Videó: LET ME GO: A Granny Song [by Random Encounters] (November 2024)
Ha még nem kapcsolta ki az USB automatikus lejátszást a számítógépen, akkor elképzelhető, hogy egy fertőzött USB meghajtó csatlakoztatása rosszindulatú programokat telepíthet a rendszerére. A mérnökök, akiknek az uráni tisztító centrifugáit a Stuxnet felrobbantotta, megtanultak erre a kemény útra. Kiderül, hogy az automatikus lejátszásban részt vevő rosszindulatú programok nem az egyetlen módja annak, hogy az USB-eszközöket fegyverképessék. A Black Hat 2014 konferencián a berlini SRLabs két kutatója felfedezte az USB-eszköz vezérlőcsipjének módosítására szolgáló technikát, hogy ez „megtéveszthesse a különféle más típusú eszközöket annak érdekében, hogy átvegye a számítógépes irányítást, kiszűrje az adatokat, vagy kémkedjen a felhasználónál..” Ez nagyon rosszul hangzik, de valójában nagyon, nagyon félelmetes.
Forduljon a Sötét oldalhoz
"Mi egy hackelési laboratórium vagyunk, amely általában a beágyazott biztonságra összpontosít" - mondta Karsten Noll kutató, aki egy csomagolt helyiségbe beszélt. "Ez az első eset, amikor egy beágyazott szögű számítógépes biztonságot keresünk. Hogyan lehet az USB-t rosszindulatú módon újratervezni?"
Jakob Lell kutatója rögtön beugrott egy bemutatóba. Csatlakoztatott egy USB meghajtót egy Windows számítógéphez; meghajtóként jelenik meg, ahogy vártad. De rövid idővel később újradefiniálta magát USB-billentyűzetként, és kiadott egy parancsot, amely letöltött egy távoli elérésű trójai fájlt. Ez tapsolt!
"Nem fogunk beszélni az USB-tároló vírusokról" - mondta Noll. "Technikánk üres lemezzel működik. Akkor is formázhatja. Ez nem egy Windows biztonsági rés, amelyet javíthatunk. A telepítésre összpontosítunk, nem a trójaira."
A vezérlő vezérlése
"Az USB nagyon népszerű" - mondta Noll. "A legtöbb (ha nem mindegyik) USB-eszköz rendelkezik vezérlőcsippel. Soha nem léphet kapcsolatba a chippel, és az operációs rendszer sem látja. De ez a vezérlő az, ami" USB-t beszél "."
Az USB chip azonosítja az eszköz típusát a számítógéppel, és ezt a folyamatot bármikor megismételheti. Noll rámutatott arra, hogy indokolt, hogy egy eszköz egynél többet jelenítsen meg, például egy webkamerát, amelyben az egyik meghajtó a videóhoz, a másik pedig a csatlakoztatott mikrofonhoz. Az USB-meghajtók valódi azonosítása nehéz, mivel a sorozatszám nem kötelező, és nincs rögzített formátuma.
Lell végiggondolta azokat a pontos lépéseket, amelyeket a csapat tett a firmware újraprogramozására egy adott típusú USB vezérlőn. Röviden: el kellett szippantaniuk a firmware frissítési folyamatát, meg kellett változtatniuk a firmware-t, majd el kellett készíteniük a firmware módosított verzióját, amely tartalmazza a rosszindulatú kódot. "Nem mindent töröttünk az USB-vel kapcsolatban" - jegyezte meg Noll. "Két nagyon népszerű vezérlő chipet fordítottunk át." Az első két hónapig tartott, a második egy hónapig tartott."
Önreplikációs
A második bemutatóhoz Lell egy teljesen új üres USB-meghajtót helyezte be a fertőzött számítógépbe az első bemutatóról. A fertőzött számítógép átprogramozta az üres USB-meghajtó firmware-jét, ezáltal replikálva magát. Ó, drágám.
Ezután csatlakoztatta az éppen fertőzött meghajtót egy Linux notebookhoz, ahol láthatóan kiadta a billentyűzet parancsát a rosszindulatú kód betöltéséhez. A demo ismét tapsot kapott a közönség részéről.
Jelszavak lopása
"Ez volt egy második példa, amikor az egyik USB visszhangzik egy másik típusú készüléket" - mondta Noll -, de ez csak a jéghegy csúcsa. A következő bemutatónkhoz az USB 3 meghajtót úgy alakítottuk át, hogy nehezebben érzékelhető eszköz legyen. Vigyázzon, szinte lehetetlen látni."
Valójában nem tudtam észlelni a hálózati ikon villódzását, de az USB-meghajtó csatlakoztatása után új hálózat jelent meg. Noll kifejtette, hogy a meghajtó most egy Ethernet kapcsolatot emulált, átirányítva a számítógép DNS-keresését. Pontosabban, ha a felhasználó meglátogatja a PayPal webhelyet, láthatatlanul átirányítják egy jelszólopó webhelyre. Sajnos, a demonstrációs démonok ezt állították; nem működött.
