waqur: (Default)
[personal profile] waqur
Как проникнуть в защищённую сеть организации, которая изолирована от интернета?

Очевидно, разбрасывая флешки на газоне. Наверняка из пары сотен человек найдётся хотя-бы один любопытный дурак, который захочет посмотреть, что там на флешке, подписанной "компромат на шефа".

Но вот незадача: в последних версиях Windows по умолчанию отключено автоматическое выполнение файла autorun.inf с флешек, да и с чего вы взяли, что у них там в конторе вообще Windows?

Те, кто имел дело с самоделкинской платой Arduino Leonardo, знают, что она умеет эмулировать любое USB-устройство. Например, флешку. Или клавиатуру (разумеется, без клавиш — такую, которая сразу после подачи питания начинает что-то виртуально "набирать", например WinKey+R, "cmd", Enter, "format C:", Enter, Y, Enter). Или USB-хаб, куда виртуально подключены флешка и клавиатура. Так что подавление выполнения файла autorun.inf не поможет.

Но как же быть с Mac OS и Linux? Ну, например, можно попытаться включить Num Lock через PowerShell (о чём винда уведомит клавиатуру), и если не получилось — то это, наверное, не Windows. А если не получилось через setleds(1) — тогда это, наверное, не Linux.

https://www.elie.net/blog/security/what-are-malicious-usb-keys-and-how-to-create-a-realistic-one

Date: 2017-04-20 12:39 am (UTC)
euthanasepam: (Default)
From: [personal profile] euthanasepam
>> Так что подавление выполнения файла autorun.inf не поможет.

Этот нюанс вообще не имеет значения.

В защищённой отключённой от интернета сети в клиентских машинах, в норме, не должно быть работающих USB-портов и дисководов. Неспроста для «корпоративного» применения до сих пор производят (и я думаю, что будут ещё долго производить) системные платы с портами PS/2.

При выполнении этого условия (то есть отсутствия на клиентских машинах USB- и иных работающих портов для подключения переносимых устройств, а также дисководов), которое мне представляется аксиоматически обязательным, взлом через клиентские машины посредством droppable HID device невозможен.


PowerShell в норме, как мне кажется, на клиентских компьютерах также должен отсутствовать как таковой или быть запрещён администратором, как и вообще всё (и программные, и аппаратные средства), что могло бы быть потенциальным средством обойти защиту.
Edited Date: 2017-04-20 12:44 am (UTC)

Date: 2017-04-22 09:27 pm (UTC)
euthanasepam: (Default)
From: [personal profile] euthanasepam
«Запрещено всё, что не разрешено явно» как метод. Останутся только 0-day, наверное. Хотя откуда им взяться в отовсюду закрытом и наглухо запечатанном интранете?

September 2017

S M T W T F S
     12
34567 89
10111213141516
17181920212223
24252627282930

На этой странице

Автор стиля

Развернуть

No cut tags
Page generated 2017-09-21 03:26 am
Powered by Dreamwidth Studios