Een recente golf van op USB gebaseerde cyberaanvallen heeft organisaties in de VS getroffen. Schadelijke USB-apparaten worden gepost naar geselecteerde slachtoffers. Zodra ze zijn aangesloten, is de schade aangericht.
De bedreigingen van USB-drives
USB-drives zijn handig, triviaal betaalbaar en alomtegenwoordig. Dat gemak gaat ten koste van de veiligheid. USB-drives zijn draagbaar, camoufleerbaar en kunnen worden gebruikt om gevoelige informatie van bedrijfscomputers en -netwerken te exfiltreren. Om die reden verbieden veel organisaties USB-drives van de werkplek en gebruiken ze softwaretools om USB-toegang uit te schakelen. Dergelijke maatregelen zijn niet de norm. Meestal worden ze alleen in grotere organisaties ingezet. Elders zijn USB-drives gratis te gebruiken.
De diefstal van gegevens is slechts een van de bedreigingen. USB-drives kunnen zoekraken en verloren gaan, waardoor persoonlijke en gevoelige informatie vrijkomt. USB-drives worden meestal gebruikt om bestanden te transporteren en tussen computers te verplaatsen. Als een schijf is aangesloten op een computer die is geïnfecteerd met malware, is de USB-schijf geïnfecteerd. Het wordt dan een transportmechanisme voor de malware. USB-drives worden waarschijnlijk aangesloten op slecht beveiligde thuiscomputers en op bedrijfscomputers, waardoor het risico op infectie toeneemt.
Naast onbedoelde infectie met malware, kunnen USB-drives ook worden geprepareerd met schadelijke software en als lokaas worden achtergelaten. De gemakkelijkste manier om dat te doen is door een kwaadaardig programma te camoufleren zodat het lijkt op een pdf- of documentbestand, en te hopen dat het slachtoffer het probeert te openen. Anderen zijn veel subtieler.
Advertentie
In januari 2022 heeft de FBI een verklaring uitgegeven over een nieuwe golf van op USB-drives gebaseerde cyberaanvallen, genaamd BadUSB. Er zijn USB-drives geplaatst bij medewerkers van transport-, defensie- en financiële organisaties.
De USB-drives gingen vergezeld van overtuigende brieven. Sommigen beweerden van het Amerikaanse ministerie van Volksgezondheid en Human Services te zijn en spraken over COVID-19-richtlijnen. Anderen imiteerden Amazon-geschenkdozen en voegden zelfs een vervalste cadeaubon toe. De USB-drives werden aangepast zodat ze de computers van het doelwit aanvielen zodra ze waren aangesloten.
GERELATEERD: De vele gezichten van social engineering< /strong>
Het aas en wachten
Het achterlaten van USB-drives op parkeerterreinen voor werknemers en andere toegankelijke delen van een bedrijf is een eenvoudige manier om kwaadaardige USB-drives in handen van werknemers te krijgen. Simpele trucs voor social engineering vergroten de kans dat iemand het meeneemt naar zijn werk en het in zijn computer stopt.
USB-drives worden voor de lunch geplaatst. Zo vinden de medewerkers ze tijdens de lunch. Ze gaan voor de middag terug naar hun bureau. Als de USB-drives na de lunch worden gedropt, zal de werknemer ze waarschijnlijk aan het einde van hun werkdag vinden en mee naar huis nemen.
Door een aantal sleutels aan de USB-drive te bevestigen, verandert hun ontdekking van “Ik heb een USB-drive gevonden” naar “Ik heb iemands sleutels gevonden.” Dat roept een andere reeks reacties op. Iedereen kent het gedoe van het kwijtraken van een sleutelbos. In een poging om het juiste te doen en de eigenaar te identificeren, zal de persoon die ze vindt zeer waarschijnlijk de USB-drive controleren op aanwijzingen.
Als ze een document zien met een onweerstaanbare titel, zoals “Redundantieplannen” of “Management Buy-Out”, zullen ze waarschijnlijk proberen het te openen. Als het document echt een kwaadaardig programma is of een kwaadaardige lading bevat, is de computer en dus het netwerk geïnfecteerd.
Een training voor cybersecuritybewustzijn van medewerkers moet de gevaren uitleggen van het aansluiten van niet-geïdentificeerde USB-drives. Als ik betrokken ben bij het geven van bewustwordingstraining voor het personeel, volg ik een paar weken later goedaardige gesimuleerde aanvallen. Hiermee wordt de gevoeligheid van het personeel gemeten. Hiermee kunnen trainingsmodules worden herhaald als een bepaalde aanval een onevenredig aantal slachtoffers vindt, en kunnen slecht presterende individuen worden geïdentificeerd en omgeschoold.
