BadUSB Saldırısı: Bir USB Kablosu Nasıl Klavyeye Dönüşüyor?
Çantanızdaki en tehlikeli şey, hakkında düşünmeye bile en az güvendiğiniz kablo olabilir. Bir USB kablosu, yedek bir flash bellek, birinin toplantı odasında bıraktığı "ücretsiz" şarj cihazı... Hepsi zararsız görünüyor. Ancak birini takın ve eğer BadUSB cihazına dönüştürülmüşse, bilgisayarınız ilk yarım saniyede garip bir şey yapar: kabloyu klavye olarak algılar ve yazmaya başlamasına izin verir.
İşte asıl mesele bu. BadUSB, tarayabileceğiniz bir virüs değil. USB'nin varsayılan olarak yapmasına izin verilen şeyleri kötüye kullanan, siber güvenliğin en sinsi saldırı yöntemlerinden biri. Ve kripto para tutan herkes için, bu sessiz yazma işlemi cüzdanınıza sessizce mal olabilir. İşte nasıl çalıştığı, neden durdurulmasının bu kadar zor olduğu ve kripto para kullanıcılarının neden tam olarak hedefte olduğu.
BadUSB Saldırısı Nedir ve Neden Tehlikelidir?
3 dolarlık bir flash bellekten web kamerasına kadar her USB aygıtı, kendi yazılımına sahip küçük bir mikrodenetleyici üzerinde çalışır. Bu yazılım, bilgisayarınıza "Ben bir klavyeyim" veya "Ben bir depolama aygıtıyım" der. BadUSB saldırısı, aygıtın yalan söylemesi için yazılımı yeniden yazar. Sadece depolama aygıtı olduğunu düşündüğünüz flash bellek, sessizce kendini bir klavye veya ağ kartı olarak yeniden tanıtır ve işletim sistemi bunu olduğu gibi kabul eder. Hiçbir uyarı yok. Hiçbir bildirim yok.
Bu neden bu kadar önemli? Çünkü bilgisayarlar klavyelere böyle yaklaşıyor. Klavye bir İnsan Arayüz Cihazıdır ve her işletim sistemi HID girişine tamamen güvenir. Orada gerçek bir insanın oturduğunu ve gerçek tuşlara bastığını varsayar. Dolayısıyla, klavye gibi görünen kötü amaçlı bir USB cihazı bu güvenin tamamını devralır ve makine hızında komutlar yazmaya başlar.
2014'ün uyarı niteliğindeki çağrısı
Bu fikir, SR Labs'tan iki araştırmacı, Karsten Nohl ve Jakob Lell'in sahneye çıkıp bunu sergilediği Black Hat USA 2014'te kamuoyuna duyuruldu. Sunumlarının harika bir başlığı vardı: "BadUSB - Kötüye Dönüşen Aksesuarlar Üzerine." Normal görünümlü bir sürücü, klavye gibi davranacak şekilde yeniden programlanarak, kullanıcının hiçbir şey görmediği bir makineyi ele geçiriyordu. Haftalar sonra, Adam Caudill ve Brandon Wilson, DerbyCon'da çalışan bir istismar kodu yayınladılar. Bu, dönüm noktasıydı. BadUSB bir laboratuvar hilesi olmaktan çıktı ve hafta sonunu boş geçiren herkesin geliştirebileceği bir şey haline geldi.
Neden sadece yamayla düzeltemiyorsunuz?
İşte güvenlik uzmanlarını hâlâ rahatsız eden kısım. Çoğu USB denetleyicisi, kod imzalama ve kimlik doğrulama olmaksızın yeni bellenimi kabul ediyor. Güncellemenin güvenebileceğiniz birinden geldiğini hiçbir şey kontrol etmiyor. Dolayısıyla zafiyet, yamalayabileceğiniz hatalı bir programda değil. USB güven modelinin kendisinde yatıyor.
Antivirüs programınız dosyaları tarar. BadUSB'nin dosyaya ihtiyacı yok. Kötü amaçlı davranış aygıt yazılımına yerleştirilmiştir ve saldırının kendisi sadece tuş vuruşlarından ibarettir. İşaretlenecek hiçbir şey diske kaydedilmez. İşte bu yüzden tamamen yamalanmış, tamamen korunan bir dizüstü bilgisayar bile 200 dolarlık bir kabloya karşı savunmasız kalabiliyor.
BadUSB saldırısının saniyeler içinde nasıl gerçekleştiği
Şöyle bir sahne hayal edin. Kabloyu takıyorsunuz. Bilgisayara klavye olduğunu bildiriyor ve bir iki saniye içinde operatörün önceden yüklediği verilerden tuş vuruşları göndermeye başlıyor. Hiçbir insan bu kadar hızlı yazamaz. Kimse yaklaşamaz bile.
