Атаки через USB‑накопители представляют существенную угрозу цифровой инфраструктуре. Универсальность съемных носителей позволяет злоумышленникам обходить сетевые контроли, внедряя вредоносное ПО, что приводит к утечкам данных, финансовым потерям и операционным сбоям. Червь Stuxnet, зафиксированный в 2010 году и нацеленный на объекты обогащения ядерного сырья в Иране, продемонстрировал реальные физические последствия подобных атак и значительно повысил осведомленность о рисках использования USB‑устройств.
Распространение атак осуществляется посредством различных методов, включающих оставление заражённых накопителей в общественных местах, рассылку устройств по почте под видом легитимных товаров, использование психологических техник убеждения и физическое подключение USB‑накопителей к незаблокированным системам. Непрерывный цикл атаки включает этапы разведки, подготовки и внедрения вредоносного кода, доставки заражённого устройства, активации и установки ПО, установления связи с сервером управления (C2) и осуществления конечных задач, таких как кража конфиденциальной информации или организация программ-вымогателей.
Платформа Wazuh функционирует как открытое решение для обеспечения безопасности, позволяющее отслеживать события – от информационных до критических инцидентов – и предотвращать попытки несанкционированного доступа. Система анализирует активность USB‑устройств в реальном времени, что способствует защите критически важных данных и оперативному реагированию на выявленные угрозы.
На операционных системах Windows реализована функция аудита Plug and Play, фиксирующая подключения USB‑накопителей посредством события с идентификатором 6416. Возможности системы применимы на платформах Windows 10 Pro, Windows 11 Pro и Windows Server 2016 и более поздних версиях. Настройка пользовательских правил в Wazuh в сочетании с константной базой данных уникальных идентификаторов позволяет различать авторизованные и неавторизованные подключения, оперативно сигнализируя о подозрительной активности.
Червь Raspberry Robin, нацеленный на отрасли нефти, газа, транспорта и технологий, распространяется через замаскированные файлы формата.lnk и добивается устойчивости благодаря обновлению реестра через UserAssist, эмулируя легитимные папки. При этом используются стандартные процессы Windows – msiexec.exe, rundll32.exe, odbcconf.exe и fodhelper.exe, а для сокрытия своей активности применяются TOR‑сервера для установления связи с C2. Система Wazuh отслеживает такие инциденты посредством мониторинга изменений в реестре и анализа аномальных команд, используя правило Rule ID 100100 (уровень 12, ссылаясь на MITRE T1059.003), а также Rule ID 100101 (уровень 7, MITRE T1218.007), Rule ID 100103 (уровень 12, MITRE T1548.002) и Rule ID 100105 (уровень 10, MITRE T1218.011).
В системах Linux контроль над подключением USB‑устройств осуществляется с помощью утилиты udev, которая автоматически обнаруживает внешние носители и создаёт соответствующие файлы в каталоге /dev. Настройка индивидуальных правил udev позволяет генерировать детальные события, а специализированные скрипты формируют JSON‑логи, передаваемые агентом Wazuh для дальнейшего анализа. Наличие базы данных разрешённых серий устройств обеспечивает мгновенное обнаружение несанкционированных подключений.
В операционной системе macOS применяется специальный скрипт, взаимодействующий с фреймворком I/O Kit для регистрации событий подключения и отключения USB‑накопителей. Скрипт извлекает ключевые данные – идентификаторы производителя и продукта, а также серийные номера – и формирует их в формате JSON для передачи агентом Wazuh на сервер. Такой подход позволяет оперативно фиксировать как корректные, так и подозрительные подключения, обеспечивая высокий уровень безопасности системы.
Интеграция мониторинга активности USB‑устройств в инфраструктуру организации позволяет выявлять угрозы в режиме реального времени и оперативно реагировать на попытки несанкционированного доступа. Применение комплексного подхода с настройкой специализированных правил и использованием базы данных авторизованных устройств существенно снижает риски кибератак, обеспечивая надежную защиту критически важных данных вне зависимости от используемой операционной системы.
Изображение носит иллюстративный характер
Распространение атак осуществляется посредством различных методов, включающих оставление заражённых накопителей в общественных местах, рассылку устройств по почте под видом легитимных товаров, использование психологических техник убеждения и физическое подключение USB‑накопителей к незаблокированным системам. Непрерывный цикл атаки включает этапы разведки, подготовки и внедрения вредоносного кода, доставки заражённого устройства, активации и установки ПО, установления связи с сервером управления (C2) и осуществления конечных задач, таких как кража конфиденциальной информации или организация программ-вымогателей.
Платформа Wazuh функционирует как открытое решение для обеспечения безопасности, позволяющее отслеживать события – от информационных до критических инцидентов – и предотвращать попытки несанкционированного доступа. Система анализирует активность USB‑устройств в реальном времени, что способствует защите критически важных данных и оперативному реагированию на выявленные угрозы.
На операционных системах Windows реализована функция аудита Plug and Play, фиксирующая подключения USB‑накопителей посредством события с идентификатором 6416. Возможности системы применимы на платформах Windows 10 Pro, Windows 11 Pro и Windows Server 2016 и более поздних версиях. Настройка пользовательских правил в Wazuh в сочетании с константной базой данных уникальных идентификаторов позволяет различать авторизованные и неавторизованные подключения, оперативно сигнализируя о подозрительной активности.
Червь Raspberry Robin, нацеленный на отрасли нефти, газа, транспорта и технологий, распространяется через замаскированные файлы формата.lnk и добивается устойчивости благодаря обновлению реестра через UserAssist, эмулируя легитимные папки. При этом используются стандартные процессы Windows – msiexec.exe, rundll32.exe, odbcconf.exe и fodhelper.exe, а для сокрытия своей активности применяются TOR‑сервера для установления связи с C2. Система Wazuh отслеживает такие инциденты посредством мониторинга изменений в реестре и анализа аномальных команд, используя правило Rule ID 100100 (уровень 12, ссылаясь на MITRE T1059.003), а также Rule ID 100101 (уровень 7, MITRE T1218.007), Rule ID 100103 (уровень 12, MITRE T1548.002) и Rule ID 100105 (уровень 10, MITRE T1218.011).
В системах Linux контроль над подключением USB‑устройств осуществляется с помощью утилиты udev, которая автоматически обнаруживает внешние носители и создаёт соответствующие файлы в каталоге /dev. Настройка индивидуальных правил udev позволяет генерировать детальные события, а специализированные скрипты формируют JSON‑логи, передаваемые агентом Wazuh для дальнейшего анализа. Наличие базы данных разрешённых серий устройств обеспечивает мгновенное обнаружение несанкционированных подключений.
В операционной системе macOS применяется специальный скрипт, взаимодействующий с фреймворком I/O Kit для регистрации событий подключения и отключения USB‑накопителей. Скрипт извлекает ключевые данные – идентификаторы производителя и продукта, а также серийные номера – и формирует их в формате JSON для передачи агентом Wazuh на сервер. Такой подход позволяет оперативно фиксировать как корректные, так и подозрительные подключения, обеспечивая высокий уровень безопасности системы.
Интеграция мониторинга активности USB‑устройств в инфраструктуру организации позволяет выявлять угрозы в режиме реального времени и оперативно реагировать на попытки несанкционированного доступа. Применение комплексного подхода с настройкой специализированных правил и использованием базы данных авторизованных устройств существенно снижает риски кибератак, обеспечивая надежную защиту критически важных данных вне зависимости от используемой операционной системы.
