Физический аудит USB и доступа в офис: реверс случайной флешки сотрудника

Проектная фирма из Бутырского района, 38 рабочих мест. Делают проекты для девелоперов и промпредприятий — чертежи стоимостью миллионы рублей, NDA, переписка с подрядчиками. Один из главных инженеров утром нашёл флешку у входа на лестничную клетку. «Может, чья-то», — решил он и воткнул в рабочий ноутбук. Через 30 секунд сработал наш EDR: машина ушла в изоляцию, инженер звонит нам. Два рабочих дня я разбирал флешку. Потом мы две недели приводили в порядок весь физический периметр клиента. Вот что показало вскрытие, чему мы научились и как теперь делаем физический аудит у всех клиентов.

Что мы нашли в той флешке

Внешне — обычная Kingston DataTraveler 16 ГБ. Серый корпус, немного потёртая, никаких лишних надписей. Подключаешь — и сразу видишь два устройства. Первое: massStorage с одним файлом «Прайс-лист 2026.xlsx». Второе: HID Keyboard с VID:0951 PID:1666. Вот тут и зажигается красный флаг — обычная флешка не должна регистрироваться как клавиатура.

Под лупой Bresser внутри оказались две платы. Контроллер Phison PS2251-13 и поверх него — припаянная перемычкой плата ATtiny85 с прошивкой. Классический BadUSB, он же Rubber Ducky-style HID Injector. При подключении ATtiny ждёт 5 секунд — пока Windows загрузит драйверы. Потом прикидывается клавиатурой и за 0,8 секунды вбивает: Win+R, строку запуска PowerShell с base64-encoded payload, Enter. Быстрее, чем пользователь успевает что-то заметить.

Декодировал base64 — получился классический dropper. Скачать с сервера 185.243.x.x файл client.exe, положить в %APPDATA%\Microsoft\Templates, прописать в автозагрузку через реестр, стереть следы из истории PowerShell. Файл client.exe — Lumma Stealer. Крадёт пароли из браузеров, криптокошельки, токены банк-клиентов, файлы по маске *.docx, *.pdf, *.dwg. Маска *.dwg — вот где стало интересно. Кто-то заранее знал, что атакует проектную фирму.

Случайность исключена. «Потерянная» флешка — targeted attack: кто-то знал профиль бизнеса клиента и подкинул её целенаправленно. Проектирование для девелоперов с миллиардными контрактами — мотив очевиден. Я написал директору коротко: «Это не флешка. Это вооружённое нападение с отсрочкой на неделю. Нужен срочный план». Директор ответил: «Жду в понедельник. Делаем».

Как мы провели физический аудит за два дня на месте

Блок 1. USB-периметр на каждом РМ

Прошёл по всем 38 рабочим местам с ноутбуком и USB-сниффером. На 31 ПК USB Mass Storage был открыт без каких-либо ограничений. На 28 из них — ещё и USB HID без белого списка. Журналирования подключений USB не было ни на одном. Kaspersky Endpoint Security стоял, но без модуля Device Control. Типовая картина: антивирус есть, а реальной защиты — нет.

Блок 2. Контроль доступа в офис

Офис на четвёртом этаже бизнес-центра, вход через ресепшн, дальше — стеклянная дверь с СКУД на пропусках Mifare Classic. Серверная отдельная комната, запирается на ключ. Два момента сразу бросились в глаза. Первый: ключ от серверной висел на гвозде в кабинете админа — любой посетитель мог взять за пять минут. Второй: пропуски Mifare Classic — это давно сломанная криптография, копируется за 15 минут с Proxmark3. Не теоретически, а буквально.

Блок 3. Сетевые розетки

Переговорная используется для встреч с заказчиками-девелоперами. На стене — открытая сетевая розетка, подключённая к рабочей VLAN 10. Посетитель подсоединяет ноутбук за 30 секунд — и оказывается внутри корпоративной сети. Я предложил проверить прямо на месте. Подключил свой ноутбук, DHCP выдал IP, и я оказался в одной сети с серверами 1С и файловым сервером. На 1С — гостевой доступ без пароля. Админ его «оставил для тестов и забыл».

