SavePearlHarbor

Физический уровень глазами атакующего: почему сеть начинается не с IP

от автора

admin

Введение

Всем привет! Любой IT‑специалист знаком с моделью OSI. Биты, кадры, пакеты, инкапсуляция — сухая абстракция, которую принято использовать как шпаргалку для траблшутинга. Но для атакующего OSI — это готовая карта векторов атаки.

Этим материалом я открываю цикл статей, в котором мы посмотрим на каждый уровень глазами пентестера — только реальные кейсы, аппаратные трюки и уязвимости архитектуры, которые не закрываются патчем.

К примеру, современные атаки на цепочки поставок (Supply Chain Attacks) показывают, что злоумышленникам не обязательно взламывать вашу сеть удаленно — достаточно скомпрометировать оборудование еще на этапе производства или логистики. Установка аппаратных закладок в сетевые контроллеры стала пугающе доступной даже для тех, кто не обладает ресурсами спецслужб

Обычно, когда речь заходит о корпоративной безопасности, все спорят про настройку VPN, межсетевые экраны, выбор EDR‑систем и Zero Trust. Сам кабель при этом воспринимается как нечто стерильное и надежное по умолчанию. Но что, если забытая Ethernet‑розетка в переговорной — это идеальная точка входа, полностью обходящая внешний периметр? Как работают пассивные сетевые TAP‑врезки, не имеющие IP‑адреса и невидимые для IDS? И почему ваша операционная система доверяет копеечному USB‑шнурку больше, чем вам самим?

Оставляем привычные метрики в стороне и спускаемся на физический уровень инфраструктуры, чтобы посмотреть на знакомое железо под другим углом.

Кабель — это тоже поверхность атаки

Когда в компании заходит речь об информационной безопасности, обычно все спорят про правильную настройку межсетевых экранов, выбор EDR‑систем или актуальные уязвимости в веб‑сервисах. Сам кабель при этом воспринимается как нечто стерильное и надежное по умолчанию. Логика простая: если провод идет внутри нашего офиса, значит, среда доверенная.

Но для пентестера именно это допущение — лучший подарок. Несмотря на распространение TLS и Zero Trust‑подходов, во многих организациях внутри сети по‑прежнему остаются незашифрованные сервисы, устаревшие протоколы и служебный трафик, представляющие интерес для атакующего. При этом атакующему далеко не всегда нужно сразу ломиться в систему и что‑то там менять. Гораздо круче — просто сесть на провод и молча слушать.

Здесь и проходит граница между активным и пассивным присутствием:

  • Активное: устройство получает IP, стучится в порты, шлет ARP‑запросы и неизбежно светится в логах.

  • Пассивное: устройство работает в режиме «только уши». У него нет сетевого адреса, оно ничего не генерирует, и для большинства средств сетевого мониторинга такое присутствие будет практически невидимым.

Миф 1. Проводная сеть по определению безопаснее Wi‑Fi

С одной стороны, да: чтобы поймать Wi‑Fi, достаточно посидеть с ноутбуком на парковке у офиса, а к проводу нужно ещё как‑то подобраться. Но на этом преимущества заканчиваются.

Многие думают, что эпоха пассивного сниффинга ушла вместе со старыми хабами (концентраторами), которые дублировали весь трафик на все порты. Сейчас везде стоят коммутаторы (свитчи), которые отправляют кадры строго получателю на основе таблицы MAC‑адресов. Кажется, что чужой трафик ты просто так не увидишь.

Администраторы для мониторинга обычно используют SPAN (зеркалирование портов), когда свитч сам копирует трафик с нужных интерфейсов и шлет его в сторону системы анализа (IDS). Но для атакующего этот вариант плохой: нужен доступ к админке свитча, да и при высокой нагрузке свитч может дропать зеркалированные пакеты.

Поэтому пентестеры используют Network TAP (Test Access Point) — физическую врезку в кабель.

Как это работает на практике

Возьмем классический Throwing Star LAN Tap — копеечную железку размером со спичечный коробок, которую можно собрать на коленке.

