K
klobald
Представь: ты втыкаешь в USB какую-то флешку, и вдруг в браузере открывается окно, где грустный клоун крутит ручку шарманки. Когда мелодия кончается, флешка делает «бам» и… в лучшем случае обсыпает тебя конфетти. Из этой статьи ты узнаешь, как скрестить девайс для атак BadUSB с устройством самоуничтожения и заодно научишься кое-каким мейкерским приемам.
Если говорить об этом устройстве как о флешке, которая может испускать дым, то, конечно, полезных применений у нее будет немного — разве что использовать в качестве декораций в кино про хакеров для особо драматичной сцены (да и видео с PoC выходит отличным!). Однако есть масса способов усовершенствовать полезную нагрузку. Например, можно заменить ее на «звуковую гранату», которая подарит немного веселья команде безопасности и сдержит их импульс немедленно выдернуть посторонний предмет из компьютера. После подключения инъектор нажатий на клавиши отработает как тебе нужно, а потом завоет сирена и не будет выключаться до тех пор, пока батарейка не умрет. Это возможно потому, что софт контролирует переключатель, способный подавать столько питания, сколько дает порт USB.
В общем, тут можно использовать много вариантов небольших схемок. А если ты можешь поставить корпус побольше, например взять формат сменных дисков на 2,5 дюйма, то выбор становится еще богаче. Это отлично сочетается с устройствами, которые работают от батарейки. Например, боевые девайсы для работы с Wi-Fi (взлом, глушилки и прочее), которые будут получать питание от батарейки, только когда их принесут в целевую зону.
Это описание проекта с основными данными об электронной схеме. Подробная информация о каких-либо опасных манипуляциях умышленно не сообщается. Видео с демонстрацией нельзя воспроизвести без дополнительной работы, познаний и компонентов.
Мотивация
Этот небольшой проект начался с того, что я наткнулся в твиттере на нелепую картинку: на ней была изображена петарда, спрятанная внутри флешки. У всех, кто видел эту картинку, была примерно одна реакция: весело, конечно, но зло. Я стал раздумывать о возможности совместить что-то подобное с Rubber Ducky, чтобы иметь и программный пейлоад, и физический.
Не буду останавливаться на неудачных экспериментах, которыми я занимался, пока искал разные подходы и делал улучшения. Большая часть этих твиков требовала умений, которыми я не владею. Но какое же веселье, если не спотыкаешься на каждом шагу? Я раньше никогда не протипировал печатных плат, не писал прошивок, не работал ни с Android, ни с чипами AVR.
Изначально я планировал использовать Hak5 Rubber Ducky, который стоит 50 долларов. Единственный выходной интерфейс у него — это LED на 3,3 В. Я подыскал миниатюрный MOSFET, который выдерживал 3 А и более при минимальном напряжении переключения около 1 В. Идеально: я мог подключиться к питанию светодиода и переключать что угодно, для чего хватит мощности USB.
Нужно было только найти способ управлять светодиодом, потому что Duckyscript делать этого не позволяет. Однако даже с кастомной прошивкой я смогу получить только очень ограниченный контроль над светодиодом. Потом я обнаружил проекты типа «USB Rubber Ducky за доллар» (или 3–5 долларов), в которых использовался чип ATtiny85. Это куда более удачный подход. В качестве бонуса в большинстве схем заодно получаешь два незанятых порта GPIO!
В поисках наименее затратного способа получить такое устройство, который бы не растянулся на месяцы в ожидании товара из Китая, я понял, что Digispark за 5 долларов — это практически готовые платы, и они продаются на Amazon. Там же обнаружилось несколько клонов Digispark по 3 доллара за штуку и по 1,5 доллара — на eBay. Причем у них есть не только нужный мне ATtiny85, но и большинство других компонентов, необходимых для проекта.
Список деталей
Вот как в итоге выглядит список деталей.
Основные детали
- Здравый смысл — 1 шт. Старайся оберегать себя и других от разнообразных опасностей;
- ATtiny85 — 1 шт. (с клона Digispark);
- сопротивление на 68 Ом — 2 шт. (с клона Digispark);
- сопротивление на 1,5 кОм — 1 шт. (с клона Digispark);
- стабилитрон на 3,6 В — 2 шт. (с клона Digispark);
- МОП-транзистор (MOSFET) IRLML2502 — 1 шт. (тут есть разные варианты. Например, ZXMN2F34FHTA тоже будет неплохо работать);
- сопротивление примерно на 680 Ом (см. важное примечание о безопасности в инструкции по сборке).
- Старая флешка в выдвижном исполнении. Нам пригодится ее корпус и штекер USB;
- печатная плата для прототипирования SMTpad 50×50 (это то, что использовал я, наверняка более опытные товарищи найдут более удачный способ собрать схему);
- медная лента (я использовал ее для замыкания соединений на плате);
- припой, паяльная паста, канифоль;
- паяльник или паяльная станция.
