Video: USB Drive That Steals Files (Nobyembre 2024)
Kung hindi mo pa naka-off ang USB autoplay sa iyong PC, maiisip na ang pag-plug sa isang nahawaang USB drive ay maaaring mag-install ng malware sa iyong system. Ang mga inhinyero na ang uranium-purifying centrifuges ay hinipan ng Stuxnet na natutunan na ang mahirap na paraan. Gayunman, ito ay, na ang autoplay malware ay hindi lamang ang paraan ng mga aparato ng USB na maaaring armado. Sa kumperensya ng Black Hat 2014, ang dalawang mananaliksik mula sa SRLabs na nakabase sa Berlin ay nagsiwalat ng isang pamamaraan para sa pagbabago ng chip ng controller ng isang aparato ng USB upang maaari itong "masira ang iba pang mga uri ng aparato upang makontrol ang isang computer, mag-exfiltrate data, o maniktik sa gumagamit . " Hindi maganda ang tunog na iyon, ngunit sa katunayan ito ay talagang, kakila-kilabot.
Lumiko sa Madilim na Side
"Kami ay isang lab na pag-hack na karaniwang nakatuon sa naka-embed na seguridad, " sabi ng mananaliksik na si Karsten Noll, na nagsasalita sa isang naka-pack na silid. "Ito ang unang pagkakataon na tumingin kami ng isang seguridad sa computer, na may isang naka-embed na anggulo. Paano maaaring mai-repurposed ang USB sa mga nakakahamak na paraan?"
Tumalon agad si Reseacher Jakob Lell sa isang demo. Naka-plug siya ng USB drive sa isang Windows computer; ito ay nagpakita bilang isang drive, tulad ng inaasahan mo. Ngunit pagkaraan ng ilang sandali, binago nito ang sarili bilang isang USB keyboard at naglabas ng isang utos na nag-download ng isang malayuang pag-access Trojan. Iyon ay gumuhit ng palakpakan!
"Hindi namin pinag-uusapan ang mga virus sa imbakan ng USB, " sabi ni Noll. "Ang aming diskarte ay gumagana sa isang walang laman na disk. Maaari mo ring baguhin ito. Hindi ito kahinaan sa Windows na maaaring mai-patch. Nakatuon kami sa paglawak, hindi sa Trojan."
Pagkontrol sa Controller
"Sobrang sikat ng USB, " sabi ni Noll. "Karamihan (kung hindi lahat) USB aparato ay may isang magsusupil chip. Hindi ka nakikipag-ugnay sa maliit na tilad, o hindi nakikita ng OS. Ngunit ang magsusupil na ito ay kung ano ang 'pag-uusap sa USB.
Kinikilala ng USB chip ang uri ng aparato nito sa computer, at maaari itong ulitin ang prosesong ito anumang oras. Itinuro ni Noll na may mga wastong dahilan para sa isang aparato na maipakita ang sarili bilang higit sa isa, tulad ng isang webcam na mayroong isang driver para sa video at isa pa para sa nakalakip na mikropono. At ang tunay na pagkilala sa USB drive ay matigas, dahil ang isang serial number ay opsyonal at walang nakapirming format.
Naglakad si Lell sa eksaktong mga hakbang na kinuha ng koponan upang i-reprogram ang firmware sa isang tiyak na uri ng USB controller. Sa madaling sabi, kinailangan nilang mag-intindi ang proseso ng pag-update ng firmware, reverse engineer ang firmware, at pagkatapos ay lumikha ng isang binagong bersyon ng firmware na naglalaman ng kanilang nakakahamak na code. "Hindi namin pinaghiwa-hiwalay ang lahat tungkol sa USB, " nabanggit ni Noll. "Namin reverse-engineered ang dalawang napaka-tanyag na chips ng controller. Ang una ay kinuha ng dalawang buwan, ang pangalawa sa isang buwan."
Pag-urong sa sarili
Para sa pangalawang demo, ipinasok ni Lell ang isang bagong-bagong blangko na USB drive sa nahawaang PC mula sa unang demo. Sinuri ng nahawahan na PC ang firmware ng blangko ng USB drive, sa gayon ay tumutulad ito sa sarili. Oh mahal.
Sumunod na isinaksak niya ang naka-impeksyong drive sa isang notebook ng Linux, kung saan ito ay malinaw na naglabas ng mga utos ng keyboard upang mai-load ang nakakahamak na code. Muli, ang demo ay humugot ng palakpakan mula sa madla.
Pagnanakaw ng Mga Password
"Iyon ay isang pangalawang halimbawa kung saan ang isang USB ay sumigaw ng isa pang uri ng aparato, " sabi ni Noll, "ngunit ito lamang ang dulo ng iceberg. Para sa aming susunod na demo, muling sinulit namin ang isang USB 3 drive upang maging isang uri ng aparato na mas mahirap tuklasin. Manood ng malapit, halos imposible itong makita. "
Sa katunayan, hindi ko napansin ang pagkutitap ng icon ng network, ngunit pagkatapos na mai-plug ang USB drive, isang bagong network ang lumitaw. Ipinaliwanag ni Noll na ang pagmamaneho ay tularan ngayon ang isang koneksyon sa Ethernet, na muling pag-redirect sa lookup ng DNS ng computer. Partikular, kung ang gumagamit ay bumibisita sa website ng PayPal, malalakas silang mai-redirect sa isang site ng pagnanakaw ng password. Sa kasamaang palad, inaangkin ng demonyo ang demo na ito; hindi ito gumana.