Схема пассивного сетевого тапа

Схема пассивного сетевого тапа

На Fast Ethernet (100 Мбит/с) пассивный TAP работает элементарно: медные жилы приема (RX) и отдачи (TX) внутри него физически разводятся на отдельные порты мониторинга. Вы втыкаете эту коробочку в разрыв линии, подключаете ноутбук и получаете копию проходящего трафика.

С гигабитным Ethernet всё несколько сложнее. В отличие от Fast Ethernet, данные здесь передаются одновременно по всем четырём парам проводников, поэтому простейшие самодельные TAP уже не работают так же прямолинейно.

Для решения этой задачи существуют специализированные гигабитные, оптические и активные TAP‑устройства. Некоторые простые конструкции для витой пары используют обходной путь — принудительно переводят соединение в режим Fast Ethernet (100 Мбит/с), после чего становится возможен классический пассивный перехват.

Здесь важен не конкретный способ реализации, а сам принцип реализации: трафик можно наблюдать непосредственно на физическом канале передачи данных, не участвуя в сетевом обмене.

Важная особенность такого TAP заключается в том, что в нём нет микросхем, питания, MAC‑ или IP‑адреса. Он физически не способен отправить в сеть ни одного бита информации. Заметить такую железку стандартными программными методами сетевого мониторинга крайне сложно, потому что на сетевом уровне её просто не существует.

Рабочий пассивный TAP, собранный из двух обычных розеток RJ-45. Источник

Рабочий пассивный TAP, собранный из двух обычных розеток RJ-45. Источник

Пассивный TAP позволяет только наблюдать за трафиком. Следующий шаг — начать его изменять.

Для этого используются уже не пассивные ответвители, а устройства, которые физически становятся посредником между двумя узлами сети и получают возможность анализировать, задерживать или модифицировать передаваемые данные.

Такой подход известен как Man‑in‑the‑Middle (MITM). В отличие от классических сетевых MITM через ARP Spoofing, здесь атака строится непосредственно на физическом подключении к линии связи.

Получив контроль над каналом передачи данных, атакующий может не только читать трафик, но и вмешиваться в него до того, как данные достигнут получателя. На практике это может использоваться для подмены незашифрованного трафика, внедрения вредоносного содержимого в загружаемые файлы или принудительного перенаправления пользователя на контролируемые ресурсы.

И здесь возникает следующий распространенный миф.

Миф 2. Нет IP‑адреса — устройства нет в сети

Для большинства сисадминов карта сети — это таблица DHCP и список IP‑адресов. Если устройства нет в этом списке, значит, к сети никто левый не подключен.

Но для пассивного наблюдения устройству вообще не обязательно получать IP‑адрес или участвовать в сетевом обмене. Атакующему достаточно молча собирать транзитные данные (например, NetNTLM‑хэши или незашифрованные пароли), оставаясь при этом невидимым для большинства средств инвентаризации сети.

Миф 3. Наша IDS видит всё

Любая, даже самая продвинутая IDS (Intrusion Detection System) — это просто софт. Она полностью зависит от того трафика, который в неё скармливают.

Если IDS получает данные через SPAN‑порт, она видит только копию сетевого обмена. Физическое присутствие пассивного TAP в линии связи при этом остаётся вне её поля зрения. С точки зрения системы между двумя легитимными устройствами происходит обычный обмен данными: нет новых хостов, подозрительных соединений или аномального поведения. Поэтому IDS способна обнаружить последствия атаки или подозрительную активность в трафике, но не сам факт существования пассивной врезки. Она отлично ищет аномалии в пакетах, однако бессильна против устройств, которые физически существуют на линии связи и при этом никак не проявляют себя на сетевом уровне.

Забытый порт как бэкдор: концепция дропбоксов

Декорацией безопасность часто становится ещё и потому, что компании защищают только те устройства, которые уже работают и видны администраторам. Но что происходит с инфраструктурой, которая прямо сейчас простаивает?

Миф 4. Если портом никто не пользуется, он безопасен

Вы заходите в любой офис и видите десятки пустых Ethernet‑розеток. Для IT‑отдела это просто удобство на случай перестановки мебели или прихода гостей. Для пентестера — идеальная точка входа во внутреннюю сеть.

