USB Drop Attack

Що таке USB Drop Attack?

USB drop attack — це техніка соціальної інженерії, при якій зловмисники залишають заражені USB-накопичувачі в місцях, де цільові працівники, ймовірно, їх знайдуть та підключать, наприклад на парковках, у вестибюлях, кімнатах відпочинку та конференц-залах. Дослідження 2016 року, проведене дослідниками Університету Іллінойсу, показало, що 48% підкинутих USB-накопичувачів було підключено до комп'ютерів, причому перший накопичувач був під'єднаний протягом шести хвилин після розміщення. Незважаючи на роки кампаній з обізнаності про безпеку, цікавість та бажання допомогти продовжують перевищувати обережність. У цій симуляції Ви знаходите USB-накопичувач з привабливою позначкою: 'Зарплатні дані Q4', 'Конфіденційно' або ім'я керівника компанії. Вправа дозволяє Вам пережити, що відбувається, коли цей накопичувач підключають. Деякі USB-атаки використовують скрипти автозапуску, що виконують шкідливе ПЗ в момент підключення. Інші покладаються на те, що користувач відкриє файл, який виглядає як документ, але насправді встановлює троян віддаленого доступу. Більш просунуті атаки використовують пристрої USB Rubber Ducky, які емулюють клавіатуру та вводять команди на машинній швидкості, компрометуючи систему менш ніж за 10 секунд без жодної взаємодії користувача, крім підключення. Ви дізнаєтесь правильну реакцію, коли знаходите невідомий USB-пристрій: не підключайте його, не намагайтеся визначити власника, переглядаючи вміст, та негайно повідомте Вашу команду ІТ-безпеки. Вправа також охоплює організаційні політики щодо знімних носіїв, включаючи вимкнення USB-портів на робочих станціях, де вони не потрібні, впровадження виявлення кінцевих точок, що сповіщає про нові USB-підключення, та ведення списку затверджених пристроїв для працівників, яким потрібні знімні носії для легітимних бізнес-цілей.

Що ви дізнаєтесь у USB Drop Attack

• Розпізнавати USB drop атаки як навмисну техніку соціальної інженерії, що використовує людську цікавість та бажання допомогти
• Дотримуватись правильного протоколу реагування на знайдені USB-пристрої: не підключати, не перевіряти вміст, негайно повідомити ІТ-безпеку
• Пояснити, як працюють різні вектори USB-атак, від шкідливого ПЗ автозапуску та троянізованих документів до USB Rubber Ducky ін'єкції натискань клавіш
• Визначати місця високого ризику, де зазвичай організовуються USB drop атаки, включаючи парковки, вестибюлі, конференц-зали та спільні простори
• Підтримувати організаційні політики щодо знімних носіїв, включаючи обмеження USB-портів, сповіщення виявлення кінцевих точок та реєстри затверджених пристроїв

USB Drop Attack — Кроки навчання

1. Ранкове відкриття

   Ранок вівторка. Аліса бере каву та йде до домашнього офісу, щоб почати робочий день. Проходячи через вестибюль житлового будинку, їй щось привертає увагу на підлозі біля поштових скриньок. Витончений чорний USB-накопичувач із написом офіційного вигляду: 'КОНФІДЕНЦІЙНО – Огляд зарплати за 4 квартал – ЛИШЕ HR'

2. Спокуса

   Аліса береться за драйв, викликавши цікавість. На її фірмі повинен працювати хтось із її будинку – чи, може, конкурент? Вона знає, що має передати це ІТ, але... «Я просто спочатку перевірю, що на ньому», — думає вона. «Якщо це дійсно кадрові дані, я повинен переконатися, що вони наші, перш ніж передавати їх».

3. Антивірусне попередження

   Windows розпізнає USB-накопичувач. Відкриється провідник файлів, який показує кілька файлів: Q4_Salary_Review_2024.xlsx Employee_Performance_Rankings.pdf Compensation_Adjustments.docx Раптом з’являється антивірусне попередження – система виявила підозрілий вміст на диску.

4. Відкриття файлу

   Аліса відкидає попередження, переконана, що воно помилкове. Таблиця заробітної плати тут, обіцяючи відповіді на запитання, про які всі шепочуть. Вона двічі клацає файл Excel. Він відкривається з попередженням безпеки: «Макроси вимкнено». Вміст приховано за повідомленням із проханням увімкнути макроси.

5. Шифрування

   У той момент, коли Аліса натискає «Увімкнути вміст», виконується шкідливий макрос. На екрані коротко блимає вікно командного рядка. Жорсткий диск починає крутитися. За кілька секунд програма-вимагач безшумно шифрує кожен файл на її комп’ютері – документи, фотографії, проекти тощо.

6. Перевірка її файлів

   Щось не так. Комп’ютер Аліси здається млявим, а жорсткий диск усе ще не працює. У її животі утворюється холодний вузол. Вона поспішає перевірити важливі робочі документи — квартальний звіт, над яким працювала тижнями.

7. Вимога викупу

   Замість її квартального звіту з’являється жахливий екран викупу. Сяючий червоний значок замка. Таймер зворотного відліку. Попит на 0,5 Bitcoin. Кожен файл на її комп’ютері – документи, фотографії, проекти – зашифровано програмою-вимагачем. Зловмисники вимагають плату за розблокування її даних.

8. Миттєве реагування

   Серце Аліси завмирає, коли вона усвідомлює серйозність ситуації. Усі її файли – робочі проекти, особисті документи, усе – зараз зашифровано та є заручниками. Вона пам’ятає з тренінгу безпеки: першочергове завдання – зупинити поширення шкідливого програмного забезпечення на інші пристрої в мережі.

9. Контроль пошкоджень

   Аліса негайно вимикає свій ПК, щоб запобігти подальшому поширенню програми-вимагача. Вона пам’ятає з тренінгу безпеки: спочатку відключіться, а потім задавайте запитання. Вона переходить до свого резервного ноутбука, щоб повідомити про інцидент. Команда безпеки повинна знати про це негайно.

10. Подання Звіту

    Аліса відкриває форму звіту про інцидент безпеки. Повна чесність має вирішальне значення – навіть якщо вона зробила помилку, швидке повідомлення може зменшити шкоду. Вона документує все: де знайшла USB, що з ним робила та зараження програмою-вимагачем.