Video: Deblocarea stick-ului USB nerecunoscut "PortableBaseLayer" (Octombrie 2024)
Dacă nu ați dezactivat redarea automată USB pe computer, este de conceput că conectarea la o unitate USB infectată ar putea instala malware pe sistemul dvs. Inginerii ale căror centrifuge de purificare de uraniu au fost aruncate de Stuxnet au aflat că este un drum greu. Totuși, se dovedește că malware-ul cu redare automată nu este singurul mod în care dispozitivele USB pot fi armate. În cadrul conferinței Black Hat 2014, doi cercetători de la Berlin SRL, au dezvăluit o tehnică de modificare a cipului de control al unui dispozitiv USB, astfel încât să poată „răsfăța diverse alte tipuri de dispozitive pentru a prelua controlul unui computer, a exfiltra date sau a spiona utilizatorul..“ Asta sună cam prost, dar de fapt este într-adevăr, într-adevăr îngrozitor.
Întoarceți spre partea întunecată
„Suntem un laborator de hacking, de obicei, concentrat pe securitatea încorporată”, a spus cercetătorul Karsten Noll, vorbind într-o cameră plină. "Este pentru prima dată când am privit o securitate a computerului, cu un unghi încorporat. Cum ar putea USB-ul să fie repurizat în moduri rău intenționate?"
Reseacher Jakob Lell a sărit direct într-o demonstrație. El a conectat o unitate USB la un computer Windows; s-a afișat ca un drive, exact așa cum vă așteptați. Dar, la scurt timp, s-a redefinit ca tastatură USB și a emis o comandă care a descărcat un troian cu acces la distanță. Asta a atras aplauze!
"Nu vom vorbi despre viruși în stocarea USB", a spus Noll. "Tehnica noastră funcționează cu un disc gol. Puteți chiar să o reformatați. Aceasta nu este o vulnerabilitate Windows care ar putea fi patch. Suntem concentrați pe implementare, nu pe Troian."
Controlul controlerului
„USB este foarte popular”, a spus Noll. "Majoritatea dispozitivelor USB (dacă nu toate) au un cip de control. Nu interacționați niciodată cu cipul și nici sistemul de operare nu îl vede. Dar acest controlor este ceea ce vorbește USB."
Cipul USB identifică tipul său de dispozitiv la computer și poate repeta acest proces în orice moment. Noll a subliniat că există motive valide pentru ca un dispozitiv să se prezinte ca mai multe, cum ar fi o cameră web care are un driver pentru video și altul pentru microfonul atașat. Și cu adevărat identificarea unităților USB este dificilă, deoarece un număr de serie este opțional și nu are un format fix.
Lell a parcurs pașii exacti făcuți de echipă pentru reprogramarea firmware-ului pe un anumit tip de controler USB. Pe scurt, au fost nevoiți să prelucreze procesul de actualizare a firmware-ului, să redacteze firmware-ul și apoi să creeze o versiune modificată a firmware-ului care conține codul lor rău intenționat. „Nu am rupt totul despre USB”, a remarcat Noll. "Am invertit două cipuri de control foarte populare. Prima a durat poate două luni, a doua o lună."
Autoreplicare
Pentru cea de-a doua demo, Lell a inserat de la prima demo o unitate USB complet goală în computerul infectat. PC-ul infectat a reprogramat firmware-ul unității USB goale, reproducându-se astfel. Aoleu.
El a conectat ulterior unitatea tocmai infectată într-un notebook Linux, unde a emis vizibil comenzi de la tastatură pentru a încărca cod rău intenționat. Încă o dată, demo-ul a atras aplauze din partea publicului.
Furarea parolelor
"Acesta a fost un al doilea exemplu în care un USB răsună cu un alt tip de dispozitiv", a spus Noll, "dar acesta este doar vârful aisbergului. Pentru următoarea noastră demo, am reprogramat o unitate USB 3 pentru a fi un tip de dispozitiv care este mai greu de detectat. Urmăriți îndeaproape, este aproape imposibil de văzut."
Într-adevăr, nu am putut detecta pâlpâirea pictogramei rețelei, dar după ce unitatea USB a fost conectată, a apărut o nouă rețea. Noll a explicat că unitatea emula acum o conexiune Ethernet, redirecționând căutarea DNS a computerului. Mai exact, dacă utilizatorul vizitează site-ul PayPal, acesta va fi redirecționat invizibil către un site de furt de parole. Din păcate, demonii demonici au revendicat acest lucru; nu a mers.
