VietNetwork.Vn

Một loạt các cuộc tấn công mạng dựa trên USB gần đây đã tấn công các tổ chức ở Mỹ. Thiết bị USB độc hại được đăng cho các nạn nhân được chọn. Ngay sau khi chúng được cắm vào, thiệt hại được thực hiện.

1. Các mối đe dọa do ổ USB đặt ra

Ổ USB rất tiện lợi, giá cả phải chăng và phổ biến. Sự thuận tiện đó đi kèm với chi phí an ninh. Ổ USB di động, có thể che giấu và có thể được sử dụng để lọc thông tin nhạy cảm từ các máy tính và mạng của công ty. Vì lý do đó, nhiều tổ chức cấm ổ USB ở nơi làm việc và sử dụng các công cụ phần mềm để vô hiệu hóa quyền truy cập USB. Các biện pháp như vậy không phải là chuẩn mực. Thông thường, chúng chỉ được triển khai trong các tổ chức lớn hơn. Ở những nơi khác, ổ USB được sử dụng miễn phí.


Việc đánh cắp dữ liệu chỉ là một trong những mối đe dọa. Ổ USB có thể bị thất lạc và bị mất, làm lộ thông tin riêng tư và nhạy cảm. Ổ USB thường được sử dụng để vận chuyển tệp và di chuyển chúng giữa các máy tính. Nếu ổ đĩa được cắm vào máy tính bị nhiễm phần mềm độc hại thì ổ USB đó đã bị nhiễm phần mềm độc hại. Sau đó, nó trở thành một cơ chế vận chuyển phần mềm độc hại. Ổ USB có khả năng được cắm vào các máy tính gia đình cũng như máy tính của công ty được bảo vệ kém, làm tăng nguy cơ lây nhiễm.

Cũng như việc vô tình nhiễm phần mềm độc hại, ổ USB có thể bị dính phần mềm độc hại và bị bỏ lại làm mồi nhử. Cách dễ nhất để làm điều đó là ngụy trang một chương trình độc hại để nó trông giống như một tệp PDF hoặc tệp tài liệu và hy vọng nạn nhân cố gắng mở nó. Những người khác tinh tế hơn nhiều.

Vào tháng 1 năm 2022, FBI đã đưa ra một tuyên bố liên quan đến một làn sóng tấn công mạng dựa trên ổ USB mới, được gọi là BadUSB. Ổ USB đã được gửi cho nhân viên tại các tổ chức giao thông vận tải, quốc phòng và tài chính.

Các ổ USB được kèm theo những bức thư thuyết phục. Một số người có ý định đến từ Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ và đã nói về hướng dẫn COVID-19. Những người khác bắt chước hộp quà tặng của Amazon và thậm chí bao gồm một thẻ quà tặng giả mạo. Các ổ USB đã được sửa đổi để chúng tấn công máy tính của mục tiêu ngay khi chúng được cắm vào.

2. Mồi và Chờ

Để ổ USB trong bãi đỗ xe của nhân viên và các khu vực dễ tiếp cận khác của doanh nghiệp là một cách đơn giản để đưa ổ USB độc hại vào tay nhân viên. Các thủ thuật kỹ thuật xã hội đơn giản làm tăng khả năng ai đó đưa nó trở lại nơi làm việc của họ và đưa nó vào máy tính của họ.

Ổ đĩa USB được cài đặt trước bữa ăn trưa. Bằng cách đó, các nhân viên tìm thấy họ vào giờ ăn trưa. Họ sẽ trở lại bàn làm việc vào buổi chiều. Nếu ổ USB bị rơi sau bữa trưa, nhân viên có thể sẽ tìm thấy chúng vào cuối ngày làm việc và mang nó về nhà.

Việc gắn nhiều chìa khóa vào ổ USB sẽ thay đổi phát hiện của họ từ "Tôi đã tìm thấy ổ USB" thành "Tôi đã tìm thấy chìa khóa của ai đó". Điều đó gây ra một loạt các phản ứng khác nhau. Mọi người đều có thể liên quan đến sự rắc rối của việc mất một loạt các chìa khóa. Trong nỗ lực cố gắng làm điều đúng đắn và xác định được chủ sở hữu, người tìm thấy chúng rất có thể sẽ kiểm tra ổ USB để tìm manh mối.

Nếu họ nhìn thấy một tài liệu có tiêu đề hấp dẫn, chẳng hạn như "Kế hoạch dự phòng" hoặc "Quản lý mua ra", họ có thể sẽ cố gắng mở nó ra. Nếu tài liệu thực sự là một chương trình độc hại hoặc đang mang một trọng tải độc hại, thì máy tính — và do đó là mạng — sẽ bị nhiễm.

Đào tạo nâng cao nhận thức về an ninh mạng cho nhân viên phải giải thích sự nguy hiểm của việc cắm các ổ USB không xác định. Khi tôi tham gia đào tạo nâng cao nhận thức cho nhân viên, vài tuần sau, tôi theo dõi các cuộc tấn công mô phỏng lành tính. Điều này đo lường mức độ nhạy cảm của nhân viên. Nó cho phép lặp lại các mô-đun đào tạo nếu một cuộc tấn công cụ thể tìm thấy số lượng nạn nhân không tương xứng và nó cho phép các cá nhân hoạt động kém được xác định và đào tạo lại.

