Video: Hvordan jeg takler isolering og lockdown Rikki Poynter (Oktober 2024)
Hvis du ikke har slukket for USB-automatisk afspilning på din pc, kan det tænkes, at tilslutning af et inficeret USB-drev kan installere malware på dit system. Ingeniørerne, hvis uranrensende centrifuger blev sprængt af Stuxnet, lærte, at den hårde måde. Det viser sig imidlertid, at autoplay-malware ikke er den eneste måde, hvorpå USB-enheder kan våben. På Black Hat 2014-konferencen afslørede to forskere fra Berlin-baserede SRLabs en teknik til at ændre en USB-enheds kontrolchip, så den kan "forfalske forskellige andre enhedstyper for at tage kontrol over en computer, udfiltrere data eller spionere på brugeren." Det lyder lidt dårligt, men faktisk er det virkelig, virkelig frygteligt.
Drej til den mørke side
"Vi er et hackinglaboratorium, der typisk er fokuseret på indlejret sikkerhed, " sagde forsker Karsten Noll og talte til et pakket rum. "Dette er første gang, vi så en computersikkerhed med en indlejret vinkel. Hvordan kunne USB genbruges på ondsindede måder?"
Forsker Jakob Lell sprang lige ind i en demo. Han tilsluttede et USB-drev til en Windows-computer; det dukkede op som et drev, ligesom man kunne forvente. Men kort tid senere omdefinerede det sig selv som et USB-tastatur og udstedte en kommando, der downloadede en Trojan til fjernadgang. Det trak applaus!
"Vi vil ikke tale om vira i USB-lager, " sagde Noll. "Vores teknik fungerer med en tom disk. Du kan endda formatere den igen. Dette er ikke en Windows-sårbarhed, der kan rettes op. Vi er fokuseret på distribution, ikke på Trojan."
Kontrol af controller
"USB er meget populær, " sagde Noll. "De fleste (hvis ikke alle) USB-enheder har en controllerchip. Du interagerer aldrig med chippen, og OS ser det heller ikke. Men denne controller er, hvad 'taler USB.'"
USB-chippen identificerer dens enhedstype til computeren, og den kan gentage denne proces når som helst. Noll påpegede, at der er gyldige grunde til, at en enhed kan præsentere sig for mere end en, f.eks. Et webcam, der har en driver til video og en anden til den vedhæftede mikrofon. Og det er svært at identificere USB-drev, fordi et serienummer er valgfrit og ikke har noget fast format.
Lell gik gennem de nøjagtige trin, der blev taget af teamet for at omprogrammere firmware på en bestemt type USB-controller. Kort fortalt var de nødt til at snuppe firmwareopdateringsprocessen, reverse engineering af firmwaren og derefter oprette en ændret version af firmwaren, der indeholder deres ondsindede kode. "Vi brød ikke alt om USB, " bemærkede Noll. "Vi omvendt konstrueret to meget populære controllerchips. Den første tog måske to måneder, den anden en måned."
Self-replikering
I den anden demo indsatte Lell et helt nyt tomt USB-drev i den inficerede pc fra den første demo. Den inficerede pc omprogrammerede det tomme USB-drevs firmware og replikerede derved selv. Åh gud.
Dernæst tilsluttede det netop inficerede drev en Linux-notebook, hvor det synligt udstedte tastaturkommandoer for at indlæse ondsindet kode. Endnu en gang trak demoen bifald fra publikum.
Stjæle adgangskoder
"Det var et andet eksempel, hvor en USB gentager en anden enhedstype, " sagde Noll, "men dette er bare toppen af isbjerget. Til vores næste demo programmerede vi et USB 3-drev til at være en enhedstype, der er sværere at opdage. Se nøje, det er næsten umuligt at se."
Faktisk kunne jeg ikke registrere det flimrende netværksikon, men efter at USB-drevet var tilsluttet, dukkede et nyt netværk op. Noll forklarede, at drevet nu emulerede en Ethernet-forbindelse og omdirigerede computerens DNS-opslag. Specifikt, hvis brugeren besøger PayPal-webstedet, vil de blive usynligt omdirigeret til et password, der stjæler websted. Desværre hævdede demo-dæmonerne denne; det virkede ikke.