Блок 4. Видеонаблюдение и доступ к нему

В офисе 6 камер Hikvision DS-2CD2143G2-I, регистратор Hikvision DS-7616NI-K2 в серверной. Пароль на регистратор — admin/admin12345, фабричный после сброса. Архив доступен через iVMS-4200 по локальной сети без отдельных учёток. Я подключился с гостевого Wi-Fi. Недельный архив скачался за 12 минут. Никто этого не заметил.

Блок 5. Политика чистого стола и распечаток

На столах нашёл четыре стикера с паролями — один гордо подписан «1С: AdminPass2025!». В трёх кабинетах у принтеров лежали стопки забытых распечаток с чертежами — накапливались неделями. Мусорное ведро без шреддера, в нём — коммерческие предложения за прошлую неделю. И открытый Outlook на компьютере одного из партнёров, который в этот момент просто обедал.

Блок 6. Гостевые устройства

Телевизор Samsung в переговорной подключён к корпоративной сети — не к гостевой — и принимает Miracast-подключения от любого устройства без авторизации. Курьеры-гости заходят в приёмную свободно, до ресепшна. На кухне — принтер Brother HL-L2370DW, печатает с любого устройства в сети без пароля. Всё это вместе — не параноя, а реальные точки входа.

Блок 7. Утилизация и переработка

Под столом у админа лежали пять старых жёстких дисков. Помечены как «вытащить когда-нибудь». Я подключил — нашёл копии баз 1С трёхлетней давности: персональные данные сотрудников, паспортные данные клиентов, реквизиты счетов. Про утилизацию никто не думал всерьёз. «Отдадим знакомому» — так это и формулировалось.

Блок 8. Физическая защита роутера и стека

Роутер MikroTik CCR1009 висел под потолком в коридоре офиса — открытый стек, никакого ограждения. Консольный порт доступен любому, кто принесёт лестницу. Питание от обычной розетки без UPS. Пароль на роутере — admin. Тот самый дефолтный, который RouterOS предлагает сменить при первом входе. Здесь не сменили.

Что мы поменяли за две недели

USB Device Control через KSC и GPO

На все 38 рабочих мест развернули Kaspersky Security Center 14 с модулем Device Control. Политика под проектную фирму: USB Mass Storage запрещён по умолчанию, разрешены только корпоративные флешки по серийному номеру. HID-устройства — белый список по VID/PID, только Logitech, Microsoft, Dell для штатных клавиатур и мышей. Любое подключение журналируется в KSC и в Wazuh.

# GPO: дополнительная блокировка установки USB Mass Storage
# Computer Configuration → Administrative Templates → System →
# Device Installation → Device Installation Restrictions

Prevent installation of devices that match any of these device IDs:
    USBSTOR\GenDisk             # Generic USB storage
    USB\Class_08&SubClass_06    # Mass Storage Class
    SBP2\GenSBP2Hd              # FireWire storage

Prevent installation of devices using drivers that match these device setup classes:
    {4d36e967-e325-11ce-bfc1-08002be10318}   # DiskDrive
    {53f56307-b6bf-11d0-94f2-00a0c91efb8b}   # Volume

# Audit policy — журналирование USB-событий
Computer Configuration → Windows Settings → Security Settings →
  Advanced Audit Policy Configuration → DS Access →
  Audit Plug and Play Events: Success, Failure

На сервере Wazuh 4.7 написал правило: любое USB-устройство не из белого списка — алерт в Telegram-канал ITfresh плюс автоматическая изоляция машины через KSC API. Работает без участия человека. Первые два дня после запуска поймали четыре попытки — все легитимные, но незарегистрированные устройства.

# Wazuh rule: алерт по USB-подключению вне списка
<rule id="100501" level="10">
  <if_sid>60106</if_sid>
  <match>DriverFrameworks-UserMode</match>
  <match>Plug and Play</match>
  <regex type="pcre2">PNPClass=(USB|HIDClass|DiskDrive)</regex>
  <description>USB device connected — verify against whitelist</description>
  <group>usb_audit,pci_dss_9.6</group>
</rule>

<active-response>
  <command>notify-itfresh-on-call</command>
  <location>server</location>
  <rules_id>100501</rules_id>
</active-response>

Замена СКУД и проверка пропусков

Двери офиса и серверной получили электромеханические замки TESA со СКУД на пропусках Mifare DESFire EV2 — современная криптография, не Mifare Classic. Ключ от серверной теперь у одного человека, системного администратора клиента. Запасной — в сейфе у директора. Срабатывание двери серверной в нерабочее время сразу уходит в Telegram-алерт.

