Attaques de conduite USB constituent un risque de cybersécurité important, en profitant de l’utilisation quotidienne des dispositifs USB pour fournir des logiciels malveillants et contourner les mesures de sécurité du réseau traditionnelles. Ces attaques entraînent des violations de données, des pertes financières et des perturbations opérationnelles, avec des impacts durables sur la réputation d’une organisation. Un exemple est le ver Stuxnet découvert en 2010, un logiciel malveillant conçu pour cibler les systèmes de contrôle industriel, en particulier les installations d’enrichissement nucléaire de l’Iran. Il a exploité plusieurs vulnérabilités zéro-jours et se propage principalement par le biais de disques USB, ce qui en fait l’un des premiers exemples d’une cyberattaque avec des effets physiques du monde réel. Stuxnet a révélé les risques des médias amovibles et a sensibilisé mondial aux menaces de cybersécurité aux infrastructures critiques.

Comment les attaques de conduite USB se propagent

Les attaquants utilisent diverses méthodes pour fournir des charges utiles malveillantes via des lecteurs USB, ciblant les individus et les organisations.

  • Attaques de chute: Les disques USB infectés sont délibérément laissés dans les espaces publics, tels que les parkings, pour inciter les victimes à les brancher et à infecter leurs ordinateurs.
  • Attaques par courrier: Les disques USB sont envoyés à des cibles par courrier, déguisés en éléments promotionnels ou en dispositifs légitimes, pour les inciter à les brancher sur leurs systèmes.
  • Génie social: Les attaquants utilisent des tactiques psychologiques pour persuader les victimes de connecter des lecteurs USB infectés à leurs ordinateurs.
  • Branchage non sollicité: Les attaquants branchent les entraînements USB infectés dans des systèmes sans surveillance, répartissant les logiciels malveillants sans interaction victime.

Comment fonctionnent les attaques de conduite USB

Les attaques d’entraînement USB suivent généralement un processus en plusieurs étapes pour infiltrer les systèmes et causer des dommages.

  • Reconnaissance: Les attaquants recherchent leur objectif pour identifier les vulnérabilités potentielles. Dans ce cas, ils peuvent recueillir des informations sur l’organisation, ses employés et son environnement opérationnel pour déterminer la probabilité que quelqu’un utilise un lecteur USB.
  • Armement: Les acteurs de la menace préparent le lecteur USB en incorporant des logiciels malveillants. Cela peut être réalisé en infectant directement le lecteur ou en fabriquant un fichier apparemment bénin, comme un document, une vidéo ou une image, qui contient du code malveillant caché.
  • Livraison: Les attaquants distribuent le lecteur USB infecté aux cibles en le déposant dans des zones publiques, en la donnant comme un élément promotionnel ou en utilisant l’ingénierie sociale pour la livrer.
  • Exploitation: Lorsque la cible se connecte au lecteur USB, le malware est activé automatiquement ou par l’interaction utilisateur, exploitant les vulnérabilités du système.
  • Installation: Le malware est installé sur le système cible, gagnant de la persistance. Cette étape permet à l’attaquant de maintenir le contrôle du périphérique infecté même s’il est redémarré ou déconnecté.
  • Command and Control (C2): Le malware communique avec le serveur de l’attaquant. Cela permet à l’attaquant d’émettre des commandes, d’exfiltrer des données ou de déployer des charges utiles supplémentaires.
  • Actions sur les objectifs: Les attaquants atteignent leurs objectifs, tels que le vol de données sensibles, le déploiement de ransomwares ou l’établissement d’un accès persistant pour une exploitation future.
Figure 1: Étapes montrant le fonctionnement des attaques de conduite USB.
Figure 1: Étapes montrant le fonctionnement des attaques de conduite USB.

Améliorez votre posture de cybersécurité contre les attaques USB Drive avec Wazuh

Wazuh est une plate-forme de sécurité open source qui aide les organisations à détecter et à répondre aux menaces de sécurité en surveillant les activités du système, des événements informationnels aux incidents critiques. Les organisations peuvent empêcher de manière proactive les violations et protéger les données sensibles en surveillant l’activité USB avec Wazuh.