Încredere în USB
„Hai să discutăm pentru o clipă încrederea pe care o plasăm în USB”, a spus Noll. "Este popular pentru că este ușor de utilizat. Schimbarea fișierelor prin USB este mai bună decât utilizarea unui e-mail necriptat sau a unui spațiu de stocare cloud. USB a cucerit lumea. Știm cum să scanăm virusul unei unități USB. Avem încredere într-o tastatură USB și mai mult. Această cercetare descompun acea încredere ".
„Nu este doar situația în care cineva îți oferă un USB”, a continuat el. "Doar atașarea dispozitivului pe computerul dvs. ar putea să-l infecteze. Pentru o ultimă demonstrație, vom folosi cel mai ușor atacator USB, un telefon Android."
"Haideți să atașăm acest telefon Android standard la computer", a spus Lell, și să vedem ce se întâmplă. Oh, dintr-o dată există un dispozitiv suplimentar de rețea. Hai să mergem la PayPal și să ne autentificăm. Nu există niciun mesaj de eroare, nimic. Dar am capturat numele de utilizator și parola! " De data aceasta, aplauzele au fost furtunoase.
"Vei detecta că telefonul Android s-a transformat într-un dispozitiv Ethernet?" întrebă Noll. "Dispozitivul dvs. controlează sau software-ul de prevenire a pierderilor de date îl detectează? În experiența noastră, majoritatea nu. Și majoritatea se concentrează doar pe stocarea USB, nu și pe alte tipuri de dispozitive."
Întoarcerea infectorului sectorului de încărcare
"BIOS face un tip de enumerare USB diferit de sistemul de operare", a spus Noll. "Putem profita de asta cu un dispozitiv care emulează două unități și o tastatură. Sistemul de operare va vedea vreodată o singură unitate. A doua apare doar la BIOS, care va porni de la acesta dacă este configurat să facă acest lucru. Dacă nu este, putem trimite orice apăsare a tastei, poate F12, pentru a activa pornirea de pe dispozitiv."
Noll a subliniat că codul rootkit se încarcă înainte de sistemul de operare și că poate infecta alte unități USB. "Este implementarea perfectă pentru un virus", a spus el. "Este deja rulat pe computer înainte de a se putea încărca orice antivirus. Este revenirea virusului sectorului de pornire."
Ce se poate face?
Noll a subliniat că ar fi extrem de dificil să elimini un virus care se află în firmware-ul USB. Scoateți-o de pe unitatea flash USB, s-ar putea reinfecta de la tastatura USB. Chiar și dispozitivele USB încorporate în computerul dvs. ar putea fi infectate.
"Din păcate, nu există o soluție simplă. Aproape toate ideile noastre de protecție ar interfera cu utilitatea USB", a spus Noll. "Puteți să afișați lista albă pe dispozitivele USB de încredere? Ei bine, puteți dacă dispozitivele USB ar fi identificate în mod unic, dar nu sunt."
„Ați putea bloca USB cu totul, dar acest lucru afectează capacitatea de utilizare”, a continuat el. "Ați putea bloca tipurile de dispozitive critice, dar chiar și clase foarte de bază pot fi abuzate. Eliminați acestea și nu au mai rămas prea multe. Ce zici de scanarea malware? Din păcate, pentru a citi firmware-ul, trebuie să vă bazați pe funcțiile firmware-ului în sine, deci un firmware rău intenționat ar putea strica unul legitim."
"În alte situații, vânzătorii blochează actualizările de firmware dăunătoare folosind semnături digitale", a spus Noll. "Dar criptografia sigură este greu de implementat pe controlerele mici. În orice caz, miliarde de dispozitive existente rămân vulnerabile."
"Singura idee viabilă cu care am venit a fost să dezactivăm actualizările de firmware la fabrică", a spus Noll. "Ultimul pas, îl faceți astfel încât firmware-ul să nu poată fi reprogramat. Puteți chiar să-l reparați în software. Ardeți o nouă actualizare a firmware-ului care blochează toate actualizările ulterioare. Am putea cuceri din nou o parte din sfera dispozitivelor USB de încredere..“
Noll s-a încheiat subliniind câteva utilizări pozitive pentru tehnica de modificare a controlorului descrisă aici. „Există un caz care trebuie făcut pentru persoanele care se joacă cu asta”, a spus el, „dar nu în medii de încredere”. Eu, pentru prima dată, nu mă voi uita niciodată la niciun dispozitiv USB așa cum obișnuisem.