Переговорные и сетевые розетки

Розетку в переговорной перевели в гостевой VLAN 30 с access-list: только наружу через интернет, корпоративная сеть недостижима. Розетки в приёмной, на кухне и у входа — то же самое, либо физически отключены от коммутатора. На рабочих местах включена 802.1X-аутентификация: подключиться может только корпоративный ноутбук с правильным сертификатом. Чужой девайс — просто не получит сети.

# MikroTik: 802.1X на коммутаторах CRS328 для рабочих мест
/interface ethernet
set [find name="ether1-23"] poe-out=auto-on l2mtu=10218

/interface bridge port
set [find interface=ether1-23] hw=yes pvid=10

# Для портов в гостевых зонах — другой VLAN
/interface bridge vlan
add vlan-ids=10 tagged=switch1-cpu untagged=ether1-23
add vlan-ids=30 tagged=switch1-cpu untagged=ether24-26

# RADIUS для 802.1X
/radius
add address=192.168.20.10 secret="strong-shared-secret" service=login

# Security profile для портов
/interface ethernet switch
set [find name=switch1] vlan-mode=secure

Видеонаблюдение и архив

На регистраторе поставили 18-символьный пароль, отключили UPnP и P2P, ограничили доступ подсетью админа 192.168.20.0/24. На каждой камере — уникальные пароли отдельно. Архив переехал на NAS Synology DS923+ с RAID-1 и шифрованием тома. Смотреть архив теперь только через VPN с 2FA.

Политика чистого стола и принтеры

Совместно с офис-менеджером ввели правило: всё распечатанное либо уходит с собой, либо в шреддер. Купили шреддер 4-го уровня DIN (HSM SECURIO B26), поставили в общем коридоре. На принтере Brother настроили pull-printing: документ отправляется в очередь и распечатывается только после прикладывания пропуска к принтеру. На нашей практике именно это изменение сотрудники замечают сразу — и оно меняет культуру работы лучше любого инструктажа.

Гостевая Wi-Fi и Miracast

Гостевой Wi-Fi переделали: captive-portal на Mikrotik HotSpot, полностью изолированный VLAN, отдельный SSID, динамический пароль на каждый день. Телевизор Samsung в переговорной перенесли в гостевой VLAN. Miracast оставили — теперь он безопасен, потому что телевизор больше не видит корпоративную сеть.

Утилизация старого железа

Все пять старых жёстких дисков сначала зашифровали через Eraser (35 проходов), потом разбили молотком и сдали в утиль с актом списания. Это не перестраховка. Это единственный способ гарантировать, что данные не уйдут вместе с железом. На будущее ввели регламент: вышедший из строя или замененный диск физически уничтожается в течение 7 дней с подписанием акта.

Грабли, на которые мы наступили

Грабля #1: Корпоративные флешки тоже не помогают

Изначально выдали 10 корпоративных флешек Kingston IronKey D300S с аппаратным шифрованием — для выездов на стройки и передачи файлов нотариусу. Через две недели три из них потеряли. Проектировщики работают на объектах, флешки лежат в карманах с гвоздями. Перешли на другую схему: флешка выдаётся по запросу через админа под конкретную задачу, после возврата — протирается. Никакого «личного» носителя.

Грабля #2: 802.1X сломал docking station одного партнёра

У одного из партнёров ноутбук шёл через USB-C-док, а дока — через Ethernet. После включения 802.1X дока стала непрозрачной для аутентификации, Ethernet перестал работать. Партнёр пересел на Wi-Fi и молчал два дня, пока мы не заметили. Решилось MAC-bypass для конкретного MAC-адреса доки. Но хотелось бы поймать это на тестовом этапе, не на живом пользователе — урок на будущее.

Грабля #3: Пропуски DESFire EV2 не работали с турникетом БЦ

Турникет на этаже БЦ работал на старых пропусках Mifare Classic. Мы поменяли только офисный СКУД, и сотрудники неделю ходили с двумя пропусками: старый для турникета, новый для офиса. Потом договорились с управляющей компанией — они обновили считыватели под DESFire. Заняло около двух недель и обошлось клиенту ещё в 18 000 ₽ на считыватель в БЦ. Момент, который стоило предусмотреть сразу.