Во многих организациях такие порты остаются активными годами просто потому, что «мало ли, пригодятся».

Где искать слепые зоны

Во время реального аудита никто не будет сидеть посреди переговорной с ноутбуком и запускать Nmap на глазах у сотрудников — это слишком высокий риск попасться. Задача обычно звучит иначе: получить физический доступ, за 30 секунд закрепиться в сети и уйти.

Чаще всего для этого используются места, где появление постороннего человека не вызывает лишних вопросов:

  • Переговорные комнаты. Розетки в столах или лючках почти всегда включены на коммутаторах по умолчанию, чтобы спикер на презентации не ждал, пока админ поднимет порт.

  • Принтеры и зоны печати. Общие МФУ часто стоят в коридорах. На пару секунд отключить сетевой провод от принтера и использовать его порт — дело одного ловкого движения.

  • Пустующие рабочие места. Столы «на будущее» или места уволенных сотрудников.

  • Незапертые коммутационные шкафы в доступных для посетителей зонах.

Концепция Network Dropbox

Для закрепления внутри сети используются так называемые Network Dropbox (сетевые закладки) — небольшие устройства, которые подключаются к инфраструктуре и продолжают работать уже после того, как атакующий покинул объект.

Это может быть как коммерческий Packet Squirrel от Hak5 (размером со спичечный коробок), так и самосборный вариант на базе Raspberry Pi или карманного роутера с OpenWRT. С точки зрения сети разницы нет: устройство получает IP‑адрес по DHCP и становится ещё одним узлом внутреннего сегмента. Во многих организациях этого может быть достаточно для доступа к части внутренних сервисов, доступных обычной рабочей станции. Питание для него обычно берут тут же — из USB‑порта ближайшего телевизора или принтера.

Packet Squirrel от Hak5

Packet Squirrel от Hak5

Наиболее распространённый сценарий выглядит следующим образом:

  1. Устройство незаметно подключается к активному порту и прячется за мебелью или в коробе.

  2. Получает сетевые настройки по DHCP.

  3. После получения сетевого доступа устройство может установить исходящее соединение с внешней инфраструктурой управления и ожидать дальнейших команд. Для многих средств защиты такой трафик выглядит как обычная активность рабочей станции и не вызывает подозрений сам по себе.

Почему это работает

Большинство компаний сосредоточены на защите внешнего периметра. VPN требует MFA, веб‑приложения закрыты WAF, а межсетевые экраны жестко фильтруют входящие подключения. Но физическое подключение к внутреннему порту позволяет обойти всю эту цепочку контроля.

Исторически проводная сеть воспринималась как доверенная среда. Поэтому во многих организациях подключённое устройство после успешного подключения к порту получает доступ к части внутренних ресурсов сети и возможность взаимодействовать с другими узлами своего сегмента. Для пентестера этого часто достаточно, чтобы начать внутреннюю разведку, изучить инфраструктуру и искать точки дальнейшего развития атаки.

Разумеется, в современных сетях эта проблема всё чаще решается с помощью технологий контроля доступа. Механизмы NAC (Network Access Control), аутентификация по 802.1X, сегментация сети и карантинные VLAN позволяют ограничить возможности неизвестного устройства ещё до получения полноценного доступа к корпоративным ресурсам. Однако внедрение и сопровождение таких решений требует времени, бюджета и грамотной эксплуатации, поэтому полностью доверенная проводная сеть по‑прежнему остаётся распространённым явлением.

Что мешает таким атакам

Наиболее эффективной защитой остаются механизмы контроля доступа к сети:

  • Отключение неиспользуемых портов. Нерабочие розетки должны быть жестко загашены командой shutdown.

  • Port Security и сегментация сети. Ограничение количества MAC‑адресов на порту и строгая изоляция гостевых и технологических подсетей.

  • 802.1X / NAC (Network Access Control). В идеальном сценарии подключение неизвестного устройства должно приводить не к выдаче IP‑адреса, а к блокировке порта или помещению устройства в изолированный карантинный сегмент до прохождения аутентификации.

