APT… в веб-камере компьютера

Подключенную к компьютеру веб-камеру обычно подозревают в подглядывании, но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку BadCam, которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия. По сути это вариант давно известной атаки типа BadUSB, однако главное отличие BadCam заключается в том, что атакующим необязательно заранее готовить вредоносное устройство — они могут использовать изначально «чистую» и уже подключенную к компьютеру камеру. Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.

Возвращение BadUSB

Атаку BadUSВ тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку. При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих. Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.

От BadUSB к BadCam

Исследователи Eclypsium смогли повторить трюк по перепрограммированию прошивки с веб-камерами Lenovo 510 FHD и Lenovo Performance FHD. Обе используют SoC производства SigmaStar, который имеет два интересных свойства. Во-первых, ПО камеры работает на основе Linux и поддерживает расширения USB Gadget. Благодаря этой возможности ядра Linux устройство может представляться как USB-периферия, в том числе клавиатура или сетевой адаптер.

Во-вторых, обновление прошивки в камере не имеет никакой криптографической защиты, достаточно отправить ей пару команд и новый образ памяти по интерфейсу USB. Перепрошить камеру можно, запустив на компьютере ПО с правами обычного пользователя. Обновленная таким образом прошивка камер Lenovo превращает их в комбинацию камеры и клавиатуры, способной отправлять на компьютер заранее заданные команды.

Хотя исследователи работали исключительно с камерами Lenovo, они указывают, что другие USB-устройства на базе Linux могут быть подвержены такой же уязвимости.

Киберриски атаки BadCam

Вектором атаки BadCam на организацию может стать:

• новая, присланная злоумышленником камера;
• камера, временно отключенная от корпоративного компьютера и подключенная к ноутбуку атакующего для перепрошивки;
• камера, которую вообще не отключали от компьютера организации и скомпрометировали дистанционно при помощи ВПО.

Поведенческое детектирование этого ВПО может быть затруднительно для защитников, ведь ему не нужно проводить подозрительных манипуляций с реестром, файлами и Интернетом, достаточно установить связь с веб-камерой. Если первая фаза атаки удалась, то дальше вредоносная прошивка может подавать клавиатурные команды для:

• отключения средств защиты;
• загрузки и запуска дополнительного вредоносного ПО;
• запуска легитимных инструментов living off the land;
• подтверждений в ответ на запросы системы, например, при повышении привилегий;
• выгрузки данных с компьютера в сеть.

При этом никакие сканирования ПО на компьютере не обнаружат угрозу, и даже полная переустановка системы не устранит «закладку». Из журналов будет следовать, что вредоносные действия были выполнены вошедшим в систему пользователем с его клавиатуры. Поэтому атака такого рода, вероятнее всего, будет использоваться для закрепления в пораженной системе, хотя в матрице MITRE ATT&CK техника BadUSB имеет индекс T1200 (Hardware additions) и относится к фазе первоначального доступа.

Как защищаться от атак BadCam

Атаку можно остановить на нескольких стадиях при помощи стандартных защитных инструментов, предотвращающих работу троянской периферии и резко усложняющих атаки LotL. Мы рекомендуем:

• настроить в решении EDR/EPP проверку подключаемых HID-устройств. В Kaspersky Endpoint Security эта опция называется BadUSB Attack Prevention. При подключении устройства, имеющего функции клавиатуры, пользователю потребуется ввести числовой код с экрана, до этого новая клавиатура не сможет управлять системой;
• настроить в SIEM и XDR сбор и обработку детальной телеметрии, связанной с событиями подключения и отключения HID-устройств;
• настроить в решении MDM/EMM контроль USB-портов. В зависимости от возможностей решения EMM, можно отключить USB-порты или задать закрытый список устройств, которые могут быть подключены к компьютеру (конкретные идентификаторы VID/PID);
• по возможности применять на компьютерах сотрудников закрытый список (allowlist) приложений, которые могут быть запущены, — все, что не входит в список, блокируется;
• систематически обновлять не только ПО, но и прошивки типового оборудования в организации. Так, для двух моделей Lenovo из исследования компания выпустила патчи, усложняющие зловредное обновление прошивки;
• внедрить принцип наименьших привилегий, дающий каждому сотруднику только доступы, нужные для его работы;
• включить информацию о BadUSB и BadCam в ИБ-тренинги сотрудников, дать им краткую инструкцию, что делать, если подключенное USB-устройство вызывает неожиданные эффекты, похожие на срабатывание клавиатурных команд.