Surveillance des activités de conduite USB sous Windows à l’aide de Wazuh

Wazuh surveille les activités de lecteur USB sur les points de terminaison Windows à l’aide de la fonction d’activité PNP audit. Ces fonctionnalités enregistrent les événements Plug and Play (PNP), qui aident à identifier lorsque les lecteurs USB sont connectés. Il est disponible sur Windows 10 Pro et Windows 11 Pro, Windows Server 2016 et versions ultérieures.

Les organisations peuvent configurer WAZUH pour détecter des événements système spécifiques et surveiller les événements liés à l’USB, se concentrant en particulier sur l’ID d’événement Windows 6416, ce qui indique quand un périphérique externe est connecté. Les administrateurs de sécurité peuvent détecter les connexions des périphériques USB en créant des règles personnalisées WAZUH pour identifier les incidents de sécurité potentiels.

L’étape suivante comprend la création d’une base de données constante (CDB) des identificateurs de périphériques uniques des périphériques autorisés (DeviceID). Cette liste permet à Wazuh de différencier les appareils autorisés et non autorisés, générant des alertes pour les deux catégories. Par exemple, lorsqu’un lecteur USB autorisé est branché, il déclenche une alerte de niveau inférieur, tandis que les connexions non autorisées peuvent générer des alertes de haute sévérité qui indiquent une brèche de sécurité potentielle.

Figure 2: Événements de plug-in de lecteur USB sur un point de terminaison Windows surveillé.
Figure 3: Événement de lecteur USB autorisé.
Figure 4: Événement de lecteur USB non autorisé.

Cas d’utilisation de la détection des menaces: détection des activités de conduite USB Robin Raspberry Robin

Wazuh fournit une solution pour atténuer les menaces liées à l’USB, telles que Raspberry Robin, un ver Windows.

Raspberry Robin cible les industries comme le pétrole, le gaz, le transport et la technologie, provoquant des perturbations opérationnelles. Il se propage via des fichiers .lnk déguisés, gagne de la persistance en mettant à jour le registre userAssist et imite les dossiers légitimes. Le ver utilise des processus Windows légitimes tels que msiexec.exe, rundll32.exe, odbcconf.exe et fodhelper.exe pour exécuter, persister et télécharger des composants malveillants supplémentaires. Sa dépendance à l’égard des serveurs de commande et de contrôle (C2) basés sur TOR pour la communication sortante ajoute la furtivité et complique la détection.

Wazuh détecte Raspberry Robin en surveillant les modifications du registre, les modèles d’exécution de commandes inhabituels et les binaires suspects des binaires. Ses règles de surveillance de l’intégrité des fichiers en temps réel et de détection des menaces identifient l’activité malveillante, permettant une réponse rapide pour atténuer les perturbations potentielles.

Wazuh détecte et atténue Raspberry Robin en surveillant et en répondant à une activité suspecte comme:

  • Activités anormales CMD.exe: terminer les processus suspects ou isoler les critères de terminaison affectés.
  • Flagging msiexec.exe Téléchargements des domaines obscurs, bloquant les connexions et alerte les administrateurs.
  • Détection de contournement UAC via fodhelper.exeterminant le processus et notification des administrateurs.
  • Bloquer les connexions sortantes inhabituelles par rundll32.exe et dllhost.exe.

Vous trouverez ci-dessous un exemple de configuration de règle personnalisée qui détecte les activités de Raspberry Robin possibles.



    92004
    (?i)cmd.exe$
    (?i)cmd.exe.+((/r)|(/v.+/c)|(/c)).*cmd
    Possible Raspberry Robin execution on $(win.system.computer)
    
        T1059.003
    



    61603
    (?i)msiexec.exe$
    (?i)msiexec.*(/q|-q|/i|-i).*(/q|-q|/i|-i).*http[s]{0,1}://.+[.msi]{0,1}
    msiexec.exe downloading and executing packages on $(win.system.computer)
    
        T1218.007
    



    61603
    (?i)(cmd|powershell|rundll32).exe
    (?i)fodhelper.exe
    Use of fodhelper.exe to bypass UAC on $(win.system.computer)
    
        T1548.002
    



    61603
    (regsvr32.exe|rundll32.exe|dllhost.exe).*";document.write();GetObject("script:.*).Exec()
    Possible Raspberry Robin execution on $(win.system.computer)
    
        T1218.011
    

    
Figure 5: Robin Robin et comportements détectés sur un point de terminaison Windows surveillé.
Figure 6: Une alerte montrant les Robin Robin IOC détectés sur un point de terminaison Windows surveillé.