Các lần giảm USB hầu như luôn thành công. Ngay cả khi các nhân viên xác định chính xác các email lừa đảo và các kiểu tấn công khác, ai đó vẫn bị thu hút bởi ổ USB. Có điều gì đó về bản chất của ổ USB — có lẽ vì nó hoàn toàn trơ trừ khi được cắm vào — điều này khiến một số người không thể cưỡng lại việc cắm chúng vào. Ít nhất là cho đến khi họ bị lấy ra lần đầu tiên.

Cách tiếp cận "một lần cắn, hai lần xấu hổ" là OK trong bối cảnh của một chiến dịch thử nghiệm lành tính, nhưng với một mối đe dọa thực sự? Bạn đã bị nhiễm.

3. Bước lên một quả mìn

Các cuộc tấn công tinh vi hơn sử dụng USB có thể lây nhiễm vào máy tính mà người dùng không cố gắng chạy chương trình hoặc mở tệp. Các USB độc hại đã được tạo — và được tìm thấy tại hiện trường — đã khai thác lỗ hổng trong cách Windows phân tích cú pháp siêu dữ liệu trong các phím tắt của Windows. Điều này đã được khai thác để một ứng dụng Bảng điều khiển không có thật được thực thi. Ứng dụng Control Panel không có thật là phần mềm độc hại.

Tất cả những gì cần thiết là người dùng phải cắm ổ USB và xem danh sách các tệp trên thiết bị. Các phím tắt trên ổ USB khiến ứng dụng Bảng điều khiển độc hại được khởi chạy. Ứng dụng độc hại cũng có trong ổ USB.

Các thiết bị BadUSB đã được sửa đổi để  yêu cầu ít  tương tác hơn. Tất cả những gì được yêu cầu là nạn nhân phải cắm ổ USB.

Khi chúng được cắm vào, các thiết bị USB sẽ tiến hành một cuộc trò chuyện với hệ điều hành. Thiết bị tự nhận dạng bằng cách cho hệ điều hành biết sản phẩm, kiểu máy và loại thiết bị. Tùy thuộc vào loại thiết bị, hệ điều hành có thể thẩm vấn thiết bị USB để biết thêm thông tin về bản thân và khả năng của nó. Các thiết bị BadUSB được sửa đổi — chương trình cơ sở của nhà sản xuất bị các tác nhân đe dọa ghi đè bằng chương trình cơ sở tùy chỉnh — vì vậy chúng tự nhận mình là bàn phím USB.

Ngay sau khi thiết bị được đăng ký với Windows làm bàn phím, nó sẽ gửi một luồng ký tự đến hệ điều hành. Windows chấp nhận những thứ này làm đầu vào đã nhập và hoạt động dựa trên chúng. Các lệnh mở cửa sổ PowerShell và tải xuống phần mềm độc hại. Người dùng không cần gì nhiều hơn là cắm ổ USB.

USB độc hại được gọi là USB Killers đã được nhiều người biết đến, nhưng đây là những thiết bị thô sơ làm hỏng máy tính mà chúng được cắm vào. Một lượng nhỏ điện năng được gửi đến các thiết bị USB được tích lũy và phóng đại bên trong thiết bị diệt USB và được giải phóng khi bùng phát nhanh chóng lên đến 200V trở lại máy tính thông qua cổng USB. Các thiệt hại vật lý này gây ra làm cho máy tính không hoạt động. Những kẻ giết người USB không đạt được bất cứ điều gì ngoài sự phá hoại, tệ như vậy. Chúng không phát tán phần mềm độc hại hoặc lây nhiễm vào máy tính hoặc mạng theo bất kỳ cách nào.

Bằng cách giả dạng bàn phím, các thiết bị BadUSB có thể tải xuống và cài đặt bất kỳ loại phần mềm độc hại nào, trong đó phổ biến nhất là lấy thông tin xác thực và ransomware. Các cuộc tấn công BadUSB là một dạng kỹ thuật xã hội. Kỹ thuật xã hội cố gắng thao túng nạn nhân thực hiện một số hành động có lợi cho các tác nhân đe dọa. Thư xin việc thuyết phục và các bẫy khác kết hợp để tăng thêm tính xác thực cho danh tính của người gửi.

4. Các bước bạn có thể thực hiện

Như với tất cả các cuộc tấn công kỹ thuật xã hội, cách phòng thủ tốt nhất là giáo dục, nhưng bạn cũng có thể thực hiện các bước khác.

• Việc đào tạo nâng cao nhận thức của nhân viên — được hỗ trợ bằng thử nghiệm tính nhạy cảm — sẽ giúp ngăn chặn hiệu quả kiểu tấn công này. Điều này nên được lặp lại ít nhất hàng năm.
• Nếu ổ USB không cần tạo thành một phần của quy trình công việc, hãy xem xét việc tắt quyền truy cập USB. Sử dụng lưu trữ tệp đám mây hoặc các phương tiện khác để chuyển tệp quá lớn sang email và cần được truy cập ở các vị trí khác nhau.
• Tắt tự động chạy cho thiết bị USB.
• Đảm bảo phần mềm bảo vệ điểm cuối quét ổ USB khi lắp vào.
• Có thể sử dụng máy tính "khử nhiễm" không khí để quét và kiểm tra bất kỳ thanh USB nào nếu chúng phải được mang vào cơ sở của bạn.