Физический аудит USB и доступа в офис: реверс случайной флешки сотрудника

К нам обратилась проектная фирма из района Бутырский — 38 рабочих мест, занимаются проектами для девелоперов и промпредприятий, в работе постоянно ходят чертежи стоимостью миллионы рублей, NDA, переписка с подрядчиками. Один из главных инженеров принёс на работу флешку — «нашёл утром у входа на лестничную клетку, вдруг чьё-то». Вставил в рабочий ноутбук — посмотреть, чьё. Через 30 секунд после подключения сработал триггер у нашей системы EDR, ноутбук был изолирован, инженер вызвал нас. Дальше — два рабочих дня я разбирал ту флешку, а потом мы с командой две недели приводили в порядок весь физический периметр клиента. Внутри статьи — то, что показало вскрытие, чему мы научились на этой истории и как теперь делаем физический аудит у всех клиентов.

Что мы нашли в той флешке

Флешка выглядела как обычная Kingston DataTraveler 16 ГБ. Серый корпус, никаких надписей о модели или версии, потёртая. Подключаешь — операционка сразу видит две устройства: massStorage с одним пустым файлом «Прайс-лист 2026.xlsx» и HID Keyboard с непонятными VID:0951 PID:1666. Это первый красный флаг — обычная флешка не должна регистрироваться как клавиатура.

На разборе под лупой Bresser оказалось, что внутри две платы: контроллер Phison PS2251-13 и поверх него — припаянная перемычкой плата ATtiny85 с прошивкой. Это классический BadUSB (он же Rubber Ducky-style HID Injector). При подключении ATtiny ждёт 5 секунд (чтобы Windows загрузил драйверы), потом прикидывается клавиатурой и быстро вводит последовательность Win+R, потом строку запуска PowerShell с base64-encoded payload, потом Enter. Всё за 0,8 секунды.

Декодировал base64 — получился классический dropper: скачать с сервера 185.243.x.x файл client.exe, поместить в %APPDATA%\Microsoft\Templates, добавить в автозагрузку через реестр, удалить следы из истории PowerShell. Файл client.exe оказался Lumma Stealer — крадёт пароли из браузеров, кошельки криптовалют, токены банк-клиентов, файлы по маске *.docx, *.pdf, *.dwg в каталоге пользователя. Особо приятный момент — правило отдельного сбора файлов *.dwg указывало, что атаку готовили именно под проектные фирмы.

Это означало одно: «потерянная» флешка не была случайностью. Это targeted attack: кто-то знал состав инфраструктуры клиента и подкинул именно ему. С учётом профиля бизнеса (проектирование для девелоперов с миллиардными контрактами) — мотив очевиден. Я в этот момент написал директору: «Это не флешка, это вооружённое нападение, отложенное на неделю. Нужно срочно перестраивать защиту». Он ответил «жду план в понедельник, делаем».

Как мы провели физический аудит за два дня на месте

Блок 1. USB-периметр на каждом РМ

Прошёл по всем 38 рабочим местам с ноутбуком и USB-сниффером. Что увидел: на 31 ПК USB Mass Storage был доступен без ограничений, на 28 — ещё и USB HID без белого списка. Ни на одном — не было настроено журналирование подключения USB. Антивирус Kaspersky Endpoint Security был, но без модуля Device Control. Это типовая картина у клиентов, которые «давно не обновляли ИБ».

Блок 2. Контроль доступа в офис

Офис на четвёртом этаже бизнес-центра, общий вход через ресепшн БЦ, далее — стеклянная дверь офиса с СКУД на пропусках Mifare Classic. Внутри — open space, кабинеты партнёров, серверная (отдельная комната с ключом, не СКУД). Нашёл два проблемных момента: ключ от серверной висел на гвозде в кабинете админа (любой посетитель за пять минут мог взять); пропуски Mifare Classic — давно сломанная криптосистема, копируется за 15 минут с любого Proxmark3.

Блок 3. Сетевые розетки

Это всегда отдельный блок, и почти всегда там что-то находится. У клиента в переговорной (которая используется для встреч с заказчиками-девелоперами!) — открытая сетевая розетка на стене, подключённая к рабочей VLAN 10. Посетитель за 30 секунд подсоединяется ноутбуком и оказывается во внутренней сети. Я попросил админа: «давайте проверим». Подключил свой ноутбук — DHCP выдал IP, я был в одной сети с серверами 1С и файлового сервера. На 1С даже не было аутентификации с гостевой учётки, потому что админ когда-то «оставил для тестов и забыл».