Однако на практике внедрить и поддерживать строгий NAC — задача долгая и дорогая. Поэтому забытая Ethernet‑розетка до сих пор остаётся одной из самых недооценённых точек входа во внутреннюю инфраструктуру. Иногда весь внешний периметр компании защищён лучше, чем один активный порт в переговорной комнате.

USB, которому доверяют слишком сильно: атаки семейства BadUSB

После разговоров про кабели и сетевые розетки возникает закономерный вопрос: а что если атакующему вообще не нужен Ethernet‑порт?

Оказывается, достаточно обычного USB‑разъёма.

Многие пользователи уверены, что компьютер способен определить, что именно подключили к порту: флешку, клавиатуру или сетевой адаптер. На практике всё работает немного иначе.

Чтобы понять, почему вообще существует BadUSB, нужно буквально на минуту заглянуть внутрь работы USB.

В классическом USB‑соединении используются линии питания и линии передачи данных. Когда новое устройство подключается к компьютеру, система не просто подаёт питание на порт, а запускает процедуру инициализации.

На стороне устройства находится USB‑контроллер — небольшая микросхема, которая отвечает за обмен данными с операционной системой. После подключения компьютер отправляет запрос, а устройство сообщает о себе информацию: кто оно такое, к какому классу относится и какие функции поддерживает.

Если устройство представляется клавиатурой, система загружает драйвер клавиатуры. Если накопителем — драйвер накопителя. Если сетевой картой — драйвер сетевого адаптера.

На первый взгляд всё выглядит логично. Но есть одна особенность: компьютер не может физически проверить, действительно ли перед ним клавиатура или флешка. Он принимает решение на основании информации, которую сообщает само устройство.

Именно на этом доверии и построены атаки семейства BadUSB.

Миф 5. Если устройство выглядит как флешка, значит это флешка

BadUSB — это атака, при которой устройство выдаёт себя за другое устройство.

Чаще всего выделяют несколько основных вариантов:

  • BadUSB‑HID — устройство представляется клавиатурой или мышью;

  • BadUSB‑Ethernet — устройство представляется сетевой картой;

  • BadUSB‑Mass Storage — устройство маскируется под обычный накопитель.

Самый известный сценарий связан именно с клавиатурой.

Миниатюрное устройство после подключения начинает автоматически отправлять нажатия клавиш так, будто за компьютером работает настоящий пользователь. Операционная система считает такие действия абсолютно легитимными, потому что они приходят от доверенного HID‑устройства.

Интересно, что форм‑фактор здесь практически не имеет значения. Подобная электроника может быть спрятана внутри флешки, USB‑кабеля, веб‑камеры, переходника или любого другого устройства, которое не вызывает подозрений.

Возникает логичный вопрос: зачем злоумышленнику вообще притворяться клавиатурой?

Дело в том, что операционная система традиционно доверяет устройствам ввода. Если компьютер считает подключённое устройство клавиатурой, то все нажатия клавиш будут восприниматься как действия легитимного пользователя.

На практике это может использоваться для автоматического открытия терминала, запуска системных утилит, изменения настроек безопасности, загрузки дополнительного программного обеспечения или создания канала удалённого доступа. При этом многие защитные механизмы воспринимают такие действия как обычную активность пользователя, а не как атаку.

Особенно неприятно то, что весь процесс занимает считанные секунды. Пользователь может увидеть лишь кратковременное появление окна терминала или вовсе ничего не заметить, если команды выполняются в фоновом режиме.

Именно поэтому BadUSB интересен не сам по себе, а как способ быстро получить первоначальный доступ к системе, используя встроенное доверие операционной системы к USB‑устройствам.

Digispark

Digispark

Популярность подобных атак вышла далеко за пределы профессионального сообщества

Многие впервые увидели её в сериале Mr. Robot, где для получения доступа к системе использовалась подброшенная флешка. Несмотря на художественные допущения, сама идея вполне реалистична: устройство может выглядеть как обычный накопитель, а после подключения внезапно оказаться клавиатурой.