Bízz az USB-ben
"Beszéljünk egy pillanatra az USB-be vetett bizalmunkról" - mondta Noll. "Népszerű, mert könnyen kezelhető. A fájlok USB-n keresztüli cseréje jobb, mint a titkosítatlan e-mailek vagy a felhőalapú tárolás használata. Az USB meghódította a világot. Tudjuk, hogyan kell víruskeresni az USB-meghajtót. Bízunk benne, hogy egy USB-billentyűzettel is rendelkezik. Ez a kutatás lebontja ezt a bizalmat."
"Nem csak az a helyzet, amikor valaki USB-t ad neked" - folytatta. "Csak az eszköz számítógéphez történő csatlakoztatása megfertőzheti azt. Egy utolsó bemutatóra a legegyszerűbb USB-támadót, egy Android telefont fogjuk használni."
"Csatlakoztassuk ezt a szokásos Android telefont a számítógéphez" - mondta Lell -, és nézzük meg, mi történik. Ó, hirtelen van egy további hálózati eszköz. Menjünk a PayPalba és jelentkezzünk be. Nincs hibaüzenet, semmi. De elfogtunk a felhasználónév és jelszó! " Ezúttal a taps nem volt viharos.
"Meg fogja találni, hogy az Android telefon Ethernet eszközzé vált?" - kérdezte Noll. "Az eszközvezérlő vagy az adatvesztés-megelőző szoftver észlelte-e azt? Tapasztalataink szerint a legtöbb nem. És a legtöbb csak az USB tárolására összpontosít, nem más típusú eszközökre."
A rendszerindító szektor fertőzőjének visszatérése
"A BIOS más típusú USB-felsorolást végez, mint az operációs rendszer" - mondta Noll. "Ezt kihasználhatjuk egy olyan eszköz segítségével, amely két meghajtót és egy billentyűzetet emulál. Az operációs rendszer csak egyszer fog látni egy meghajtót. A második csak a BIOS-ban jelenik meg, amely akkor indul be, ha úgy van beállítva. Ha nem,, bármilyen gombnyomást, akár F12-t is küldhetünk, hogy lehetővé tegyük a rendszerindítást."
Noll rámutatott, hogy a rootkit-kód betöltődik az operációs rendszer előtt, és megfertőzheti más USB-meghajtókat. "Ez a vírus tökéletes telepítése" - mondta. "Már fut a számítógépen, mielőtt bármilyen víruskereső betöltődhet. Ez a boot szektor vírusának visszatérése."
Mit lehet tenni?
Noll rámutatott, hogy rendkívül nehéz lesz eltávolítani egy vírust, amely az USB firmware-ben található. Vegye ki az USB flash meghajtóból, és újra fertőzhet az USB billentyűzetről. Még a számítógépbe beépített USB-eszközök is fertőződhetnek.
"Sajnos nincs egyszerű megoldás. Szinte minden védelmi elképzelésünk zavarná az USB hasznosságát" - mondta Noll. "Megengedné, hogy a megbízható USB-eszközöket felkerüljék a listára? Nos, akkor is, ha az USB-eszközök egyértelműen azonosíthatók, de nem."
"Teljesen blokkolhatja az USB-t, de ez befolyásolja a használhatóságot" - folytatta. "Letilthatja a kritikus eszköz típusokat, de még az alapvető osztályokat is visszaélhetjük. Távolítsa el azokat, és nincs sok maradt. Mi lenne a rosszindulatú programok keresésével? Sajnos a firmware elolvasásához magának a firmware funkcióinak kell támaszkodnia, tehát egy rosszindulatú firmware megronthatja a legitim szoftvert."
"Más helyzetekben a gyártók a digitális aláírásokkal blokkolják a rosszindulatú firmware-frissítéseket" - mondta Noll. "De a biztonságos titkosítást nehéz a kis vezérlőkön végrehajtani. Mindenesetre a meglévő eszközök milliárdja továbbra is sebezhető."
"Az egyetlen kivitelezhető ötlet, amelyre jutottunk, az volt, hogy a gyári firmware-frissítéseket letiltottuk" - mondta Noll. "Az utolsó lépés, hogy elkészítse, így a firmware-t nem lehet újraprogramozni. A szoftverben is megjavíthatja. Egy új firmware-frissítést írjon be, amely blokkolja az összes további frissítést. A megbízható USB-eszközök egy részét vissza tudjuk hódítani..”
A Noll összefoglalva rámutatott az itt leírt vezérlő-módosítási technika néhány pozitív felhasználására. "Van egy eset, amelyet meg kell tenni az emberekkel, akik ezzel játszanak" - mondta. - De nem megbízható környezetben. " Egyrészt én soha nem fogok olyan USB-eszközre nézni, ahogy régen.
