مشهد الهجوم على USB
لقد كانت الوسائط الطرفية والقابلة للإزالة مثل أجهزة USB أدوات أساسية لكل من الأفراد والمؤسسات، ويرجع ذلك في الغالب إلى أنها تسمح بتخزين البيانات ونقلها بسهولة. ومع ذلك، فإن شعبيتها جعلتها أيضًا هدفًا شائعًا لمجرمي الإنترنت. على مر السنين، استغلت الجهات الضارة نقاط الضعف في الأجهزة USB لتنفيذ هجمات إلكترونية معقدة، مما أدى إلى اختراق سلامة البيانات وأمن النظام. وعلى الرغم من الوعي المتزايد بمثل هذه المخاطر، لا يزال العديد من المستخدمين غير مدركين للأخطار المحتملة التي تشكلها الأجهزة التي تبدو غير ضارة USB . في الواقع، قد تبدو هذه الأجهزة غير ضارة للوهلة الأولى، لكنها قد تعمل كلوحة مفاتيح أو فأرة أو غيرها من الأجهزة الطرفية بمجرد وصولها إلى الجهاز، مما يعرض أمنه للخطر.
في عام 2010، ظهر فيروس ستوكسنت (Stuxnet) كهجوم إلكتروني بارز استخدم محركات الأقراص USB ، واستهدف المنشآت النووية الإيرانية. وقد تم تنفيذ الهجوم من خلال محركات الأقراص المتضررة USB ، مما مكن ستوكسنت من التسلل إلى أنظمة التحكم الصناعي (ICS) واستهداف وحدات التحكم المنطقية القابلة للبرمجة (PLCs) على وجه التحديد، والتي كانت مسؤولة عن تعطيل عمليات تخصيب اليورانيوم. وقد أكد هذا الحادث على التداعيات المدمرة للهجمات التي تيسرها أجهزة USB ، وأكد على ضرورة اتخاذ تدابير شاملة للأمن السيبراني لحماية البنية التحتية الحيوية.
أنواع الهجمات المستندة إلى USB-Based Attacks
في سياق أمن USB ، ركزت الهجمات السابقة في المقام الأول على استغلال الثغرات الأمنية المتعلقة بتخزين الجهاز USB والبرمجيات الضارة المتعلقة بمحرك الأقراص USB والبرامج الضارة المتعلقة بمحرك الأقراص وبرامج التشغيل USB المعدلة بشكل ضار، وغالباً ما تؤدي إلى هجمات تجاوز سعة المخزن المؤقت لتصعيد الامتيازات. ومع ذلك، تشير الاتجاهات الحديثة إلى تحول نحو استخدام هجمات حقن ضغطات المفاتيح/النقر على الماوس أو إعادة برمجة المتحكم الدقيق. وتنفذ هذه الهجمات من خلال أجهزة HIDs (أجهزة الواجهة البشرية) غيرUSB (أجهزة الواجهة البشرية) المتخفية في شكل لوحات مفاتيح أو فأرة كمبيوتر، مع تعديل برمجياتها الثابتة ببراعة. بالإضافة إلى ذلك، يمكن أيضًا استخدام جهاز USB لالتقاط حركة مرور الشبكة عن طريق محاكاة جهاز ضار USB كمحول إيثرنت USB . وهذا يمكّن الجهاز USB من العمل كخادم DHCP، وتوجيه حركة المرور من خلال نظام أسماء النطاقات الضار أو تقديم بوابة افتراضية ضارة للمضيف.
وبالإضافة إلى التكتيكات الأخرى، يستخدم المهاجمون أيضًا تحديثات البرامج الثابتة وبرامج التشغيل USB في الهجمات المستندة إلى USB. إذا بدأ المضيف تحديثًا ضارًا للبرامج الثابتة على جهاز USB مع تعديل البرامج الثابتة، يمكن للمهاجم إعادة برمجة الجهاز USB واستخدامه لاختراق المضيف. في حالة الهجوم على برنامج التشغيل USB ، قد يخدع المهاجم المضيف لتنزيل برنامج تشغيل ضار، مما قد يتيح تنفيذ التعليمات البرمجية أو استغلال ثغرة في تجاوز سعة المخزن المؤقت على نظام الضحية.