Блок 4. Видеонаблюдение и доступ к нему

В офисе — 6 камер Hikvision DS-2CD2143G2-I, регистратор Hikvision DS-7616NI-K2 в серверной. Пароль на регистратор — admin/admin12345 (фабричный после сброса). Доступ к видеоархиву — по локальной сети через iVMS-4200 без отдельного логина для каждого пользователя. Я зашёл с гостевого Wi-Fi, скачал недельный архив за 12 минут.

Блок 5. Политика чистого стола и распечаток

На столах нашёл: 4 стикера с паролями (пара — в виде «1С: AdminPass2025!»), распечатки чертежей на принтерах в 3 кабинетах (никто их не забирал — стопка нарастает), мусорное ведро без шреддера с коммерческими предложениями за неделю, открытое окно Outlook на компьютере одного из партнёров, который в этот момент обедал.

Блок 6. Гостевые устройства

В переговорной — телевизор Samsung с Wi-Fi, подключённый к корпоративной сети (а не гостевой), в ручном режиме принимающий Miracast-подключения от любого устройства. На приёме — гости-курьеры заходят в офис свободно, до ресепшна. На кухне — общий принтер Brother HL-L2370DW, доступный на печать с любого устройства в сети без аутентификации.

Блок 7. Утилизация и переработка

Старые жёсткие диски (5 штук, под столом у админа) были помечены как «вытащить когда-нибудь». Внутри я нашёл копии файлов 1С трёхлетней давности — это персональные данные сотрудников, паспортные данные клиентов, реквизиты счетов. Утилизация старого железа была сформулирована как «отдадим знакомому».

Блок 8. Физическая защита роутера и стека

Роутер MikroTik CCR1009 находился под потолком открытым стеком в коридоре офиса. Доступ к консольному порту — у любого, кто принесёт лестницу. Питание — обычная розетка без UPS. На самом роутере — пароль admin (тот самый дефолтный, который RouterOS требует менять при первом входе, но иногда не настаивает).

Что мы поменяли за две недели

USB Device Control через KSC и GPO

На все 38 рабочих мест развернули Kaspersky Security Center 14 с включённым модулем Device Control. Политика стандартная для проектной фирмы: USB Mass Storage запрещён по умолчанию, разрешены только корпоративные флешки (по серийному номеру), HID-устройства — белый список по VID/PID (только Logitech, Microsoft, Dell для штатных клавиатур и мышей). Любое подключение журналируется в KSC и в Wazuh-логи.

# GPO: дополнительная блокировка установки USB Mass Storage
# Computer Configuration → Administrative Templates → System →
# Device Installation → Device Installation Restrictions

Prevent installation of devices that match any of these device IDs:
    USBSTOR\GenDisk             # Generic USB storage
    USB\Class_08&SubClass_06    # Mass Storage Class
    SBP2\GenSBP2Hd              # FireWire storage

Prevent installation of devices using drivers that match these device setup classes:
    {4d36e967-e325-11ce-bfc1-08002be10318}   # DiskDrive
    {53f56307-b6bf-11d0-94f2-00a0c91efb8b}   # Volume

# Audit policy — журналирование USB-событий
Computer Configuration → Windows Settings → Security Settings →
  Advanced Audit Policy Configuration → DS Access →
  Audit Plug and Play Events: Success, Failure

На сервере SIEM (Wazuh 4.7) написал правило-алерт: при любом подключении USB не из белого списка — сообщение в Telegram канал ITfresh + автоматическая изоляция машины через KSC API.

# Wazuh rule: алерт по USB-подключению вне списка
<rule id="100501" level="10">
  <if_sid>60106</if_sid>
  <match>DriverFrameworks-UserMode</match>
  <match>Plug and Play</match>
  <regex type="pcre2">PNPClass=(USB|HIDClass|DiskDrive)</regex>
  <description>USB device connected — verify against whitelist</description>
  <group>usb_audit,pci_dss_9.6</group>
</rule>

<active-response>
  <command>notify-itfresh-on-call</command>
  <location>server</location>
  <rules_id>100501</rules_id>
</active-response>

Замена СКУД и проверка пропусков

Замки на дверях офиса и серверной заменили на электромеханические TESA с ESMI-СКУД на пропусках Mifare DESFire EV2 (это уже современная криптография, не Mifare Classic). Серверную закрыли, ключ — у одного человека (системный администратор клиента), запасной — в сейфе у директора. Срабатывание двери серверной в нерабочее время — Telegram-алерт.