- Тут все полностью зависит от того, что ты собираешься добавлять. Пейлоад будет получать напряжение в 5 В на ту продолжительность времени, которую ты настроишь (по крайней мере, пока устройство подключено, если нужно — добавляй батарейку).
- Для чего-то типа «звуковой гранаты» можно напрямую подключать коннекторы 5 В.
- Для чего-то драматичного вроде дымовых шашек… эту информацию я, пожалуй, опущу, чтобы кто-нибудь из читателей не наделал глупостей. Прости, но мне придется еще в паре мест проделать с текстом такую подлянку.
Собираем все вместе
Если хочешь сделать большое устройство, например в формате внешнего диска на 2,5″, тогда можешь просто взять Digispark и добавить MOSFET для управления нашим физическим пейлоадом. А вот если ты захочешь затолкать все в крошечный формат USB-флешки, то придется ужать все компоненты. Первым делом на составные части придется разобрать Digispark. Это мне вышло дешевле и оказалось удобнее, чем покупать все компоненты по отдельности. Так что дальше будет подразумеваться, что ты пойдешь по тому же пути.
Схема
В целом тут ничего принципиально нового. Схему я успешно позаимствовал из проектов по клонированию Rubber Ducky на ATtiny85.
В моем варианте к пятому пину просто присоединен МОП-транзистор. Наименьший и наиболее чистый пример в таком варианте — это uDuck. Схема максимально простая и поддерживает самый минимум функций USB. Стабилитроны снижают напряжение на линиях передачи данных до 3,6 В. Сопротивления помогают устройству соответствовать спецификациям USB (скорость распознавания, мощность и так далее) — важно для совместимости. Я видел схемы, в которых часть (или даже все) сопротивления и стабилитроны убирают, отчего совместимость и надежность сильно падают.
Еще несколько вещей, о которых стоит знать.
- Сопротивление между истоком и стоком МОП-транзистора требует изучения. Когда сопротивление слишком высоко или резистора вообще нет, полезная нагрузка будет срабатывать при загрузке. Дело в том, что ATtiny подает на контакты напряжение при включении. Спасибо Грэму Сазерленду (@gsuberland) за помощь в этом вопросе.
- Можно сделать двойной триггер, продублировав схему с МОП-транзистором на шестом пине.
Дизайн платы
Учитывая нестандартный расклад печатной платы, я не знаю, как это изобразить правильно. Красный — это полоски медной ленты. Обрати внимание на места, где она загибается за углы. Зеленый — это места, где будут припаяны концы проводов, идущих к USB. Синий — контакты для проводов к физическому пейлоаду. Почему медная лента? Потому что я не знаю, что делаю, а это сработало после того, как я раз десять потерпел неудачу с другими вариантами.
Вот одна из плат обмотана лентой перед пайкой. Отверстия не используются — они просто часть платы SMTpad, которую я разрезал на кусочки. Ты, возможно, заметил, что я убрал подложку в том месте, где будет сопротивление на 600 Ом для МОП-транзистора. Это помогает избежать случайного замыкания.
Вот как все это выглядит после пайки. Видно остатки зеленой платы флешки, которую я разрезал.
А вот все установлено в корпус. Штекер USB хорошо бы закрепить.
Программируем ATtiny85
Когда работаешь с ATtiny из Digispark, программирование значительно облегчается, поскольку бутлоадер уже есть. Открываешь Arduino IDE, делаешь скетч, говоришь ему загрузиться, а потом втыкаешь плату в USB.
Кто-то уже даже сделал конвертер под названием digiduck для уже существующих скриптов на Duckyscript. В качестве бонуса можно использовать команды LIGHT ON и LIGHT OFF в скрипте, чтобы сработал пейлоад MOSFET. Функция LIGHT ON подает напряжение на пины 5 и 6, к которым он подключен. Если то же самое сделать на обычной Digispark, загорится синий светодиод, который включается, когда на пятый пин подается ток. Это очень полезно для тестирования.
Ниже приведен скетч, который использовался в исходном видео с конфетти. Открывается терминал, затем звук выкручивается на полную громкость и видео с Vimeo открывается на полный экран (мультик RedNoseStudio). Ничего потрясающего с точки зрения атак через HID. На 22-й секунде используется digitalWrite, чтобы подать напряжение на МОП-транзистор. Через три секунды подача тока к пейлоаду прекращается.
