عاد بطة USB المطاطية بقوة.
أداة القرصنة الشهيرة لها تجسيد جديد ، تم إصداره ليتزامن مع مؤتمر ديف كون للقرصنة هذا العام ، وكان المبدع دارين كيتشن حاضرًا لشرح الأمر الحافة. اختبرنا بعض الميزات الجديدة ووجدنا أن الإصدار الأخير أكثر خطورة من أي وقت مضى.
ما هذا؟
بالنسبة للعين البشرية ، يبدو USB Rubber Ducky وكأنه محرك أقراص USB محمول عادي. ومع ذلك ، قم بتوصيله بجهاز كمبيوتر ، ويرى الجهاز أنه لوحة مفاتيح USB – مما يعني أنه يقبل أوامر ضغط المفاتيح من الجهاز كما لو كان شخص ما يكتبها.
أخبرني كيتشن أن “كل ما يكتبه موثوق به بنفس الدرجة التي يثق بها المستخدم” ، لذلك فإنه يستفيد من نموذج الثقة المدمج ، حيث تعلمت أجهزة الكمبيوتر الثقة في الإنسان. ويعرف الكمبيوتر أن الإنسان عادة يتواصل معها عن طريق النقر والكتابة.
ظهرت لعبة Rubber Ducky الأصلية منذ أكثر من 10 سنوات وأصبحت مفضلة لدى المتسللين (حتى أنها كانت كذلك قدم في السيد روبوت المسرح). كان هناك عدد من التحديثات الإضافية منذ ذلك الحين ، لكن أحدث لعبة Rubber Ducky قفزت إلى الأمام بمجموعة من الميزات الجديدة التي تجعلها أكثر مرونة وقوة من ذي قبل.
ماذا يمكن أن تفعل؟
مع النهج الصحيح ، الاحتمالات لا حصر لها تقريبا.
بالفعل ، يمكن للإصدارات السابقة من Rubber Ducky تنفيذ هجمات مثل إنشاء مربع حوار Windows وهمي لحصد بيانات اعتماد تسجيل دخول المستخدم أو جعل Chrome يرسل جميع كلمات المرور المحفوظة إلى خادم الويب الخاص بالمهاجم. لكن كان لابد من تصميم هذه الهجمات بعناية لأنظمة تشغيل وإصدارات برامج محددة ، وكانت تفتقر إلى المرونة للعمل على جميع الأنظمة الأساسية.
:no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23949116/cfaife_220812_226139_0007.jpg)
أحدث بطة مطاطية تهدف إلى التغلب على هذه القيود. يأتي مع تحديث رئيسي للغة برمجة DuckyScript ، والتي تُستخدم لإنشاء الأوامر التي سيدخلها Rubber Ducky في الجهاز المستهدف. بينما كانت الإصدارات السابقة تقتصر في الغالب على كتابة ضغطات المفاتيح ، فإن DuckyScript 3.0 هي لغة غنية بالميزات ، مما يسمح للمستخدمين بكتابة الوظائف ، وتخزين المتغيرات ، واستخدام عناصر التحكم في التدفق المنطقي (c على سبيل المثال إذا كان هذا … ثم ذلك).
هذا يعني ، على سبيل المثال ، أن Ducky الجديد يمكنه إجراء اختبار لمعرفة ما إذا كان متصلاً بجهاز يعمل بنظام Windows أو Mac وتشغيل الكود المناسب لكل منهما بشروط أو تعطيل نفسه إذا تم توصيله بالهدف الخطأ. يمكنه أيضًا إنشاء أرقام عشوائية زائفة واستخدامها لإضافة تأخير متغير بين ضغطات المفاتيح للحصول على تأثير أكثر شبهاً بالإنسان.
ولعل الأمر الأكثر إثارة للإعجاب هو أنه يمكنه سرقة البيانات من الجهاز المستهدف عن طريق ترميزها بتنسيق ثنائي و تمريره من خلال الإشارات التي تهدف إلى إخبار لوحة المفاتيح عندما يجب أن تضيء مصابيح CapsLock أو NumLock. باستخدام هذه الطريقة ، يمكن للمهاجم توصيله لبضع ثوانٍ ، وإخبار شخص ما “آسف ، أعتقد أن محرك أقراص USB معطل” ، واستئنافه بكل كلمات المرور المحفوظة الخاصة به.
ما مقدار هذا التهديد؟
باختصار ، قد تكون هذه مشكلة كبيرة ، لكن الحاجة إلى الوصول إلى جهاز مادي تعني أن معظم الأشخاص ليسوا في خطر أن يكونوا هدفًا.
وفقًا لـ Kitchen ، كان Rubber Ducky الجديد هو المنتج الأكثر طلبًا لشركته في Def Con ، وتم بيع ما يقرب من 500 وحدة جلبها Hak5 إلى المؤتمر في اليوم الأول. من الآمن القول أن عدة مئات من المتسللين يمتلكون بالفعل واحدًا ، ومن المرجح أن يستمر الطلب لبعض الوقت.
كما يأتي مع ملف مجموعة التطوير عبر الإنترنت، والتي يمكن استخدامها لكتابة وتجميع حمولات الهجوم ثم تحميلها على الجهاز. ومن السهل على مستخدمي المنتج الاتصال بمجتمع أكبر: أ “مركز الحمولة” يسهل قسم الموقع على المتسللين مشاركة ما قاموا بإنشائه ، كما أن Hak5 Discord نشط أيضًا بمحادثات ونصائح مفيدة.
بسعر 59.99 دولارًا للقطعة الواحدة ، يكون مكلفًا للغاية بالنسبة لمعظم الناس للتخلي عن كميات كبيرة – لذلك من غير المحتمل أن يترك شخص ما حفنة متناثرة حول المقهى المفضل لديك ما لم يكن معروفًا أنه مكان لقاء أهداف حساسة. ومع ذلك ، إذا كنت تفكر في توصيل جهاز USB وجدته في مكان عام ، ففكر مليًا …
هل يمكنني استخدامه بنفسي؟
الجهاز سهل الاستخدام إلى حد ما ، ولكن إذا لم تكن لديك خبرة في كتابة التعليمات البرمجية أو تصحيحها ، فقد تؤدي بعض الأشياء إلى تعثرك. أثناء الاختبار على جهاز Mac ، لم أستطع إقناع Ducky بإدخال مفتاح F4 لفتح Dash لفترة من الوقت ، لكنني قمت بإصلاحه بعد تحديده مع شخص آخر معرف جهاز لوحة مفاتيح Apple.
منذ تلك اللحظة ، كنت قادرًا على ذلك كتابة سيناريو لذلك عند التوصيل ، سيقوم Ducky تلقائيًا بتشغيل Chrome ، وفتح نافذة متصفح جديدة ، والانتقال إلى الحافةالصفحة الرئيسية ، ثم إغلاقها بسرعة ، كل ذلك دون تدخل مستخدم الكمبيوتر المحمول. ليس سيئًا لبضع ساعات من الاختبار وشيء يمكن تعديله بسهولة للقيام بشيء أكثر شناعة من تصفح أخبار التكنولوجيا.