قام باحثون في جامعة بن غوريون في النقب في إسرائيل بتصنيف الهجمات القائمة على USB إلى أربع فئات أساسية، والتي تشمل قائمة شاملة تضم 29 نوعًا مختلفًا من الهجمات USB : المتحكمات الدقيقة القابلة للبرمجة، والأجهزة الطرفية المعاد برمجتها الضارة، والأجهزة الطرفية غير المعاد برمجتها، والكهربائية.
في سياق الهجمات الكهربائية القائمة على USB ، يعتبر القاتل USB القاتل مصدر قلق كبير. عندما يتم توصيله، يقوم هذا الجهاز الضار بتوصيل صدمات كهربائية قوية يمكن أن تسبب أضرارًا لا يمكن إصلاحها لمكونات المضيف.
USB بروتوكول HID
يحدد المضيف نوع الجهاز USB المتصل به من خلال إجراء عملية تسمى تعداد الجهاز. أثناء هذه العملية، يتصل المضيف بالجهاز USB للحصول على معلومات حول إمكانياته ووظائفه. تتضمن هذه المعلومات رمز الفئة USB الخاص بالجهاز، والذي يحدد نوعه، مثل لوحة مفاتيح أو ماوس أو محول أو محول أو HID آخر.
يعمل بروتوكول HID USB كنهج موحد للاتصال بين الأجهزة الطرفية، مثل لوحات المفاتيح وفأرة الكمبيوتر وأجهزة الإدخال الأخرى والكمبيوتر المضيف. من خلال وضع سلسلة من القواعد والمواصفات، يضمن هذا البروتوكول تبادلاً سلساً للبيانات بين هذه الأجهزة والكمبيوتر، مما يسمح للمستخدمين بالتفاعل مع تطبيقات البرامج بطريقة فعالة.
من خلال بروتوكول HID، تقوم الأجهزة بإرسال حزم البيانات التي تحتوي على معلومات حول مدخلات المستخدم، مثل الضغط على المفاتيح وحركات الفأرة والنقر على الأزرار، والتي يتم تفسيرها بعد ذلك بواسطة نظام التشغيل المضيف. يلعب هذا البروتوكول دورًا حيويًا في ضمان التوافق وقابلية التشغيل البيني بين أجهزة الإدخال المختلفة وأنظمة الكمبيوتر، مما يجعله مكونًا أساسيًا في الحوسبة الحديثة.
هجوم حقن ضغطة المفاتيح
يتلاعب هجوم حقن ضغطات المفاتيح، وهو نوع محدد من هجمات USB ، بأجهزة USB لإدخال ضغطات مفاتيح غير مصرح بها في النظام المستهدف. تستفيد هجمات حقن ضغطات المفاتيح من بروتوكول HID لحقن ضغطات مفاتيح ضارة في النظام المستهدف، متجاوزةً بذلك تدابير الأمان التقليدية وطبقات الأمان المتعددة، بما في ذلك منظمات حماية الشبكة وجدران الحماية وبرامج مكافحة الفيروسات وحتى برنامج Windows Defender، مما يجعل النظام عرضةً لإجراءات غير مصرح بها. تحقق هذه الهجمة تنفيذ التعليمات البرمجية بسلاسة دون تدخل المستخدم من خلال تقديم نفسها على أنها لوحة مفاتيح USB HID، ثم "كتابة" اختصارات وأوامر لوحة المفاتيح. يتم إدخال ضغطات لوحة المفاتيح بسرعة كبيرة بحيث تكون غير مرئية للضحية، وتحدث في غمضة عين.
محاكاة هجوم حقن ضغطة المفاتيح باستخدام USB البطة المطاطية
"البطة المطاطيةUSB Ducky" هي أداة اختبار قلم هائلة لحقن ضغطات المفاتيح تم تطويرها من قبل Hak5 في عام 2010. وهو عبارة عن جهاز USB صغير بتصميم يشبه محرك أقراص USB قياسي، ولكنه يعمل كلوحة مفاتيح. وبمجرد توصيله بجهاز كمبيوتر، يمكن لـ Rubber Ducky أن يكتب على الفور ضغطات مفاتيح مبرمجة مسبقًا بوتيرة سريعة، مما يتيح تنفيذ الأوامر والنصوص دون أي تدخل من المستخدم. هذه الميزة تجعلها أداة متعددة الاستخدامات لمختلف استخدامات الأمن السيبراني، مثل اختبار الاختراق ومحاكاة الهجمات USB.