Tipik bir zararlı yazılım, genellikle asla görmeyeceğiniz bir yerde gizli bir komut penceresi veya PowerShell istemi açar, internetten bir komut dosyası indirir ve çalıştırır. Kablo yazma işlemini yapar. İnternet ise zararlı yazılımı sağlar. Siz ekrana baktığınızda, işlem çoktan tamamlanmış olur.
İki saniyelik yazma işlemi çok işe yarar. Bir terminal açın. Bir güvenlik uyarısını kapatın. Uzaktan erişim aracını indirin ve yeniden başlatmadan sonra da çalışmaya devam etmesi için başlangıç programına ekleyin. Windows'ta, saldırganın sahip olduğu bir sunucudan kod almak ve çalıştırmak için tek bir PowerShell satırı yeterlidir. Ve komut dosyası sabırlı olabilir. Günün belirli bir saatini bekleyebilir veya yalnızca ekranın kilidi açıldığında çalışabilir, böylece tuş vuruşlarının patlaması zaten yaptığınız işe karışır. Antivirüsünüz asla tepki vermez, çünkü hiçbir şey dosya olarak gelmez. Giriş olarak gelir.
Bu neden çalışmaya devam ediyor? Basit. Yazılımları kilitleyebilir, kurulumları kısıtlayabilir, piyasadaki her tarayıcıyı çalıştırabilirsiniz. Ama klavyenin sizin olduğunuz varsayılıyor. Bu tek varsayım tüm oyunun temelini oluşturuyor ve BadUSB bunu tanımı gereği alt ediyor.
Satın Alabileceğiniz BadUSB Araçları: Lastik Ördekten Flipper'a
Yıllarca bu durum casus filmlerini andırıyordu. Artık değil. Hazır cihazlar, kutudan çıkar çıkmaz tuş vuruşu enjeksiyonu yapıyor ve fiyatlar da sıkıcı derecede normal.
Hak5'in USB Rubber Ducky'si klasik bir örnek: flaş belleğe benzeyen, DuckyScript adı verilen basit bir dilde yazılmış ve tam da bu amaç için tasarlanmış bir çubuk. Viral hale gelen cep tipi çok amaçlı alet Flipper Zero, içine yerleştirilmiş bir BadUSB özelliğiyle birlikte geliyor ve yaklaşık 169 dolara satılıyor. Ve sonra da sizi en çok endişelendirmesi gereken O.MG Cable var, çünkü bu bir sürücü değil, bir kablo.
O.MG Kablosu, normal bir Apple veya USB-C kablosuna tıpatıp benziyor. İçinde kablosuz bir çip ve operatörün Wi-Fi üzerinden eriştiği küçük bir web arayüzü gizli. Elite sürümü saniyede 890'a kadar tuş vuruşu gönderiyor ve 650.000'e kadar tuş vuruşunu saklayabilen dahili bir keylogger'a sahip. Boşta dururken telefonunuzu şarj ediyor ve diğer kablolar gibi veri aktarıyor. Bunu asla anlayamazsınız. Zaten amaç da bu.
| Alet | Şekil faktörü | Enjeksiyon hızı | Kablosuz kontrol | Yaklaşık fiyat |
|---|---|---|---|---|
| USB Lastik Ördek | Flash bellek | Hızlı (senaryoya göre) | HAYIR | ~60 dolar |
| Flipper Zero | Cep tipi çok amaçlı alet | Hızlı (senaryoya göre) | Sınırlı | ~169 dolar |
| O.MG Kablo (Elite) | Normal görünümlü kablo | Saniyede 890 tuşa kadar | Evet (Wi-Fi) | ~200 dolar |
Bunu daha iyi anlamak için, geçmişte istihbarat teşkilatları tarafından üretildiği söylenen benzer bir implantın maliyetinin on binlerce dolar olduğunu belirtelim. O.MG Cable ise bu yeteneğin büyük bir kısmını güzel bir akşam yemeği fiyatına yeniden sağlıyor. Giriş engeli neredeyse tamamen ortadan kalktı.
Kripto Para Sahipleri Neden BadUSB'nin Başlıca Hedefi?
Çoğu yazı kurumsal BT açısında son buluyor. Ben onların aksine daha farklı bir bakış açısı sunmak istiyorum, çünkü kripto para birimine sahipseniz tehdit modeliniz farklı ve dürüst olmak gerekirse biraz daha kötü.
