoneDataTraveler 2Gb". Теперь наш Teensy станет очень похож на USB флеш-память от Kingstone;
2. Существуют готовые аналоги с памятью и в подходящем корпусе - например, ;
1. Teensy стоит 16 долларов (с доставкой до Краснодара - 23$). Покупать Teensy стоит сразу с адаптером карты памяти. В таком случае "флешка" будет эмулировать сразу два устройства одновременно - клавиатуру и съёмный диск, что в разы увеличит маскировку;
Прочитать подробно и по шагам про настройку Teensy можно в соответствующей . От себя я могу добавить несколько рекомендаций по работе контроллером:
В общих чертах атака выглядит так: пользователь вставляет флешку, чтобы скинуть с нее документы или фотографии. После установки драйверов флешка эмулирует с большой скоростью нажатие клавиш Win+R (открыть командную строку с привилегией администратора), вбивает команду "cmd", нажимает Enter и начинает вбивать команды, потом закрывает консоль, эмулируя нажатие Alt+F4. Если команды небольшие - то процесс занимает доли секунды. Весьма вероятно, что пользователь даже не заметит мелькнувшего окна cmd.
Устройства ввода в операционной системе считаются абсолютно доверенными и слишком простыми для хакерской атаки. Поэтому и появился такой оригинальный вектор компьютерных атак, как использование HID эмуляторов.
Когда вы подключаете новую клавиатуру к своему компьютеру, Windows не спрашивает у вас пинкод, не проверяет цифровой сертификат производителя, не просит повысить привилегии до администраторских, даже не пытается уведомить пользователя о подключении нового устройства ввода никак, кроме небольшого стандартного значка установки новых драйверов в панели задач.
При подключении к компьютеру Teensy может эмулировать нажатие клавиш клавиатуры и выполнять произвольные команды в операционной системе от имени пользователя.
Очень интересным устройством двойного назначения является Teensy! Teensy - это готовая плата с программируемым микроконтроллером + miniUSB интерфейс для взаимодействия с компьютером. Параллельно с тысячами всевозможных легальных способов применения Teensy существуют и несколько любопытных с точки зрения обеспечения информационной безопасности.
Не все флешки одинаково полезны, или Боевые HID-эмуляторы
Не все флешки одинаково полезны, или Боевые HID-эмуляторы | Статьи | РосИнтеграция
Комментариев нет:
Отправить комментарий