Цифры проекта

Аудит — два рабочих дня инженера на месте плюс два дня на отчёт. Стоимость: 56 000 ₽. Внедрение растянули на 14 рабочих дней, разбили на этапы: USB-контроль и SIEM — 4 дня, 64 000 ₽; замена СКУД и видеонаблюдение — 4 дня работы плюс железо, 96 000 ₽ работы и 78 000 ₽ оборудования; сетевые розетки и 802.1X — 3 дня, 48 000 ₽; политики и регламенты — 3 дня, 36 000 ₽. Итого около 380 000 ₽ за весь проект плюс сопровождение от 18 000 ₽ в месяц.

За три месяца после внедрения: ноль успешных подключений чужих USB-устройств. Четыре зафиксированных попытки — одна забытая флешка партнёра, три попытки зарядить личные iPhone. Все заблокированы. Ноль инцидентов с физическим доступом. Четыре алерта по сетевым розеткам в нерабочее время: один — клининг мыл полы и случайно задел, три — ложные срабатывания на технические ремонты в здании.

FAQ: что чаще всего спрашивают клиенты

Что такое BadUSB и насколько это реальная угроза в 2026?

BadUSB — это когда USB-устройство притворяется клавиатурой, сетевой картой или ещё чем-нибудь, и от имени пользователя запускает команды. Не фантастика — на AliExpress такая «безобидная флешка» стоит 1500–3000 ₽. На нашем пилоте дроппер ввёл пароль администратора через 0,8 секунды после подключения. Защита простая: белый список USB по VID/PID и отключение HID-классов на корпоративных машинах.

Можно ли запретить USB-флешки совсем без слома работы?

Да, это правильный подход для большинства офисов. Флешки нужны редко: документы передаём через корпоративные шары и облако, презентации — по HDMI, токены ЭЦП — в белом списке. В проектной фирме после запрета USB Mass Storage в первый месяц пришло три запроса на разблокировку. Все три решились через файловое облако. С четвёртого месяца — ноль запросов. Люди быстро привыкают, если дать удобную альтернативу.

Зачем делать физический аудит, если у нас уже есть антивирус?

Антивирус видит файлы. Физический периметр — всё остальное. Кто открывает серверную. Насколько просто посетителю подключиться к розетке в переговорной. Что лежит в мусорном ведре после рабочего дня. По нашему опыту у 80% клиентов до аудита физическую безопасность никто отдельно не строил. За 15 минут в таком офисе можно получить доступ к любым данным. Антивирус против этого не поможет.

Что включает физический аудит у вас?

Восемь блоков: контроль доступа в офис и серверную, USB-периметр на каждом рабочем месте, сетевые розетки (особенно в переговорных и приёмных), видеонаблюдение, политика чистого стола и распечаток, утилизация бумаги и старых носителей, политика гостевых устройств, физическая защита роутера и серверного стека. Аудит занимает 2–3 дня инженера на месте плюс 2 дня на отчёт.

Сколько стоит физический аудит и внедрение защиты?

Аудит — 45–60 тысяч рублей за 4 рабочих дня (2 на месте, 2 на отчёт). Дальше зависит от объёма правок: запрет USB через GPO плюс KSC EDR плюс политики — 30–40 тысяч; усиление контроля доступа со СКУД и видеонаблюдением — 70–150 тысяч без железа; полный комплекс с заменой замков, СКУД и камер на 38 рабочих мест — около 300 тысяч за разовое внедрение.

Итог

Физический периметр — не охрана с автоматом и не камеры в каждом углу. Набор простых правил: что вставляем в USB, кто открывает серверную, куда идут распечатки, что попадает в мусор. Для этой проектной фирмы на 38 рабочих мест вопрос стоял прямо: 380 тысяч рублей единовременно — или потенциальная потеря двухлетнего портфеля заказов из-за одной флешки у входа. Та история стала поворотной. Директор ввёл правило: «Всё, что приносится извне в рабочие компьютеры — через инженера ITfresh, без исключений». Четыре месяца, ноль инцидентов, одно тёплое письмо в финале квартального отчёта.