Pour plus de détails sur la détection du ver Raspberry Robin à l’aide de Wazuh, veuillez visiter ceci blog.

Surveillance des lecteurs USB dans Linux en utilisant Wazuh

Les disques USB peuvent également introduire des risques de sécurité aux points de terminaison Linux en tant que vecteurs potentiels pour les logiciels malveillants et l’accès aux données non autorisées. UDEV est une utilité système sur Linux qui détecte et gère automatiquement les dispositifs externes, tels que les lecteurs USB, lorsqu’ils sont branchés. Il crée les fichiers de périphérique nécessaires dans le répertoire / Dev afin que le système puisse interagir avec eux. Les administrateurs peuvent créer des règles UDEV personnalisées qui génèrent des événements détaillés, fournissant des informations sur l’activité USB. Wazuh a des règles intégrées pour la surveillance USB, mais les événements générés par l’UDEV fournissent des détails plus riches, améliorant la détection des menaces.

Nous configurons les règles UDEV sur nos points de terminaison Linux pour déclencher un script d’enregistrement chaque fois qu’un périphérique USB est connecté. L’agent Wazuh doit être configuré pour lire le fichier journal JSON généré produit à partir du script de journalisation, lui permettant de traiter et d’analyser l’activité USB.

Comme la surveillance du lecteur USB Windows, vous avez besoin d’une liste de base de données constante (CDB) des numéros de série de périphériques USB autorisés. Wazuh comparera les connexions entrantes à cette liste, déclenchant des alertes pour les appareils non autorisés.

Figure 7: Alertes du lecteur USB pour un point de terminaison Linux surveillé.
Figure 8: Un événement de lecteur USB non autorisé sur un point de terminaison Linux surveillé.

Le billet de blog sur Surveillance des lecteurs USB dans Linux en utilisant Wazuh Fournit plus d’informations sur la surveillance des lecteurs USB branchés sur les points de terminaison Linux.

Surveillance des lecteurs USB dans MacOS à l’aide de Wazuh

Vous pouvez utiliser un script personnalisé pour enregistrer des événements critiques liés aux périphériques USB sur les points de terminaison MacOS, puis configurer Wazuh pour surveiller ces événements. Les administrateurs peuvent extraire des informations telles que les événements de connexion et de déconnexion, les ID de fournisseur, les ID de produit et les numéros de série des lecteurs USB branchés. Ce script interagit avec le cadre du kit d’E / S de MacOS pour rassembler les informations du périphérique USB, qui est ensuite formatée en JSON et enregistrée dans un fichier journal. Les données de journal générées à partir de ce script personnalisé sont envoyées au serveur Wazuh pour analyse à l’aide de l’agent Wazuh.

Le billet de blog sur Surveillance des lecteurs USB dans MacOS à l’aide de Wazuh Affiche les étapes pour surveiller les lecteurs USB sur les points de terminaison macOS.

Figure 9: Alertes du lecteur USB sur un point de terminaison macOS surveillé.
Figure 10: Alerte du lecteur USB non autorisé sur un point final macOS surveillé.

Conclusion

Les attaques de conduite USB présentent un risque de sécurité entre les principaux systèmes d’exploitation, permettant une propagation de logiciels malveillants et un accès non autorisé à des acteurs malveillants.

Wazuh propose divers mécanismes de détection pour augmenter les chances de détecter les attaques d’entraînement USB et d’atténuer l’impact potentiel. Les organisations peuvent améliorer la cybersécurité en intégrant ces méthodes de détection et en appliquant des politiques d’accès USB strictes.

Références

Vous avez trouvé cet article intéressant? Cet article est un article contribué de l’un de nos précieux partenaires. Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57