電腦的網絡攝影機經常被人懷擬有偷窺行為,但在一個研討會會,研究人員展示了BadCam攻擊(BadUSB的變種),通過網絡攝影機在連接的電腦上進行惡意行為,而且可完全遙距發動攻擊。
BadUSB回歸
BadUSB早在2014年被發現,透過看似無害的裝置(例如USB外置儲存)然後重新程式設計韌體,當它連接電腦,惡意裝置表現為多個組件的複合USB設備,例如:快傳、鍵盤或網絡界面卡,它的儲存功能正常運作,所以用戶可以照常使用,同時隱藏韌體偽裝鍵盤發送指令到電腦,例如啟動PowerShell然後輸入指令從互聯網下載惡意程式,或為攻擊者的伺服器開啟通道,BadUSB技術仍然被廣範地利用,通常透過Hak5 Rubber Ducky或Flipper Zero等專門黑客工具去部署。
從 BadUSB至BadCam
研究人員成功複雜重寫韌體的技倆到Lenovo 510 FHD和Lenovo Performance FHD網絡攝影機,兩者都使用SigmaStar Soc
(System on a chip),擁有兩種有趣的功能,第一種是網絡攝影機軟件是以Linux為基本和支援USB工具擴充,Linux核心功能讓裝置呈現自身為USB週邊,例如鍵盤或網絡界面卡,第二種是網絡攝影機的韌體更新過程欠缺加密防護,只要透過USB界面發送幾個指令和一個新記憶體鏡像,再在電腦上以標準用戶權限執行便可以刷新韌體,在修改後,Lenovo網絡攝影機變成鍵盤攝影機的混合體,能向電腦發送預設的指令。儘管研究人員在Lenovo網絡攝影機進行測試,但以Linux為基本的USB裝置可能存在相似的安全漏洞。
BadCam攻擊的資安風險
黑客以BadCam攻擊機構的風險包括:
- 攻擊者發送的新攝影機
- 攝影機暫時從機構電腦離線然後連接到攻擊者的手提電腦進行重刷
- 連接機構電腦的攝影機被惡意程式遙距入侵
以行為分析偵測惡意程式比較困難,因為它無需進行可疑的活動,例如更改registry、檔案或網絡,它只需要與網絡攝影機溝通,如果第一階段攻擊成功,惡意韌體然後發送鍵盤指令:
- 關閉保安工具
- 下載和執行惡外惡意程式
- 啟動合法工具進行LotL(Living Off the Land)攻擊
- 回應系統提示,例如提升權限。
- 通過網絡從電腦盜竊資料
與此同時,模準的軟件掃瞄也不能偵測威脅,即使全系統重新安裝也不能移除,系統記錄將會顯示登入的用戶鍵盤有惡意行為。
防範BadCam攻擊
使用標準的保安工具能夠在幾個階段封鎖木馬化週邊和使LotL攻擊更困難,我們建議:
- 設定EDR或EPP方案監察已連線的HID裝置,當一個具鍵盤功能的裝置連接,用戶必需輸入螢幕顯示的數字才能使鍵盤控制系統。
- 設定SIEM和XDR方案收集和分析詳細的HID裝置連線和離線的telemetry。
- 在MDM或EMM方案設定USB埠控制,根據其能力,用戶可以關閉所有USB埠或創建白名單。
- 可能的話,在員工電腦上強制執行使用應用程式的白名單,只有批准的軟件才能運行,其他應用程式則被封鎖。
- 定期更新軟件和標準裝備的韌體
- 採用最少特權原則,確保員工只擁有其職權的存取權限。
- 把BadUSB和BadCam放入資安培訓內,並提供簡單指引。
資料來源:Kaspersky Blog