Pano değişimi
BadUSB saldırısı cüzdanınızı kırmak zorunda değil. Sadece bir şeyi değiştirmesi yeterli: panonuzu. Enjekte edilen zararlı yazılım saniyeler içinde panoya bir korsan yazılım yerleştiriyor. Bundan sonra, para göndermek için bir kripto para adresini her kopyaladığınızda, kötü amaçlı yazılım sessizce saldırganın adresini yerine koyuyor. Doğru görüneni yapıştırıyorsunuz. Onaylıyorsunuz. Para bir yabancının cüzdanına gidiyor.
Bu teorik bir durum değil. Bir korsan, iki milyondan fazla Bitcoin adresini izlerken ve saldırgan cüzdanlarını anında değiştirirken yakalandı. GitVenom olarak adlandırılan 2024 kampanyasında, sahte kod depoları adres değiştirme kötü amaçlı yazılımı gönderdi ve yaklaşık 485.000 dolarlık Bitcoin çaldı. Bu yöntem tehlikeli çünkü kripto adresleri uzun, rastgele dizelerdir ve kimse bunları karakter karakter okumaz. İlk dört karakteri kontrol edersiniz, son dört karakteri kontrol edersiniz, eşleşirlerse gönderirsiniz. Değiştirme işlemi ortada, gözlerinizin asla gitmediği yerde gizlenir. Ve riskler çok büyük: Chainalysis'e göre , 2024 yılında yaklaşık 2,2 milyar dolarlık kripto para çalındı ve bu kayıpların %43,8'inin arkasında özel anahtar ihlali vardı.
Donanım cüzdanı sizi kurtarır mı?
Çoğunlukla evet ve bunun nedenini açıklığa kavuşturmakta fayda var. Bir Ledger veya Trezor, kurtarma kelime öbeğinizi Güvenli Eleman içine kilitler. Özel anahtarlar orada oluşturulur ve asla dışarı çıkmaz. USB kablosu üzerinden yalnızca imzalı bir işlem geçer. Bu nedenle, kötü amaçlı bir USB cihazı, çalışan bir donanım cüzdanından kurtarma kelime öbeğinizi çekip alacak bir komut yazamaz. Tüm mimari tam olarak bunu engellemek üzere tasarlanmıştır.
Ancak iki önemli açık var. Birincisi sosyal mühendislik. 2021'de dolandırıcılar, Ledger'ın 2020 veri ihlalinde ev adresleri sızdırılan kişilere sahte Ledger cihazları gönderdi. CoinDesk'in bildirdiğine göre, sahte donanım, kurbanlara 24 kelimelik kurtarma cümlelerini birlikte verilen bir uygulamaya girmelerini söyleyen bir notla birlikte gönderildi. Herhangi bir güvenlik açığına gerek yoktu. Sadece ikna edici bir paket ve biraz korku yeterliydi. İkinci açık ise tedarik zinciri. Kraken'deki araştırmacılar, donanım cüzdanındaki USB'yi işleyen çipin (Güvenli Eleman'dan ayrı olan çip), cihaz alıcıya ulaşmadan önce bile değiştirilebileceğini gösterdi.
Buradan çıkarılacak ders "donanım cüzdanları işe yaramaz" değil. Tam tersine, bunlar doğru araçlar, nokta. Buradan çıkarılacak ders, zayıf noktanın size kaydığıdır: kopyaladığınız şeyler, yazdığınız şeyler ve cihazınızın nereden geldiği.
USB tehdidi gerçekten ne kadar yaygın?
BadUSB'yi "ilginç ama nadir" olarak sınıflandırmak cazip gelebilir. Ancak veriler, en azından daha geniş kapsamlı USB tehdidi için, bunun aksini söylüyor.
Güvenlik firması Honeywell, endüstriyel tesislerde bulunan kötü amaçlı yazılımları takip ediyor. Honeywell'in 2024 raporunda, tespit ettiği kötü amaçlı yazılımların %51'inin USB üzerinden yayılmak üzere tasarlandığı, bu oranın 2019'da sadece %9 olduğu belirtildi. Bu USB kötü amaçlı yazılımlarının %82'si endüstriyel operasyonları aksatabiliyor. USB, ölü bir saldırı yüzeyi değil; aksine büyüyen bir saldırı yüzeyi.