Advertentie
De USB drops zijn bijna altijd succesvol. Zelfs wanneer medewerkers phishing-e-mails en andere aanvalstypes correct identificeren, valt iemand voor de verleiding van de USB-drive. Er is iets met de aard van de USB-drive, misschien omdat hij volledig inert is tenzij hij is aangesloten, waardoor sommige mensen de verleiding niet kunnen weerstaan om ze aan te sluiten. Tenminste, totdat ze voor de eerste keer betrapt.
De "eens gebeten, tweemaal verlegen" aanpak is OK in het kader van een goedaardige testcampagne, maar met een reële dreiging? Je bent al geïnfecteerd.
GERELATEERD: Wat zijn de drie pijlers van cyberbeveiliging?
Op een landmijn stappen
Meer geavanceerde aanvallen gebruiken USB's die de computer kunnen infecteren zonder dat de gebruiker een programma probeert uit te voeren of een bestand opent. Er zijn schadelijke USB's gemaakt en gevonden in het veld die misbruik maakten van een kwetsbaarheid in de manier waarop Windows de metadata in Windows-snelkoppelingen parseerde. Dit werd uitgebuit zodat een valse Control Panel-toepassing werd uitgevoerd. De valse toepassing van het Configuratiescherm was de malware.
De gebruiker hoefde alleen maar de USB-drive te plaatsen en de lijst met bestanden op het apparaat te bekijken. Snelkoppelingen op het USB-station zorgden ervoor dat een kwaadaardige toepassing van het Configuratiescherm werd gestart. De kwaadaardige applicatie stond ook op de USB-stick.
De BadUSB-apparaten zijn aangepast zodat er nog minder interactie nodig is. Het enige dat nodig is, is dat het slachtoffer de USB-drive plaatst.
Wanneer ze zijn aangesloten, voeren USB-apparaten een gesprek met het besturingssysteem. Het apparaat identificeert zichzelf door het besturingssysteem te vertellen welk merk, model en type apparaat het is. Afhankelijk van het type apparaat dat het is, kan het besturingssysteem het USB-apparaat ondervragen voor meer informatie over zichzelf en de mogelijkheden ervan. De BadUSB-apparaten zijn aangepast: de firmware van de fabrikant wordt overschreven met aangepaste firmware door de bedreigingsactoren, zodat ze zichzelf identificeren als een USB-toetsenbord.
Advertentie
Zodra het apparaat als toetsenbord bij Windows is geregistreerd, stuurt het een stroom aan karakters naar het besturingssysteem. Windows accepteert deze als getypte invoer en handelt ernaar. De opdrachten openen een PowerShell-venster en downloaden malware. De gebruiker hoeft niet meer te doen dan de USB-drive te plaatsen.
Schadelijke USB's die bekend staan als USB Killers zijn al bekend, maar dit zijn grove apparaten die de computer beschadigen waarop ze zijn aangesloten. De kleine hoeveelheid elektrische stroom die naar USB-apparaten wordt gestuurd, wordt verzameld en vergroot in de USB-killer en wordt via de USB-poort als snelle uitbarstingen tot 200V terug in de computer afgegeven. De fysieke schade die dit veroorzaakt, maakt de computer onbruikbaar. USB-killers bereiken niets anders dan vandalisme, hoe erg dat ook is. Ze verspreiden op geen enkele manier malware of infecteren de computer of het netwerk.
Door zich voor te doen als een toetsenbord, kunnen de BadUSB-apparaten elke vorm van malware downloaden en installeren, waarbij inloggegevens en ransomware de meest voorkomende zijn. De BadUSB-aanvallen zijn een vorm van social engineering. Social engineering probeert het slachtoffer te manipuleren om actie te ondernemen die de bedreigingsactoren ten goede komt. De overtuigende begeleidende brief en andere attributen voegen authenticiteit toe aan de identiteit van de afzender.
GERELATEERD: Waarom uw personeel uw zwakke schakel in cyberbeveiliging is< /p>
Stappen die u kunt nemen
Zoals bij alle social engineering-aanvallen, is onderwijs de beste verdediging, maar er zijn ook andere stappen die u kunt nemen .
- Bewustzijnstraining van het personeel, ondersteund door gevoeligheidstesten, helpt voorkomen dat dit type aanval effectief is. Dit moet ten minste jaarlijks worden herhaald.
- Als USB-drives geen onderdeel hoeven te zijn van workflows, overweeg dan om USB-toegang uit te schakelen. Gebruik cloud-bestandsopslag of andere middelen om bestanden over te zetten die te groot zijn om te e-mailen en die op verschillende locaties moeten worden geopend.
- Autorun uitschakelen voor USB-apparaten.
- Zorg voor eindpuntbeveiliging software scant USB-drives bij het inbrengen.
- Een air-gapped "decontaminatie" computer kan worden gebruikt om USB-sticks te scannen en te inspecteren als ze in uw pand moeten worden gebracht.