ولاستخدام البطة المطاطية USB ، يجب تصميم حمولة وتحويلها إلى ملف ثنائي ثم تحميلها على الجهاز. وبمجرد الانتهاء من هذه الخطوات، يمكن للمستخدم الضار تنفيذ إجراءات على جهاز الضحية عن طريق محاكاة لوحة المفاتيح.
يستخدم USB Rubber DuckyScript DuckyScript كلغة برمجة خاصة به، وستتم كتابة الحمولة باستخدام هذه الصيغة. فيما يلي حمولة DuckyScript التي تسمح بكتابة ملف باسم "usb_rubber_rubber_ducky.txt" يحتوي على نص "حقن ضغطة مفتاح" ليتم كتابته على جهاز الضحية عند إدخال الجهاز الضار USB .
تخيل الفعل البريء المتمثل في توصيل محرك أقراص USB بجهاز الكمبيوتر المحمول الخاص بك، دون أن تعلم أنه يمكن أن يؤدي إلى هجوم حقن ضغطات المفاتيح الذي يعمل دون علمك. يمكن لهذا الهجوم الخفي أن يفتح سراً العديد من الخدمات ومن ثم السيطرة على جهازك، مما يعرض أمن جهازك للخطر ويعرض بياناتك الحساسة للخطر. من المثير للقلق حقًا إدراك الخطر المحتمل الناجم عن جهاز يبدو غير ضار USB . دعونا نتفحص الفيديو أدناه لفهم خطورة هذا التهديد.
التخفيف
في OPSWAT ، نلتزم بفلسفة "لا تثق بأي ملف. لا تثق في أي جهاز"، والتي تركز على تثبيت حلول انعدام الثقة والتقنيات الرائدة في السوق والحاصلة على براءة اختراع في كل مستوى من مستويات البنية التحتية الحيوية لعملائنا. نحن نعمل على تأمين الشبكات والبيانات والأجهزة من خلال حل التحديات التي تواجههم بدءاً من أرضية المصنع وحتى السحابة في جميع أنحاء العالم. نحن نتفهم مخاطر الأمن السيبراني التي تشكلها الأجهزة الطرفية والوسائط القابلة للإزالة على الأنظمة الأساسية. ولمعالجة هذا الأمر، قمنا بتطوير MetaDefender Kiosk ، وهي محطة متقدمة لتعقيم الأجهزة الطرفية والوسائط القابلة للإزالة، مما يساعد على منع العديد من الهجمات من USB الأجهزة.
MetaDefender Kiosk يساعد على حماية أصولك من خلال تمكين التحكم في تدفق البيانات داخل مؤسستك وخارجها. يمكن استخدامه كمحطة مسح ضوئي للوسائط على أجهزتك الخاصة أو على أكشاك OPSWAT. Media مثل أجهزة USB أو أقراص DVD أو بطاقات SD أو محركات الأقراص المحمولة أو الأقراص المرنة بواسطة Kiosk. بعد اكتمال الفحص، يقوم Kiosk بإنشاء تقرير مفصل.
بفضل تدابير التقوية المدمجة MetaDefender Kiosk المدمجة في الموقع الإلكتروني ، يعزز Kiosk مناعته ضد هجمات USB بشكل كبير.
يوضح مقطع الفيديو أدناه فعالية MetaDefender Kiosk في الحماية من الهجمات المستندة إلى USB- الهجمات، لا سيما تلك التي تستخدم USB البطة المطاطية.
تحدث إلى أحد خبرائنا اليوم واكتشف السبب الذي يجعل من MetaDefender Kiosk ميزة حاسمة في الوقاية من التهديدات التي تنقلها الوسائط الطرفية والقابلة للإزالة.
لوك نغوين هو كبير مختبري الاختراق في OPSWAT. وهو يعمل بشكل استباقي على تعزيز أمن منتجات OPSWATوحمايتها من التهديدات الإلكترونية المحتملة قبل أن تصل إلى العملاء. بالإضافة إلى ذلك، يشارك بنشاط خبراته في مجال الأمن السيبراني مع زملائه وطلابه في برنامج الزمالة OPSWAT .