Ve insan faktörü, istismar edilmesi en kolay kısımdır. Tanınmış bir çalışmada, Illinois Üniversitesi'nden araştırmacılar kampüsün çeşitli yerlerine 297 adet USB bellek dağıttılar. İnsanlar bunları alıp taktılar, ilki birkaç dakika içinde takıldı. Merak, saldırganın işini ücretsiz olarak hallediyor.
| Bulmak | Figür | Kaynak | Yıl |
|---|---|---|---|
| USB üzerinden yayılan OT-site kötü amaçlı yazılımı | %51 (2019'daki %9'dan artış gösterdi) | Honeywell | 2024 |
| USB üzerinden erişilebilen bu kötü amaçlı yazılım, işlemleri aksatabilir. | %82 | Honeywell | 2024 |
| Kripto para çalındı, özel anahtarın ele geçirilmesiyle elde edilen pay | 2,2 milyar dolar / %43,8 | Zincirleme Analizi | 2024 |
| Düşürülen ve prize takılan USB bellekler | Yaklaşık yarısı, birkaç dakika içinde. | Illinois Üniversitesi | 2016 |
Burada dürüst olmak gerekirse bir uyarıda bulunmak istiyorum. FBI ve FCC, 2023 yılında havaalanı ve alışveriş merkezlerindeki şarj istasyonlarında "şarj hırsızlığı" konusunda kamuoyuna uyarılar yayınladı. Bu uyarılar ihtiyati nitelikteydi ve kamuoyunda büyük bir doğrulanmış vaka ortaya çıkmadı. Yine de, işaret ettikleri zayıflık, yani hem şarj hem de veri aktarımı yapabilen bir port, tam olarak BadUSB'nin kötüye kullandığı şeydir. Mesele, her havaalanında tuzaklı bir kablonun bekliyor olması değil. Mesele, aynı USB portunun aynı pinler üzerinden hem güç hem de veri taşımasıdır; bu nedenle, inceleyemediğiniz bir porta tam olarak güvenemezsiniz.
BadUSB Saldırılarını Önleme ve Kripto Paraları Koruma Yöntemleri
İyi haber şu ki, BadUSB saldırılarından korunma çoğunlukla ucuz ve davranışsal bir yöntemdir. Pahalı bir yazılıma ihtiyacınız yok, sadece yeni bir alışkanlığa ihtiyacınız var.
- Kendiniz satın almadığınız veya tamamen güvenmediğiniz hiçbir USB cihazını veya kablosunu takmayın. Konferans hediyesi, otoparkta bulduğunuz USB bellek, ödünç aldığınız kablo; bunlar tehdit oluşturuyor. Onlara, tanımadığınız birinin iğnesine davrandığınız gibi davranın.
- Halka açık yerlerde şarj ederken, bazen "USB prezervatif" olarak da adlandırılan bir USB veri engelleyici taşıyın. Bu cihaz, veri pinlerini fiziksel olarak keser ve yalnızca güç geçirir; bu da hem veri hırsızlığını hem de o USB portu üzerinden tuş vuruşu enjeksiyonunu engeller.
- Özellikle kripto para birimleri için, herhangi bir işlemi onaylamadan önce donanım cüzdanınızın ekranında tam alıcı adresini mutlaka kontrol edin. Bu alışkanlık, kopyalanan adresin kötü amaçlı yazılım tarafından yerleştirilen adresle eşleşmemesi nedeniyle, sahte adresin kullanımını etkisiz hale getirir.
- Donanım cüzdanlarını doğrudan üreticiden satın alın, asla üçüncü taraf satıcılardan veya tanımadığınız kişilerden almayın ve önceden haber vermeden gelen bir cihaza asla güvenmeyin.
- Uç nokta tarafında, USB aygıt denetimi, HID beyaz listeleme ve uç nokta yönetim araçları, tanınmayan klavyelerin bağlanmasını tamamen engelleyebilir. Kişisel cihazlarda ise Apple'ın "Aksesuarların bağlanmasına izin ver" uyarısı veya Android'in kilitliyken USB'yi kapalı tutma ayarı gibi özellikler aynı kapıyı kapatır.
Bunların hiçbiri egzotik değil. Bunlar, sokakta tanımadığınız birinin uzattığı yemeği yememenin dijital versiyonu.
BadUSB ve USB Güvenliği Hakkında Özet Bilgiler
BadUSB, tam da bu sıradanlığı nedeniyle rahatsız edici. Sıfır gün açığı yok, dahi olmaya gerek yok, sadece bir kablonun sadece bir kablo, bir klavyenin de sadece siz olduğunuz varsayımı yeterli. Bu varsayım yanlış ve bunu yanlış olduğunu kanıtlayacak ekipmanın fiyatı, şarj ettiğiniz telefonun fiyatıyla neredeyse aynı.
Kripto para sahipleri için çözüm paranoya gerektirmiyor, sadece disiplin yeterli. Adresleri bilgisayarda değil, cihaz ekranında doğrulayın. Donanımınızı doğrudan satıcıdan satın alın. Ve bir dahaki sefere yanınızda getirmediğiniz bir kablo size uzatıldığında, ne tür bir kablo kullanıyor olabileceğini kendinize sorun. Bugün hiç düşünmeden neyi takardınız?