Tiwala sa USB
"Pag-usapan natin sandali ang tiwala na inilalagay namin sa USB, " sabi ni Noll. "Ito ay popular dahil madaling gamitin. Ang pagpapalitan ng mga file sa pamamagitan ng USB ay mas mahusay kaysa sa paggamit ng hindi naka-encrypt na email o pag-iimbak ng ulap. Sinakop ng USB ang mundo. Alam namin kung paano mag-virus-scan ng isang USB drive. Nagtitiwala kami sa isang USB keyboard kahit na higit pa. Ang pananaliksik na ito. masira ang tiwala na iyon. "
"Hindi lamang ito ang sitwasyon kung saan ang isang tao ay nagbibigay sa iyo ng isang USB, " patuloy niya. "Ang paglakip lamang ng aparato sa iyong computer ay maaaring makaapekto sa ito. Para sa isang huling demo, gagamitin namin ang pinakamadaling pag-atake ng USB, isang telepono sa Android."
"Ilakip lang natin ang pamantayang teleponong Android na ito sa computer, " sabi ni Lell, "at tingnan kung ano ang mangyayari. Oh, biglang mayroong isang karagdagang aparato sa network. Pumunta tayo sa PayPal at mag-log in. Walang mensahe ng error, wala. Ngunit nakuha namin ang username at password! " Sa oras na ito, ang palakpakan ay kulog.
"Makikita mo ba na ang telepono ng Android ay naging isang aparato ng Ethernet?" tanong ni Noll. "Nakokontrol ba ang iyong aparato o software ng pag-iwas sa data ng pagkawala nito? Sa aming karanasan, karamihan ay hindi. At ang karamihan ay nakatuon lamang sa USB storage, hindi sa iba pang mga uri ng aparato."
Ang Pagbabalik ng Impormasyon ng Boot Sector
"Ang BIOS ay gumagawa ng ibang uri ng USB enumeration kaysa sa operating system, " sabi ni Noll. "Maaari nating samantalahin iyon sa isang aparato na nag-emulate ng dalawang drive at isang keyboard. Ang operating system ay makikita lamang ang isang drive. Ang pangalawa ay lilitaw lamang sa BIOS, na mag-boot mula dito kung isinaayos upang gawin ito. Kung hindi, maaari naming ipadala ang anumang keystroke, marahil F12, upang paganahin ang booting mula sa aparato. "
Tinukoy ni Noll na ang rootkit code ay naglo-load bago ang operating system, at maaari itong makahawa sa iba pang mga USB drive. "Ito ang perpektong pag-deploy para sa isang virus, " aniya. "Tumatakbo na ito sa computer bago mai-load ang anumang antivirus. Ito ay ang pagbabalik ng virus ng sektor ng boot."
Ano ang Maaaring Magawa?
Itinuro ni Noll na napakahirap alisin ang isang virus na naninirahan sa USB firmware. Alisin ito mula sa USB flash drive, maaari itong muling magbalik mula sa iyong USB keyboard. Kahit na ang mga USB aparato na binuo sa iyong PC ay maaaring mahawahan.
"Sa kasamaang palad, walang simpleng solusyon. Halos lahat ng aming mga ideya para sa proteksyon ay makagambala sa pagiging kapaki-pakinabang ng USB, " sabi ni Noll. "Puwede mo bang whitelist pinagkakatiwalaang mga aparato ng USB? Well, maaari mong kung ang mga USB device ay natatangi na nakikilala, ngunit hindi sila."
"Maaari mong hadlangan ang USB sa kabuuan, ngunit nakakaapekto sa kakayahang magamit, " patuloy niya. "Maaari mong hadlangan ang mga uri ng kritikal na aparato, ngunit kahit na ang mga pangunahing klase ay maaaring maabuso. Alisin ang mga iyon at hindi marami ang naiwan. Paano ang tungkol sa pag-scan para sa malware? Sa kasamaang palad, upang mabasa ang firmware dapat kang umasa sa mga pag-andar ng firmware mismo, kaya ang isang nakakahamak na firmware ay maaaring makamit ang isang lehitimong. "
"Sa ibang mga sitwasyon, hinarang ng mga vendor ang mga nakakahamak na pag-update ng firmware gamit ang mga digital na lagda, " sabi ni Noll. "Ngunit ang ligtas na kriptograpiya ay mahirap ipatupad sa maliit na mga magsusupil. Sa anumang kaso, ang bilyun-bilyong umiiral na mga aparato ay nananatiling mahina."
"Ang isa na maaaring magawa na ideya na aming natagpuan ay hindi paganahin ang mga pag-update ng firmware sa pabrika, " sabi ni Noll. "Ang pinakahuling hakbang, ginagawa mo ito upang hindi mai-reogrograma ang firmware. Maaari mo ring ayusin ito sa software. Magsunog ng isang bagong pag-upgrade ng firmware na humaharang sa lahat ng karagdagang mga pag-update. Maaari nating lupigin ang kaunting bahagi ng mapagkakatiwalaang mga USB device. . "
Noll nakabalot sa pamamagitan ng pagturo ng ilang mga positibong gamit para sa control-modification technique na inilarawan dito. "May kaso na gagawin para sa mga taong naglalaro sa paligid nito, " aniya, "ngunit hindi sa mga mapagkakatiwalaang kapaligiran." Ako, para sa isa, ay hindi kailanman titingnan ang anumang USB na aparato tulad ng dati kong.