Переговорные и сетевые розетки

В переговорной перевели сетевую розетку в отдельный гостевой VLAN 30 с access-list-ом «только наружу через интернет, никакого доступа к корпсети». На остальных розетках в общедоступных зонах (кухня, приёмная, у входа) — то же самое или физическое отключение от коммутатора. На рабочих местах — порты открыты, но включена 802.1X-аутентификация: подключиться может только корпоративный ноутбук с правильным сертификатом.

# MikroTik: 802.1X на коммутаторах CRS328 для рабочих мест
/interface ethernet
set [find name="ether1-23"] poe-out=auto-on l2mtu=10218

/interface bridge port
set [find interface=ether1-23] hw=yes pvid=10

# Для портов в гостевых зонах — другой VLAN
/interface bridge vlan
add vlan-ids=10 tagged=switch1-cpu untagged=ether1-23
add vlan-ids=30 tagged=switch1-cpu untagged=ether24-26

# RADIUS для 802.1X
/radius
add address=192.168.20.10 secret="strong-shared-secret" service=login

# Security profile для портов
/interface ethernet switch
set [find name=switch1] vlan-mode=secure

Видеонаблюдение и архив

На регистраторе сменили пароль на 18-символьный, отключили UPnP и P2P, ограничили доступ только из подсети админа (192.168.20.0/24). На каждой камере отдельно — заменили дефолтные пароли на уникальные. Архив выселили на отдельный NAS Synology DS923+ с RAID-1 и шифрованием тома. Доступ к архиву — только через VPN, с 2FA на учётке.

Политика чистого стола и принтеры

Совместно с офис-менеджером ввели правило «всё, что распечатано, либо забирается сразу, либо уходит в шреддер». Купили шреддер 4-го уровня DIN (HSM SECURIO B26), поставили в общем коридоре. На принтере Brother настроили pull-printing: документ отправляется в очередь, физически распечатывается только после прикладывания пропуска к принтеру. Это изменение, которое сильнее всего удивляет сотрудников — они видят сразу, как меняется культура работы.

Гостевая Wi-Fi и Miracast

Гостевая Wi-Fi с captive-portal (Mikrotik HotSpot), полностью изолированный VLAN, отдельный SSID, динамический пароль на день. Самсунговский ТВ в переговорной перенесли в гостевой VLAN, Miracast оставили — теперь это безопасно, телевизор не имеет доступа в корпсеть.

Утилизация старого железа

Все 5 старых жёстких дисков сначала зашифровали полностью через Eraser (35 проходов), потом физически уничтожили молотком и сдали в утиль с актом списания. На будущее — ввели регламент: вышедший из строя или замененный диск физически уничтожается в течение 7 дней с подписанием акта.

Грабли, на которые мы наступили

Грабля #1: Корпоративные флешки тоже не помогают

Изначально мы выдали 10 корпоративных флешек Kingston IronKey D300S с аппаратным шифрованием — для случаев, когда сотрудникам действительно нужна флешка (выезды на стройки, передача файлов нотариусу). Через две недели оказалось, что три из них уже потеряли — проектировщики работают на объектах, флешки лежат в карманах с гвоздями. Перешли на схему «по запросу через админа на конкретную задачу с возвратом» — выдаётся по необходимости, после возврата протирается.

Грабля #2: 802.1X сломал docking station одного партнёра

У одного из партнёров ноутбук подключался к двум мониторам через USB-C-док, который в свою очередь шёл через Ethernet от док-станции. После включения 802.1X dock-станция стала «прозрачной» для аутентификации, и Ethernet перестал работать — ноут сидел через Wi-Fi. Решилось добавлением MAC-bypass для конкретной MAC-адресной dock-станции, но я бы хотел, чтобы это получилось обнаружить на тестовом этапе, а не у живого пользователя.

Грабля #3: Пропуски DESFire EV2 не работали с турникетом БЦ

Ввод турникета на этаже БЦ работал на старых пропусках Mifare Classic. Мы поменяли только офисный СКУД, и сотрудники неделю носили два пропуска — старый для турникета, новый для офиса. Потом договорились с управляющей компанией БЦ — они оперативно обновили считыватели на DESFire-совместимые. Заняло около двух недель и стоило клиенту дополнительно 18 000 ₽ на считыватель в БЦ.