Tillid til USB
"Lad os diskutere et øjeblik den tillid, vi sætter i USB, " sagde Noll. "Det er populært, fordi det er nemt at bruge. Udveksling af filer via USB er bedre end at bruge ukrypteret e-mail eller cloud-opbevaring. USB har erobret verden. Vi ved, hvordan vi skal scanne et USB-drev. Vi stoler på et USB-tastatur endnu mere. Denne forskning bryder den tillid ned."
”Det er ikke kun situationen, hvor nogen giver dig en USB, ” fortsatte han. "Bare vedhæftning af enheden til din computer kunne inficere den. I en sidste demonstration bruger vi den nemmeste USB-angriber, en Android-telefon."
"Lad os bare vedhæfte denne standard Android-telefon til computeren, " sagde Lell, "og se hvad der sker. Åh, pludselig er der en ekstra netværksenhed. Lad os gå til PayPal og logge på. Der er ingen fejlmeddelelse, intet. Men vi fangede brugernavn og adgangskode! " Denne gang var applaus tordenvejr.
"Vil du opdage, at Android-telefonen blev til en Ethernet-enhed?" spurgte Noll. "Registrerer din enhed eller forhindrer datatabsoftware det? Efter vores erfaring er det de fleste ikke. Og de fleste fokuserer kun på USB-lagring, ikke på andre enhedstyper."
Boot Sector Infector's returnering
"BIOS udfører en anden type USB-optælling end operativsystemet, " sagde Noll. "Vi kan drage fordel af det med en enhed, der emulerer to drev og et tastatur. Operativsystemet vil kun nogensinde se et drev. Det andet vises kun på BIOS, som starter fra det, hvis det er konfigureret til at gøre det. Hvis det ikke er, kan vi sende uanset tastetryk, måske F12, for at aktivere opstart fra enheden."
Noll påpegede, at rootkit-koden indlæses før operativsystemet, og at den kan inficere andre USB-drev. ”Det er den perfekte implementering af en virus, ” sagde han. "Den kører allerede på computeren, før en antivirus kan indlæses. Det er returneringen af boot sektorvirussen."
Hvad kan gøres?
Noll påpegede, at det ville være ekstremt vanskeligt at fjerne en virus, der findes i USB-firmwaren. Få det ud af USB-flashdrevet, det kan geninficeres fra dit USB-tastatur. Selv de USB-enheder, der er indbygget i din pc, kunne blive inficeret.
"Desværre er der ingen enkel løsning. Næsten alle vores ideer til beskyttelse ville forstyrre USB-nytten, " sagde Noll. "Kunne du hvidliste tillid til USB-enheder? Nå, du kunne, hvis USB-enheder var entydigt identificerbare, men de er det ikke."
"Du kunne blokere USB helt, men det påvirker anvendeligheden, " fortsatte han. "Du kan blokere kritiske enhedstyper, men endda meget basale klasser kan misbruges. Fjern dem, og der er ikke meget tilbage. Hvad med at scanne efter malware? Desværre, for at læse firmwaren, skal du stole på funktionerne i selve firmwaren, så en ondsindet firmware kunne forfalske en legitim."
"I andre situationer blokerer leverandører ondsindede firmwareopdateringer ved hjælp af digitale signaturer, " sagde Noll. "Men sikker kryptering er svært at implementere på små controllere. I alle tilfælde forbliver milliarder af eksisterende enheder sårbare."
"Den eneste anvendelige idé, vi kom med, var at deaktivere firmwareopdateringer på fabrikken, " sagde Noll. "Det allerførste trin, du gør det, så firmwaren ikke kan omprogrammeres. Du kan endda rette det i software. Brænd en ny firmwareopgradering, der blokerer for alle yderligere opdateringer. Vi kunne erobre lidt af kuglen af pålidelige USB-enheder."
Noll indpakket ved at påpege nogle positive anvendelser til den controller-modifikationsteknik, der er beskrevet her. "Der er en sag, der skal laves for folk, der leger rundt med dette, " sagde han, "men ikke i pålidelige miljøer." For det første vil jeg aldrig se på nogen USB-enhed, som jeg plejede at gøre.