Именно поэтому BadUSB считается одной из немногих атак физического уровня, где успех часто зависит не столько от техники, сколько от человеческого любопытства.

Кадр из сериала Mr. Robot

Кадр из сериала Mr. Robot

Миф 6. Кабель — это просто кусок провода с медью внутри

Для большинства людей обычный USB‑шнур для зарядки смартфона или подключения мышки ‑это кусок пластика и меди. Максимум, чем он может грозить — это плохой контакт или медленная зарядка. Мы без задней мысли берем кабели из общей коробки в переговорной, одалживаем их у коллег или используем те, что уже воткнуты в офисный компьютер.

Появление на рынке кабелей семейства O.MG Cable полностью уничтожило это доверие.

Анатомия O.MG Cable: когда микрокомпьютер прячется в штекере

Кабель O.MG внешне, на ощупь и по весу абсолютно неотличим от оригинального белого кабеля Apple Lightning, фирменного USB‑C от современного смартфона или классического провода для клавиатуры. При этом он сохраняет свою базовую функцию — им действительно можно заряжать девайсы и передавать файлы на стандартной скорости USB 2.0.

Секрет кроется внутри самого USB‑разъема. Разработчикам удалось разместить всю электронику внутри стандартного USB‑разъёма без заметного изменения его внешнего вида. Они уменьшили компоненты полноценного хакерского инструмента до размеров спичечной головки и замуровали их прямо в пластиковый штекер.

Внутри штекера O.MG Elite скрыты:

  • Микроконтроллер, способный эмулировать нажатия клавиш (HID) и осуществлять двустороннюю передачу данных.

  • Встроенная энергонезависимая память, способная перехватывать и хранить до 650 000 нажатий клавиш (актуально, если кабель используется для подключения офисной клавиатуры).

  • Полноценный беспроводной чип для связи по Wi‑Fi.

Почему это опасно

Главная проблема O.MG Cable не в самом кабеле, а в том, что операционная система доверяет HID‑устройствам по умолчанию.

Когда пользователь подключает новую клавиатуру, Windows или Linux не считают это подозрительным событием. На уровне протокола USB для системы нет разницы между нажатием клавиши человеком и низкоуровневым сигналом, который сгенерировал контроллер внутри кабеля.

Поэтому сразу после подключения устройство может автоматически выполнить заранее подготовленную последовательность команд. На практике это позволяет открыть PowerShell или терминал, изменить настройки системы, загрузить дополнительное ПО или организовать удалённый доступ к компьютеру.

Даже если пользователь работает без административных прав, скомпрометированная рабочая станция часто становится отправной точкой для дальнейшей разведки внутри сети. Один удачный запуск команд может дать атакующему гораздо больше возможностей, чем кажется на первый взгляд.

Управление по Wi‑Fi

Самая интересная особенность современных версий O.MG Cable — встроенный Wi‑Fi‑модуль.

После подключения кабель может создать собственную точку доступа или подключиться к заранее известной сети. Это позволяет оператору управлять устройством удалённо и менять сценарий атаки уже после подключения к компьютеру.

Через веб‑интерфейс можно загружать новые скрипты, запускать различные последовательности нажатий клавиш и изменять параметры работы устройства.

При этом внешне ничего необычного не происходит, пользователь по‑прежнему видит перед собой обычный кабель для зарядки телефона.

O.MG Cable практически неотличим от обычного USB-кабеля.

O.MG Cable практически неотличим от обычного USB‑кабеля.

Как защититься от подобных атак

Защита от BadUSB‑устройств и «умных» кабелей — сложная задача, поскольку они эксплуатируют фундаментальные архитектурные особенности шины USB. Тем не менее, закрыть эти слепые зоны можно с помощью комплекса мер на физическом и программном уровнях:

  • Использование USB‑блокираторов (USB Data Blockers). В среде остроумных специалистов такие переходники нередко называют «USB‑презервативами». Внутри них физически отсутствуют линии передачи данных, а оставлены только линии питания. Если сотруднику необходимо зарядить смартфон от рабочего компьютера, делать это следует только через подобный блокиратор. В этом случае устройство сможет получать питание, но не сможет обмениваться данными с компьютером

  • Программный контроль HID‑устройств. Существуют специализированные программные решения (например, класса USBGuard или продвинутые EDR‑системы), которые умеют блокировать автоматическое подключение новых клавиатур. При фиксации нового HID‑устройства система требует от пользователя подтверждения (например, ввести случайный цифровой код с этой самой клавиатуры). Автоматический скрипт BadUSB сделать этого вслепую не сможет, и атака не удастся.