Цифры проекта

Аудит занял два рабочих дня инженера на месте + два дня на отчёт. Стоимость аудита — 56 000 ₽. Внедрение защитных мер заняло 14 рабочих дней инженера, разбито на этапы: USB-контроль и SIEM (4 дня, 64 000 ₽), замена СКУД и видеонаблюдение (4 дня + железо, 96 000 ₽ работы + 78 000 ₽ железа), сетевые розетки и 802.1X (3 дня, 48 000 ₽), политики и регламенты (3 дня, 36 000 ₽). Итог — около 380 000 ₽ за всё, плюс сопровождение от 18 000 ₽/мес.

За три месяца после внедрения: ноль успешных подключений «чужих» USB-устройств, четыре зафиксированных попытки (одна — забытая флешка одного из партнёров, три — попытки подключить личные iPhone в режиме «зарядки», заблокированы), ноль инцидентов с физическим доступом, четыре алерта о попытках подключения к сетевым розеткам в нерабочее время (один — клининговая компания неделю чистила пол, три — ложные срабатывания на технические ремонты).

FAQ: что чаще всего спрашивают клиенты

Что такое BadUSB и насколько это реальная угроза в 2026?

BadUSB — это класс атак, при которых USB-устройство притворяется не флешкой, а клавиатурой, сетевой картой или сетевым шарнирчиком, и от имени пользователя выполняет команды. Угроза реальная: на AliExpress «безобидная флешка с подменой» продаётся за 1500-3000 ₽. На пилоте у нас один такой подкинутый дроппер ввёл в систему пароль администратора через 0,8 секунды после подключения. Защита — белый список USB-устройств по VID/PID и отключение HID-классов на корпоративных машинах.

Можно ли запретить USB-флешки совсем без слома работы?

Да, и это правильный подход для большинства бизнес-офисов. Сотрудникам флешки нужны редко: для перевозки документов есть корпоративные шары и облака, для презентаций — HDMI-кабель, для подписи в банк-клиентах — токены ЭЦП через белый список. У нас в проектной фирме после полного запрета USB Mass Storage в первый месяц пришло 3 запроса на разблокировку, все три — решились через файловое облако. С четвёртого месяца — ноль запросов.

Зачем делать физический аудит, если у нас уже есть антивирус?

Антивирус видит файлы. Физический периметр — это всё остальное: кто открывает дверь в серверную, есть ли камеры в зоне рабочих мест бухгалтерии, насколько просто посетителю подключиться к сетевой розетке в переговорной, что делают сотрудники с распечатками. У 80% наших клиентов до аудита физическую безопасность никто отдельно не строил, и в офисе можно за 15 минут получить доступ к любым данным. Антивирус против этого бесполезен.

Что включает физический аудит у вас?

Восемь блоков: контроль доступа в офис и серверную, USB-периметр на каждом РМ, сетевая розеточная безопасность (особенно в переговорных и приёмных), видеонаблюдение, политика чистого стола и распечаток, утилизация бумаги, политика гостевых устройств (телефоны, ноутбуки), физическая защита роутера и серверного стека. Аудит занимает 2-3 дня инженера на месте + 2 дня на отчёт.

Сколько стоит физический аудит и внедрение защиты?

Аудит — 45-60 тысяч рублей за 4 рабочих дня (2 на месте, 2 на отчёт). Дальше зависит от глубины правок: запрет USB через GPO + установка KSC EDR + политики — 30-40 тысяч; усиление контроля доступа со СКУД и видеонаблюдением — 70-150 тысяч (без железа); полный комплекс с заменой замков, СКУД, камер на 38 РМ — около 300 тысяч за разовое внедрение.

Итог

Физический периметр — это не охрана с автоматом и не камеры в каждом углу. Это набор простых, но регулярных правил: что подключается в USB, кто открывает серверную, куда идут распечатки, что попадает в мусор. Для проектной фирмы 38 РМ окупилось 380 тысячами рублей единовременно — против потенциальной потери двухлетнего портфеля заказов от одной случайно вставленной флешки. Та история с найденной флешкой стала для клиента поворотной: директор после неё ввёл правило «всё, что приносится извне в рабочие компьютеры — через инженера ITfresh, без исключений». И за четыре месяца после внедрения у нас ноль инцидентов и одно тёплое благодарственное письмо в финале квартального отчёта.