Мы изобрели лекарство от BadUSB

Любой USB-гаджет можно превратить в зомбированного агента киберпреступников. Универсальной защиты от этой атаки не существовало — пока мы ее не придумали!

Пожалуй, самый страшный кошмар любого пользователя — когда невидимый вирус заражает само железо компьютера, а не операционную систему. К сожалению, это вовсе не фантастика — позволяющие это делать уязвимости вполне себе существуют. Одну из них пару лет назад обнаружили в интерфейсе USB, исследователи назвали ее BadUSB.

Вот как она работает: с помощью не самых сложных манипуляций можно изменить прошивку USB-устройства так, что в ней, в прошивке, поселится вредоносное ПО, которое помимо всего прочего позволит устройству притворяться чем-то совсем другим.

Скажем, обычная флешка после такой перепрошивки может научиться притворяться USB-клавиатурой — и вводить команды от имени пользователя. Например, в определенный момент скомандовать стереть все ваши файлы — или отдать любую другую команду. Та же самая флешка может притвориться сетевой картой — и «прослушивать» идущий через компьютер поток данных.

Проблема в том, что такое вредоносное ПО содержится в контроллере флешки, его не видно снаружи. Поэтому обычные антивирусы, проверяющие файлы, тут не помогут — ведь никаких вредоносных файлов на флешке нет, вирус сидит гораздо глубже. Вторая проблема состоит в том, что взять и разом исправить те особенности работы USB-устройств, на которых основана данная атака, тоже нельзя.

Однако специалисты «Лаборатории Касперского» Олег Зайцев, Ольга Домке, Константин Манурин и Михаил Левинский нашли способ справиться с этой напастью. Разработанная ими технология позволяет автоматически отслеживать, что происходит с USB-устройствами в системе, обнаруживать аномальное поведение — и блокировать устройства, если они пытаются делать что-то подозрительное.

Эта технология уже реализована в нашем корпоративном продукте Kaspersky Endpoint Security, а на днях команда разработчиков получила на нее патент в США.

«Несмотря на то что атаки с использованием модифицированных USB-устройств пока принято относить к теоретическим, они уже вызывают заинтересованность клиентов компании в соответствующих защитных решениях — никто не хочет оказаться безоружным при переходе от теории к практике, — говорит Ольга Домке. — Объединив усилия продуктовой и компонентной команд, мы разработали компонент защиты от атак BadUSB для продукта Kaspersky Endpoint Security для Windows, в котором, как и в любом решении для корпоративной среды, постарались соблюсти баланс между удобством конечного пользователя и спокойствием администратора».

Советы