  • Запрет на инициализацию неиспользуемых драйверов. В корпоративных политиках (GPO) можно жестко ограничить установку драйверов для определенных классов устройств. Если сотрудникам не требуются внешние сетевые адаптеры, операционная система должна быть лишена возможности запускать драйверы для RNDIS (RNDIS — протокол удалённой спецификации драйвера сетевой архитектуры) / Ethernet‑over‑USB.

  • Физическая гигиена и маркировка периферии. Базовое правило остаётся неизменным: не использовать найденные накопители, неизвестные кабели и сторонние USB‑устройства. В организациях с повышенными требованиями к безопасности легитимную периферию дополнительно маркируют бирками или термоусадкой. Это позволяет быстро заметить подмену оборудования на рабочем месте или в переговорной.

Появление доступных платформ вроде Digispark, Rubber Ducky и O.MG Cable показало, насколько условной стала граница между периферийным устройством и полноценным инструментом атаки. Сегодня недостаточно доверять устройству только потому, что оно выглядит как обычная флешка, клавиатура или кабель.

Заключение

Мы привыкли рассматривать безопасность через призму приложений, операционных систем и сетевых протоколов. Но любой из рассмотренных примеров показывает одну и ту же закономерность: чем ниже уровень атаки, тем меньше инструментов защиты остаётся у защитника.

  • Пассивный TAP не виден для IDS.

  • Network Dropbox позволяет атакующему оказаться внутри сетевого периметра.

  • BadUSB цинично использует врожденное доверие операционной системы к периферии.

  • O.MG Cable и вовсе маскируется под предмет, который большинство людей даже не воспринимают как вычислительное устройство.

Всё это разные техники, но объединяет их одно — они начинаются не с уязвимостей в программном обеспечении, а с физического доступа к инфраструктуре.

Часть описанных техник я впервые увидел не на реальных проектах, а на соревнованиях НТО по информационной безопасности. Задания на обжим витой пары, физический MITM через RX/TX‑пары и работу с сетевой инфраструктурой хорошо показывают, что физический уровень — это не абстракция из учебника по сетям, а вполне реальная поверхность атаки, которая до сих пор встречается как в CTF, так и в корпоративных аудитах безопасности.

Именно поэтому физический уровень модели OSI остаётся фундаментом всей системы безопасности. Пока злоумышленник не может прикоснуться к оборудованию, у остальных уровней защиты есть реальный шанс сработать. Когда такой доступ появляется, многие привычные механизмы контроля перестают быть непреодолимым препятствием и превращаются лишь в дополнительный рубеж обороны.

Возможно, главный вывод здесь даже не технический. Кабель, розетка, клавиатура или USB‑шнур кажутся слишком простыми объектами, чтобы воспринимать их как вектор угрозы. Но практика показывает обратное: иногда самый сложный путь в систему начинается с самых обыденных вещей. И именно поэтому при построении защиты полезно помнить: безопасность сети начинается не с IP‑адреса, а с физического доступа к инфраструктуре.

Спасибо за внимание!

Это моя первая статья на Хабре и одновременно первая часть цикла, в котором я планирую разобрать модель OSI глазами атакующего — от физического уровня до прикладных протоколов и современных техник эксплуатации.

Также я начал вести Telegram‑блог, где буду публиковать дополнительные материалы по пентесту, CTF, сетевой безопасности и подготовке к соревнованиям по ИБ. Пока весь социальный пул только развивается, но если тема вам интересна — буду рад подписке и обратной связи.

ссылка на оригинал статьи https://habr.com/ru/articles/1045260/