Saldırı vektörü olarak silaha dönüştürülmüş USB cihazları

Nisan 25, 2019

Bentley Systems’tan Luca Bongiorni #TheSAS1019’daki konuşmasında USB cihazlarının, endüstriyel kontrol systemleri için kötü niyetli yazılımların ana kaynağı olduğunu söyledi. Herhangi bir şekilde güvenlikle uğraşan çoğu insan, flash belleklerin otoparklarda “yanlışlıkla” yere düşürüldüğüyle ilgili klasik hikâyeleri duymuştur – bu tekrar tekrar anlatılmayacak kadar açıklayıcı olan bilindik bir güvenlik hikâyesidir.

USB flash belleklerle ilgili diğer bir – gerçek – hikâyede endüstriyel bir tesiste çalışan ve La La Land’i izlemek için öğle arasında filmi flash belleğe indiren bir personelden bahsedilir. Nükleer bir santraldeki hava boşluklu (air-gapped) bir sisteme nasıl virüs bulaştığının hikâyesi işte böyle başlar – bu kesinlikle önlenebilir olan kritik altyapı virüsüne dair çok bilindik bir hikâyedir.

Ancak insanlar USB cihazlarının flash belleklerle sınırlı olmadığını unutmaya eğilimliler. İnsan arayüz cihazlarından (HID’ler) klavye ve fare, akıllı telefonlar için şarj kabloları, hatta plazma küreleri ve termal muglar gibi şeyler bile endüstriyel kontrol sistemlerini hedef almak için kurcalanabilir.

USB silahlarının kısa bir geçmişi

İnsanların unutkanlığına rağmen, silaha dönüştürülmüş USB cihazları yeni bir haber değil. Bu türden ilk cihazların yazılımı 2010’da yapıldı. Teensy adında programlanabilir küçük bir karta dayalı ve USB-konektörleriyle donanmış bu cihazlar, HID’ler gibi davranabiliyor, örneğin, bir bilgisayara tuş vuruşları gönderebiliyorlardı. Hacker’lar, cihazların sızma testi için kullanılabileceğini hemen fark ettiler ve yeni kullanıcılar oluşturmak, arka kapıları ekleyen programlar çalıştırmak ve kopyalama veya belirli bir internet sitesinden indirme yoluyla kötü amaçlı yazılımlar eklemek için programlanmış bir sürüm geliştirdiler.

Bu Teensy modifikasyonunun ilk sürümüne PHUKD denildi. Onu daha yaygın Arduino kartlarıyla uyumlu olan Kautilya takip etti. Ardından Rubberducky geldi – Mr. Robot sayesinde muhtemelen en çok bilinen tuş vuruşu emülasyon USB aracıdır ve sıradan bir USB flash sürücü gibi görünmektedir. Bash Bunny adındaki daha güçlü bir cihaz ATM’lere yapılan saldırılarda kullanıldı.

PHUKD’yi geliştiren kişi hemen yeni bir fikir buldu ve içinde bir sızma testi kartı olan Truva Atı’na dönüştürülmüş bir fare yarattı, böylece normal bir fare gibi çalışmaya ek olarak, PHUKD’nin yapabileceği her şeyi yapabilmektedir. Toplum mühendisliği açısından bakıldığında, sistemlere sızmak için gerçek HID’leri kullanmak aynı amaç için USB bellekleri kullanmaktan daha kolay olabilir çünkü yabancı bir USB flash sürücüyü bilgisayarlarına takmamaları gerektiğini bilen kişiler bile genellikle klavyeler ve fareler için endişelenmezler.

Silaha dönüştürülmüş USB cihazlarının ikinci nesli 2014-2015 arasında yaratıldı ve kötü şöhretli BadUSB tabanlı cihazları da içeriyordu. ABD Ulusal Güvenlik Ajansı (NSA) tarafından geliştirildiği iddia edilen TURNIPSCHOOL ve Cottonmouth da bahsetmeye değer: USB kablosuna sığabilecek kadar küçük cihazlardı ve (hiçbir ağa bağlı olmayan bilgisayarlar da dahil olmak üzere) bilgisayarlardan veri filtrelemek için kullanılıyorlardı. Sadece basit bir kablo – kimsenin endişelendiği bir şey değildir, öyle değil mi?

