Как шпионить за пользователем с помощью офисных приложений

Про использование для взлома USB устройств, маскирующихся под клавиатуру написано довольно много. Предлагаю рассмотреть новый вид атак, связанный с настройкой с помощью хакерских устройств, офисных приложений для наблюдения за пользователями.

Сегодня трудно себе представить персональный компьютер без офисных приложений. Даже на машинах программистов и инженеров обязательно есть офисные пакеты и средства связи. При этом, есть множество приложений, которым мы привыкли доверять – программы, делающие работу с компьютером более удобной. Здесь и офисные пакеты, такие как Microsoft Office, Open Office и аналогичные, и различные средства коммуникации, такие как Skype, WhatsUp, Telegram и другие. И хотя некоторые средства коммуникации ориентированы на использование на мобильных устройствах, сути это не меняет – мы к ним привыкли. Также многие пользователи не могут обойтись без таких вспомогательных утилит как Punto Switcher и различных плагинов к браузерам.

При этом стоит заметить, что в крупных организациях пользовательские компьютеры как правило, хорошо защищены, как на сетевом периметре с помощью брандмауэров, так и на уровне самих узлов с помощью антивирусов, средств обнаружения утечек информации, узлов систем обнаружения атак и других средств защиты. В связи с этим, реализация атак на пользовательские узлы становится все более затруднительной. Конечно, некоторые вирусные эпидемии последних лет нанесли много вреда и пользователям тоже, однако, зачастую это было связано с не расторопностью, системных администраторов, не установивших вовремя обновления и не использующих в полной мере имеющиеся средства защиты.

Но вернемся к офисным приложениям. Для многих это возможно станет сюрпризом, но функционал многих из этих замечательных средств позволяет вести слежку за пользователями и их действиями на компьютере. Я не имею ввиду отправку отчетов разработчикам данных приложений или пресловутые “черные ходы”, которые могут применяться спецслужбами для слежки за пользователями и хищения информации. Также здесь не подразумевается эксплуатация каких-либо уязвимостей в программном обеспечении и написание соответствующего кода.

Речь идет об использовании абсолютно легальных приложений и штатных настроек, позволяющих следить за пользователями и похищать их конфиденциальную информацию. При этом, данную активность вряд ли обнаружат средства защиты.

В качестве примера можно рассмотреть хорошо всем известный инструмент Skype. Изменение всего нескольких параметров позволяет настроить его для автоматического приема любых входящих видео и аудиозвонков. И данный функционал может работать даже на заблокированной рабочей станции. То есть, внеся такие настройки в Skype, злоумышленник может затем позвонить данному пользователю и его машина автоматически ответит. Да здесь есть ряд нюансов, связанных с социальной инженерией. Во-первых, кто позволит злоумышленнику внести изменения в настройки своего компьютера. Во-вторых, звонок на Skype не останется незамеченным. Также, не всегда можно точно знать заблокирована станция или нет.

Попробуем предложить решение первого вопроса. Итак, нам необходимо грамотно настроить этот функционал в приложениях, желательно незаметно для пользователя. В этом нам могут специальные устройства, подключаемые через USB порт и маскирующиеся под клавиатуру или мышь.

Так макетная плата Teensy позволяет, претворившись клавиатурой “нажать” нужные клавиши. Про макетные платы и их использование в качестве троянских флешек написано уже достаточно много, поэтому я не буду здесь о них подробно рассказывать. Желающие могут ознакомиться с моей статьей [1].

Итак, для того, чтобы настроить Skype нужным образом нам необходимо выполнить следующие действия (алгоритм будет отличаться, в зависимости от версии Skype):

Нажать WIN

Набрать skype, нажать ENTER; запускаем skype

Нажать CTRL+, ; Здесь Открываем Настройки

Нажать 6 раз DOWN ; Переходим во вкладку Безопасность

Нажать TAB, ENTER ; Принимать звонки от кого угодно

Нажать TAB, UP,ENTER ; Автоматически принимать звонки от кого угодно

Нажать TAB 17 раз , 4 раза DOWN ; Настройки звонка

Нажать TAB, ENTER ; Принимать звонки от кого угодно

Нажать TAB 3 раза, Пробел; Автоматически принимать аудиозвонок

Нажать TAB 1 раз, Пробел; Автоматически принимать видеозвонок

Нажать TAB 17 раз , ENTER ; Сохраняем настройки

Запрограммировать данный набор действий на макетной плате Teensy довольно просто. Для этого можно воспользоваться функционалом среды разработки Arduino IDE, и соответствующим языком высокого уровня.

Ниже приводится фрагмент кода для “нажатия” приведенных выше клавиш.

Keyboard.set_modifier(MODIFIERKEY_RIGHT_GUI); // клавиша WIN

Keyboard.send_now();

delay(1000); // пауза 1 сек.

Keyboard.println("skype"); //пишем слово skype

delay(3000);

Keyboard.press(KEY_LEFT_CTRL); // вызвали меню Настройки

Keyboard.press(',');

delay(1000);

Keyboard.releaseAll();

Keyboard.press(KEY_DOWN_ARROW); //курсор вниз

Keyboard.releaseAll();

Выполнение данных команд начнется сразу, после включения устройства в USB порт и его инициализации. В результате успешного выполнения данных действий злоумышленник сможет позвонить на атакуемую машину и его звонок будет автоматически принят.

Конечно, это одна из множества атак, реализуемых с помощью макетных плат. При этом стоит понимать, что ее успешная реализация немыслима без использования социальной инженерии. Хотя бы потому, что нам необходимо как-то заставить пользователя подключить наше устройство в USB-порт.

Практическая демонстрация работы устройства на базе Teensy и реализации описанной атаки была представлена в моем докладе на конференции ZeroNights, проходившей 17-18 ноября 2017 года в Москве.

Стоит отметить, что бороться данными атаками не так просто, как кажется. Можно бороться с подключением USB устройств как со средством реализации атаки. Например, в моей книге “Информационная Безопасность: защита и нападение. 2 издание.” рассматривается использование средств защиты от несанкционированного доступа на пользовательских машинах. Однако проблему “вредоносной” настройки Skype и подобных программ решить вряд ли удастся. Можно конечно поступить радикально и просто запретить коммуникационные приложения в компании. Но для многих специалистов они является рабочими инструментом и их запрет может привести к проблемам.

В случае, если запретить данные приложения нельзя, единственным средством защиты будет регулярное уведомление сотрудников о подобных атаках с указанием того, какие элементы приложения необходимо проверять.

1. Бирюков А. А. “Системный администратор” 2013 / Выпуск №12 (133) / Чужой флеш-диск. Опасайтесь троянских коней. – http://samag.ru/archive/article/2587.