Подделка USB Ethernet: перехват паролей Windows/macOS

USB‑адаптер, подключённый к ноутбуку

К чему стремится статья

Объяснить принцип работы атаки с поддельным USB Ethernet‑адаптером.
Перечислить требования, ограничения и системы, в которых атака была протестирована.
Дать практические рекомендации по защите и план действий при инциденте.

Суть атаки

Исследователь Роб Фуллер показал метод, при котором устройство на базе USB SoC (системы на кристалле) маскируется под Plug‑and‑Play Ethernet‑адаптер. После подключения устройство объявляет себя сетевым шлюзом, DNS‑сервером и сервером WPAD (Web Proxy Auto‑Discovery). Операционная система, автоматически устанавливающая устройство, начинает взаимодействовать с «новой сетью», и в ряде случаев системные или пользовательские учётные данные передаются через этот интерфейс — их можно зарегистрировать и проанализировать на поддельном устройстве.

Фуллер отмечает, что атака «должна была не работать», но она работает на ряде платформ. В демонстрации использовались USB Armory и Hak5 Turtle. Атака отрабатывала на следующих ОС: Windows 98, Windows 2000, Windows XP SP3, Windows 7 SP1, Windows 10 (Home и Enterprise), а также на macOS El Capitan и Mavericks. Linux в исследовании не тестировался. Фуллер также указывает сомнение в применимости к macOS на других конфигурациях — возможна зависимость от настроек.

Важно: для успешной реализации требуется физический доступ к компьютеру и наличие пользователя, у которого уже есть активный залогиненный сеанс (экран может быть заблокирован).

Почему это возможно (коротко)

Большинство ОС поддерживают автоматическую установку Plug‑and‑Play USB‑устройств.
При установке сетевого интерфейса система может инициировать сетевые операции (DNS, WPAD, попытки аутентификации), используя текущий контекст пользователя или системные сервисы.
Поддельный адаптер контролирует ответную сетевую инфраструктуру, что позволяет перенаправить трафик в сторону атакующего и получить аутентификационные попытки.

Техническая разбивка процесса атаки

Атакующий физически подключает устройство‑донгл, замаскированное под USB Ethernet.
ОС обнаруживает устройство и автоматически устанавливает драйвер/интерфейс.
Устройство объявляет себя шлюзом, DNS и WPAD, подменяя сетевые параметры.
Система запрашивает ресурсы сети или прокси — происходит обмен аутентификационными данными.
Донгл перехватывает и логирует эти данные для дальнейшего анализа.

flowchart TD
  A[Подключение USB‑адаптера] --> B[Автоустановка Plug‑and‑Play]
  B --> C[Адаптер объявляет себя шлюзом/DNS/WPAD]
  C --> D[Система инициирует сетевые запросы]
  D --> E[Отправка/попытки аутентификации]
  E --> F[Перехват и логирование учётных данных]

Ограничения и случаи, когда атака не сработает

Если на компьютере настроена политика, запрещающая установку новых устройств без прав администратора, автоматическая установка может быть заблокирована.
Если обнаружение WPAD и автоматическая конфигурация прокси отключены, канал для «вынуждения» аутентификации сокращается.
При корректной настройке сегментирования сети и ограничениях на уровне DHCP/DNS атака теряет эффект.
Если используются многофакторная аутентификация для локального входа (смарт‑карты, токены), перехват пароля не даст полного доступа.

Практические рекомендации по защите

Отключить автоматическое обнаружение прокси (WPAD) в настройках браузера и системы.
Ввести групповые политики, запрещающие установку неавторизованных USB‑устройств или требующие админ‑подтверждения.
Ограничить USB‑порт физически или при помощи систем управления устройствами (Endpoint Management, USB‑контроль).
Отключить автоматическую установку сетевых адаптеров при заблокированном сеансе (по возможности через настройки безопасности/политику OEM).
Обеспечить использование многофакторной аутентификации для входа и для критичных сервисов.
Ввести мониторинг аномалий: новые сетевые интерфейсы, неожиданные DHCP‑ответы или WPAD‑запросы.

Важная заметка: перечисленные меры уменьшают риск, но не исключают все возможные сценарии атак при физическом доступе.

Роли и контрольные списки

Для конечного пользователя:
- Не оставлять компьютер без присмотра в публичных местах.
- Блокировать экран и требовать физической безопасности устройств.
- Включить MFA там, где возможно.
Для системного администратора:
- Ввести политики установки устройств через Group Policy или MDM.
- Отключить WPAD и автоматическую установку прокси по умолчанию.
- Настроить инвентаризацию USB‑устройств и алерты.
Для команды безопасности/IR:
- Подготовить процедуру расследования при подозрении на подключение поддельного адаптера.
- Собрать логи сетевого стека и событий Plug‑and‑Play.

План реагирования при подозрении на компрометацию

Немедленно физически отключить подозрительное устройство.
Перезагрузить систему в безопасный режим и провести оффлайн‑сканирование на наличие нестандартных драйверов.
Изолировать хост от сети и собрать журнал событий Plug‑and‑Play, сетевые логи, записи DHCP/DNS.
Сменить пароли и вызвать принудительную переаутентификацию (особенно при использовании тех же учётных данных в сети).
Провести оценку масштаба: какие учётные записи/сервисы могли быть затронуты.
При необходимости — восстановление системы по проверенной резервной копии и усиление политик установки устройств.

1‑строчный глоссарий

Plug‑and‑Play: автоматическая установка устройств при подключении.
WPAD: протокол автоконфигурации прокси (Web Proxy Auto‑Discovery).
USB SoC: USB‑устройство с полноценной системой на кристалле, способное выполнять сетевые функции.

Короткое резюме

Атака с поддельным USB Ethernet‑адаптером использует доверие ОС к автоматической установке сетевых устройств и возможности автоконфигурации сети (WPAD/DNS) для вынуждения отправки учётных данных. Требуется физический доступ и активный пользовательский сеанс. Защита — комбинация политик установки устройств, отключения автоконфигурации и использования многофакторной аутентификации.

Примечание: в исследовании использовались USB Armory и Hak5 Turtle; уязвимости зависят от конфигурации ОС и политик безопасности, и не все среды будут одинаково уязвимы.