#include "DigiKeyboard.h" #define KEY_TAB 43 #define KEY_DOWN 81 #define KEY_DELETE 42 #define KEY_PRINTSCREEN 70 #define KEY_SCROLLLOCK 71 #define KEY_INSERT 73 #define KEY_PAUSE 72 #define KEY_HOME 74 #define KEY_PAGEUP 75 #define KEY_END 77 #define KEY_PAGEDOWN 78 #define KEY_RIGHTARROW 79 #define KEY_RIGHT 79 #define KEY_DOWNARROW 81 #define KEY_LEFTARROW 80 #define KEY_UP 82 #define KEY_UPARROW 82 #define KEY_NUMLOCK 83 #define KEY_CAPSLOCK 57 #define KEY_MENU 118 void setup() { pinMode(1, OUTPUT); pinMode(0, OUTPUT); digitalWrite(0, LOW); digitalWrite(1, LOW); DigiKeyboard.sendKeyStroke(KEY_SPACE, MOD_GUI_LEFT); DigiKeyboard.delay(500); DigiKeyboard.sendKeyStroke(0); DigiKeyboard.println("terminal"); DigiKeyboard.delay(50); DigiKeyboard.sendKeyStroke(0); DigiKeyboard.sendKeyStroke(KEY_ENTER); DigiKeyboard.delay(1500); DigiKeyboard.sendKeyStroke(0); DigiKeyboard.println("osascript -e 'set volume 4' && open
Можешь заметить, что digiduck переводит LIGHT ON/OFF как digitalWrite с параметрами (0, HIGH) или (1, HIGH). Это соответствует пину 5 (0) или 6 (1) на ATtiny. Это означает несколько светодиодов или в этом случае несколько триггеров.
Убираем пятисекундную задержку при старте
Одно из раздражающих свойств Digispark — это пятисекундная задержка при загрузке. Именно эта задержка позволяет загружать новые скетчи при подключении. Если ее убрать, то для загрузки программы нужно будет замыкать два пина ATtiny. Для борьбы с задержкой понадобится новый загрузчик. Загрузить его можно при помощи программатора, но куда веселее использовать уязвимость типа «скольжение по цепочке NOP» (NOPslide), чтобы загрузить его из памяти, которая обычно используется для скетчей. Однако для записи прошивки все равно понадобится убрать некоторые предохранители внутри чипа. А это, к сожалению, все же требует использовать высоковольтный (12 В) программатор. Говорят, в некоторых версиях Digispark биты-предохранители не выставлены, но в моей они были.
Высоковольтный программатор
Если ты выберешь путь с высоковольтным программатором, то тут большой выбор устройств — например, долларов за 60. Однако вполне можно обойтись Arduino Nano v3 за 4 доллара и макетной платой. Кто-то сделал скетч для Arduino, который автоматически очищает предохранительные биты, что для нас очень удобно. Шаги 1–3 из руководства по этой операции привели меня к желаемому результату.
Вместо того чтобы подключать ATtiny напрямую к макетке, я использовал зажим SOIC-8, чтобы программировать чип напрямую. Также я заменил двенадцативольтовую батарейку на пятивольтовый бустер за 5 баксов. Все это я так часто использовал, что перенес с макетной платы на более постоянную ProtoBoard.
Пишем новый загрузчик
Теперь, когда предохранители удалены, мы можем загружать новый бутлоадер. Как я уже говорил, ты можешь сделать это при помощи программатора. С минимальными изменениями сгодится уже использованный нами высоковольтный программатор. Но это далеко не так весело, как что-то, что делать не предполагалось.
Существует проект micronucleus, в рамках которого разрабатываются новые прошивки. Если покопаться в глубинах этого проекта, то найдется утилитка под названием upgrade, которая использует скольжение по NOP для загрузки новых бутлоадеров по USB. Ты пишешь micronucleus BootloaderName.hex — и готово. Я использовал бинарную версию micronucleus-1.11-entry-jumper-pb0-upgrade.hex. Помни, что после изменения загрузчика пропадет пятисекундная задержка и у тебя больше не будет возможности замыкать первый и пятый контакты (или другие, если у тебя другой бутлоадер) на землю, чтобы залить новый скетч для ATtiny.
Ту-ду и вишлист
- Нормальная печатная плата для удобства пайки;
- возможность получать пользовательский ввод и расширить потенциальный набор функций.
Фейлы
Я не записывал каждый шаг, но у меня остались фотографии нескольких фейлов, случившихся в процессе.
Digispark и MOSFET.
Первый тест пятивольтового триггера.
Попытка уменьшить Digispark в надежде все же упихать его в корпус флешки.
Попытка приделать контакты к корпусу SOT-23 МОП-транзистора, чтобы использовать его на макетной плате. Ножки отвалились, стоило взять его в руки.
А вот более удачная попытка поместить MOSFET на макетную плату. Это первый раз, когда я испытал всю прелесть медной ленты!
