Инсайд – пожалуй, самое ущербное явление в корпоративной среде. Как в прямом, так и переносном смысле. Грамотно продуманная техническая сторона защиты периметра корпоративной инфраструктуры еще не гарантирует полной безопасности циркулирующей в ней информации. В данном случае работает всем известный принцип: защищенность системы в целом определяется степенью защищенности ее самого слабого звена. Самым слабым звеном является человеческий фактор. Персонал, через который проходит определенный объем информации, может ее «выносить» за пределы защитного периметра.

Человек, сам того не осознавая, может оказаться инсайдером. Например, в результате социального инженеринга или по-русски говоря: развода.

Нам такие личности не интересны, благо с ними в большинстве случаев справляется внутренний устав компании, регламентирующий порядок работы с информацией каждого служащего. Гораздо опаснее инсайдеры, специально подготовленные и имеющие определенную цель.

Что и говорить про обычных пользователей, которые каждый день рискуют попасть (и попадают) под колпак троянов. Причем тут инсайд? При том, что каждый может использовать оружие «засланного казачка» в своих целях, а в пользовательской среде сделать это гораздо эффективнее, нежели в корпоративной.

Для начала, рекомендую ознакомиться со статьей Андрея Комарова «Глазами инсайдера», в которой автор классифицирует основные технические инструменты промышленных «шпионов» и рассматривает условия, при которых можно благополучно «слить» нужную информацию.

Политика разрешения на подключение USB-устройств может сыграть на руку злоумышленнику. Если даже во многих организациях не задумываются над этими вопросами, то что твориться у обычных пользователей… Любой flash-накопитель, плеер и т.п. usb-девайс, имея в наличии специальное ПО, может собрать необходимую информацию с целевого ПК так, что у администратора не появится подозрений.

Созданием такого программного обеспечения для usb-девайсов мы и займемся. Естественно в интересах эксперимента. Неадекваты, воспринимающие материал как руководство к действию, идут косить изюм.


Определяем характеристики оружия.

Любой usb-flash накопитель имеет контроллер – микросхему, которая выполняет роль шлюза между микросхемой памяти и интерфейсом USB компьютера.

Определить тип контроллера, не разламывая корпус флешки, поможет утилита ChipGenius (http://flashboot.ru/index.php?name=Files&op=view_file&lid=131).

Из списка USB-контроллеров выбираем нашу флешку и в области «The details of selected device:» смотрим подробную информацию. Нам необходимо поле «Chip Vendor», которое содержит название производителя микросхемы; поле «Chip Part-Number» показывает версию прошивки. Этой информации достаточно для перепрошивки девайса.

В моем случае (Kingston DataTraveler 4GB):

Chip Vendor: phison
Chip Part-Number: UP8~UP10.



Модернизируем спусковой механизм.

Некоторое время назад на прилавках магазинов можно было наблюдать USB-flash память, поддерживающую технологию U3. Ничего принципиально нового такие флешки не содержали, за исключением специального ПО, которое позволяло запускать программное обеспечение, содержащееся в памяти накопителя в режиме автозагрузки.

Главная особенность - специальный раздел (по типу CD-ROM), который был доступен только для чтения и который, собственно, содержал портируемые (portable) версии программ.

В настоящее время эти девайсы на прилавках отсутствуют, т. к. содержали специфичную «багу», которая позволяла перезаписать автозагружаемую область и запускать любое ПО или .bat-файл. В ряде случаев это может привести к плачевным последствиям и поставить крест на конфиденциальной информации.

Условие текущей задачи: на входе – обычная usb-flash; на выходе – usb-flash с поддержкой U3.

Идем на сайт flashboot.ru и находим нужный пак для нашего контроллера. Производитель: Phison. А вот с версией пришлось поэкспериментировать, потому что прошивка содержит свои особенности для уникального девайса.

Требуется создание на флешке специального CD-ROM раздела, чтобы она стала поддерживать U3 или (по научному) работать в 21 режиме (Mode 21).

Запускаем находящуюся в паке перепрошивки утилиту ParamEdt-F1-v1.0.20.2.exe и сразу открываем вкладку «F1-1» и устанавливаем все, как на скриншоте (см. полную версию статьи: http://www.defec.ru/node/10)

Напомню, что нам нужен Mode 21.

Переходим к вкладке «F1-2» и в поле CD-ROM выбираем образ CD, который будет автозагрузочным. Это может быть любая LiveCD или PE-версия Windows. Однако отметьте для себя, что в будущем мы будем использовать специально подготовленный .iso-образ, созданием которого займемся в следующем разделе. Далее переходим к вкладке «Controller», где в области IC Type (Тип контроллера) выбираем пункт Previous vision (Возможно старый), а в области Used MP Tools выбираем пункт Last Version. Сохраняем все настройки в файл boot.ini, нажав на кнопку «Save As».

Запускаем F1_90_v196_00.exe и выбираем созданный boot.ini. Нажимаем «Start» и наблюдаем за процессом тестирования и записи образа. Процесс закончится, когда окно будет окрашено в зеленый цвет (светодиод накопителя при этом будет мерцать).

В результате всех манипуляций мы получаем флешку с двумя разделами: CD-ROM и накопитель стандартного типа.


Заряжаем.

Дальнейший материал основан на статье и разработках Вадима Даньшина (yurik_yurok@mail.ru), которые он привел в июньском (126) номере ][ («Троян в мозгах Flash»).

Вкратце скажу, что от Kingston выпущен патч для U3-флешек, который представляет собой незащищенный RAR-архив, что позволяет изменять его содержимое по своему желанию. Именно это и сделал Вадим Даньшин, модифицировав файл автозапуска защищенного диска таким образом, что он направлял выполнение кода сначала на специальный обработчик, а уже затем на файлы LaunchU3-обработчика.

Результатом его исследований стала подборка файлов, которая должна присутствовать на защищенном разделе флешки. Скачать архив, содержащий эти файлы можно здесь: www.defec.ru/sites/default/files/System.rar.

Прежде, чем записать эти файлы (используя методы, описанные в предыдущем разделе) в защищенную часть, перекинем их в .iso –образ. Как это сделать, я думаю, рассказывать не имеет смысла.

Перейдем к содержимому рабочей части – именно ей (а точнее скриптам) передается управление с защищенного хранилища. Основу рабочей области можно найти в архиве.

Я немного облегчил систему, убрав ненужный функционал (например, воспроизведение музыки) и удалив не имеющие отношение к системе файлы. Содержимое рабочей части каждый может «заточить» под свои нужды (естественно, не забываем про копирайты), благо в данном случае не придется при любом изменении перепрошивать девайс.


Выстрел!

Нет сомнений, что эта система работает и делает то, что, собственно, и требовалось доказать. Кому-то она покажется новым видом троянской лошади, а для кого-то станет рабочей лошадкой.

Важно другое: пока администраторы не оставят свою наивность - данные как сливали, так и будут сливать. А этот концепт – всего лишь решение данной теоремы.

Исходные коды рассмотренной системы

(с) c0n Difesa (defec.ru)