PoisonTap, простое устройство для атаки на заблокированный ПК
Сами Камкар (Samy Kamkar), исследователь безопасности, известный созданием различных замысловатых устройств для проведения атак, таких как кейлоггер в USB-зарядке телефона, представил свою новую разработку - PoisonTap. В рамках проекта PoisonTap подготовлена практическая реализация атаки BadUSB, позволяющая получить доступ к прокэшированным в браузере сессионным cookie и параметрам аутентификации при подключении к USB-порту компьютера специального устройства. Атака применима и к заблокированным компьютерам и может быть совершена когда владелец на время отлучился от своего ПК, оставив его с заблокированным экраном без присмотра.
Для атаки используется самый дешевый одноплатный компьютер Raspberry Pi Zero, который продается по цене в пять долларов, на котором загружен дистрибутив Linux, настроенный для эмуляции сетевого адаптера по USB и по DHCP объявляющий себя в качестве шлюза для локальной подсети 128.0.0.0. При подключении такого устройства к USB-порту, компьютер жертвы воспринимает его как новую сетевую плату, через которую доступен шлюз для обращения к локальной сети, охватывающей половину адресного пространства (устройство представляется как 1.0.0.1 с сетевой маской 128.0.0.0). Новый сетевй интерфейс менее приоритетен на компьютере жертвы, но так как подсеть задана явно, то подпадающий под эту подсеть трафик уходит через новый сетевой интерфейс независимо от наличия более приоритетного шлюза по умолчанию.
На устройстве запускается подставной DNS-сервер, выдающий фиктивные ответы для запросов имен хостов, что позволяет переадресовать к PoisonTap все запросы и сохранить в кэше привязку доменов к сторонним адресам, в то числе организовать доступ к внутренним хостам локальной сети при помощи техники DNS rebinding.
Для сбора данных на устройстве PoisonTap запускается специальное приложение с реализаций простого http-сервера, который перехватывает все незашифрованные запросы по HTTP с компьютера жертвы. Если на компьютере пользователя остается открытым web-браузер, то с большой долей вероятности, некоторые страницы периодически обращаются во вне, например, для обновления рекламных блоков, статистики, AJAX-вставок и т. п. Перехватив такое обращение программа атакущего обрабатывает его и генерирует ответ, в зависимости от запроса содержащий специально оформленный HTML или JavaScript.
Через подстановку в ответе скрытых iframes из web-браузера жертвы организуется обращение к списку популярных сайтов (используется список из миллиона популярных сайтов от рейтинга Alexa). Если пользователь ранее открывал участвующий в переборе сайт и у него прокэшированы параметры сеанса, то браузер вместе с запросом отправит имеющиеся cookie, а так как весь трафик контролируется на устройстве атакующего, незашифрованные cookie будут перехвачены. В том числе перехватываются cookie для сайтов, ранее открытых по HTTPS, если данные cookie были установлены без флага Secure, т. е. отправляются и для HTTPS и для HTTP.
Кроме того, в перехваченном трафике выявляются запросы популярных JavaScript-библиотек через типовые сети доставки контента, которые подменяются на варианты с "бэкдором", который может применяться для продолжения атаки после отсоединения USB-устройства. Так как подмененные JavaScript-библиотеки оседают в кэше, то в дальнейшем, при открытии пользователем страниц, запрашивающих JavaScript-библиотеки через CDN, будет запущен подставленный в процессе атаки код, передающий информацию о cookie, установленных для открываемого сайта.