Silaha dönüştürülmüş USB’lerin modern hâli

USB sızma testi araçlarının üçüncü nesli bu cihazları tamamen yeni bir seviyeye getiriyor. Bu araçlardan biri, temelde Wi-Fi bağlantılı Rubberducky olan WHID Enjektörü’dür. Wi-Fi’yi olduğu için tüm yapması gerekenleri en baştan programlamaya gerek yoktur; bir hacker aracı uzaktan kontrol edebilir, bu da daha fazla esneklik ve ayrıca farklı işletim sistemleriyle çalışabilme yeteneği sağlar. Diğer bir üçüncü nesil araç Raspberry Pi’ye dayalı P4wnP1’dir ve kablosuz bağlantı gibi bazı ek işlevselliklere sahip olmakla beraber Bash Bunny’ye benzer.

Ve elbette, hem WHID Enjektörü hem de Bash Banny bir klavyenin veya farenin içine yerleştirilebilecek kadar küçüklerdir. Bu videoda USB, Ethernet veya Wi-Fi ile herhangi bir ağa bağlı olmayan ama uzaktaki bir saldırganın komutları yerine getirmesini ve uygulamaları çalıştırmasını sağlayan Truva Atı’na dönüştürülmüş bir klavyenin bağlandığı bir dizüstü bilgisayarı gösteriliyor.

Yukarıda bahsedilen iki tanesi gibi küçük USB aygıtları, belirli bir HID modeline benzeyecek şekilde bile programlanabilir ve bu da fareleri ve klavyeleri yalnızca belirli satıcılardan alan şirketlerin güvenlik politikalarını atlamalarına izen verir. WHID Enjektörü gibi araçlar aynı zamanda ses denetimini kurmak ve tesisteki insanları gizlice dinlemek için mikrofonla donatılabilirler. Daha da kötüsü, böyle bir araç eğer ağ düzgün bir şekilde bölümlere ayrılmamışsa tüm ağı riske atmaya yeter.

Silaha dönüştürülmüş USB cihazlarından korunma yolları

Truva Atı’na dönüştürülmüş fare ve klavyelerin yanı sıra gözetim kabloları veya kötü amaçlı kablolar hava boşluklu (air-gapped) sistemleri bile riske atmak için kullanılabilen ciddi tehditlerdir. Bu günlerde böyle saldırılar için gerekli araçlar ucuz bir şekilde satın alınabilmekte ve neredeyse hiçbir programlama becerisi olmadan programlanabilmektedir, bu nedenle bu tür tehditler radarınızda olmalıdır.

Krtitik altyapıyı bu tür tehditlere karşı korumak için çok katmanlı bir yaklaşımı benimseyin.

  • Öncelikle fiziksel güvenliği sağlayın ki yetkisi olmayan personeller rastgele USB cihazlarını endüstriyel kontrol sistemlerine bağlayamasın. Ayrıca, bu tür sistemlerdeki kullanılmayan
  • USB bağlantı noktalarını fiziksel olarak tıkayın ve önceden takılmış olan HID’lerin kaldırılmasını önleyin.(La La Land olayında olduğu gibi) Silaha dönüştürülmüş USB cihazları da dahil olmak üzere farklı türden tehditlerin farkında olmaları için çalışanları eğitin.
  • Ağı düzgün bir şekilde bölümlere ayırın ve saldırganların kritik altyapıyı kontrol etmek için kullanılan sistemlere ulaşmalarını engellemek için erişim haklarını kontrol edin.
  • Tesisteki tüm sistemleri her türden tehditi algılayabilecek güvenlik çözümleriyle koruyun. Kaspersky Endpoint Security‘nin teknolojisi, kullanıcı halihazırda yetki verilmiş bir HID kullanarak bir kod girmedikçe hiçbir HID’ye yetki vermez.