Top menu

Уязвимость BadUSB: устройства USB как средства распространения вредоносного ПО

ОПИСАНИЕ

Повсеместно используемые, в том числе в съёмных устройствах хранения данных, чипы контроллера USB, не защищены от перепрограммирования, что позволяет превратить обычные устройства USB в угрозу корпоративной ИТ безопасности с помощью технологии использования уязвимости BadUSB.

Перепрограммированная прошивка "заражённого" устройства USB позволяет внедрять и распространять вредоносное ПО.

Современные системы защиты от вредоносного ПО не способны сканировать и устранять его из системной области USB устройств. Как следствие, вредоносное ПО с «зараженного» ПЗУ контроллера USB устройства использует базовые коммуникации USB протокола для неконтролируемой передачи разнообразных вредоносных агентов с устройства на компьютер или для осуществления различного рода атак, целью которых является либо немедленное извлечение важных данных с компьютера, либо его инфицирование для дальнейших злонамеренных действий.

СПОСОБЕН ЛИ DEVICELOCK УСТРАНИТЬ УГРОЗУ?

Да, способен.

Распространение вредоносного ПО с «зараженных» USB устройств на компьютерах, защищенных системой DeviceLock Endpoint DLP, будет успешно предотвращено благодаря блокировке USB подключений на уровне порта. Исключением могут быть только санкционированные организацией USB устройства, внесенные в Белый список USB устройств.

При соответствующим образом заданных DLP-политиках агент DeviceLock DLP блокирует все подключения по протоколу USB между компьютером и любым подключаемым USB-устройством, если оно не внесено в Белый список USB устройств. Таким образом, DeviceLock DLP полностью блокирует распространение вредоносного ПО BadUSB через неавторизованные для использования в организации USB устройства с «инфицированной» прошивкой.

ПРИМЕЧАНИЕ

Для обеспечения безопасного использования авторизованных через Белый список USB-устройств DeviceLock рекомендует своим клиентам эксплуатировать только такие типы USB устройств, контроллеры которых не могут быть перепрограммированы или же их перепрограммирование требует специального дорогостоящего оборудования.

Даже в тех редких случаях, когда авторизованное USB устройство оказывается инфицированным BadUSB и, как следствие, не блокируется на уровне USB-порта и может заразить компьютер, DeviceLock выполняет свою ключевую функцию предотвращения утечки с рабочей станции благодаря применению методов контентного анализа файлов и данных, передаваемых с компьютера по локальным и сетевым каналам передачи данных. Таким образом, несмотря на принципиальную невозможность гарантированного предотвращения заражения компьютера с инфицированных BadUSB авторизованных USB устройств, DeviceLock надежно препятствует попыткам вредоносного ПО передать конфиденциальные данные с защищенных корпоративных компьютеров.