Video: Överför filer till ett USB minne, minneskort eller hårddisk (September 2024)
Om du inte har stängt av USB-autoplay på din dator kan det tänkas att anslutning av en infekterad USB-enhet kan installera skadlig programvara på ditt system. Ingenjörerna vars uranrensande centrifuger sprängdes av Stuxnet fick veta att det hårda sättet. Det visar sig dock att autoplay malware inte är det enda sättet att USB-enheter kan vapenas på. På Black Hat 2014-konferensen avslöjade två forskare från Berlin-baserade SRLabs en teknik för att modifiera en USB-enhets kontrollchip så att det kan "förfalska olika typer av enheter för att ta kontroll över en dator, exfiltrera data eller spionera på användaren ". Det låter lite dåligt, men i själva verket är det verkligen, verkligen fruktansvärt.
Vänd dig till den mörka sidan
"Vi är ett hackinglaboratorium som vanligtvis är inriktad på inbäddad säkerhet, " sa forskaren Karsten Noll och talade till ett fullsatt rum. "Det här är första gången vi tittade på en datorsäkerhet med en inbäddad vinkel. Hur kunde USB återanvändas på skadligt sätt?"
Forskaren Jakob Lell hoppade rakt in i en demo. Han anslöt en USB-enhet till en Windows-dator; det visade sig som en enhet, precis som du kan förvänta dig. Men en kort stund senare definierade den sig själv som ett USB-tangentbord och utfärdade ett kommando som laddade ner en Trojan för fjärråtkomst. Det drog applaus!
"Vi kommer inte att prata om virus i USB-lagring, " sade Noll. "Vår teknik fungerar med en tom disk. Du kan till och med omformatera den. Detta är inte ett Windows-sårbarhet som kan korrigeras. Vi är inriktade på distribution, inte på trojan."
Kontrollera styrenheten
"USB är mycket populärt, " sade Noll. "De flesta (om inte alla) USB-enheter har ett kontrollchip. Du interagerar aldrig med chipet och ser inte heller operativsystemet. Men den här styrenheten är det som" talar USB."
USB-chipet identifierar sin enhetstyp till datorn, och det kan upprepa denna process när som helst. Noll påpekade att det finns giltiga skäl för en enhet att presentera sig som mer än en, till exempel en webbkamera som har en drivrutin för video och en annan för den bifogade mikrofonen. Och att identifiera USB-enheter är tufft eftersom ett serienummer är valfritt och inte har något fast format.
Lell gick igenom de exakta stegen som gjorts av teamet för att omprogrammera firmware på en specifik typ av USB-styrenhet. I korthet var de tvungna att snoopa upp firmwareuppdateringsprocessen, omvända firmware och sedan skapa en modifierad version av firmware som innehöll deras skadliga kod. "Vi bröt inte allt om USB", konstaterade Noll. "Vi omarbetade två mycket populära kontrollchips. Den första tog kanske två månader, den andra en månad."
Själv Replication
För den andra demonstrationen, satte Lell in en helt ny tom USB-enhet i den infekterade datorn från den första demot. Den infekterade datorn omprogrammerade den tomma USB-enhetens firmware och replikerade därmed sig själv. Kära nån.
Därefter anslöt han den just infekterade enheten till en Linux-anteckningsbok, där den synligt gav ut tangentbordskommandon för att ladda skadlig kod. Återigen fick demo applåder från publiken.
Stjäla lösenord
"Det var ett andra exempel där en USB ekar en annan enhetstyp, " sade Noll, "men detta är bara toppen av isberget. För vår nästa demo programmerade vi om en USB 3-enhet för att vara en enhetstyp som är svårare att upptäcka. Se noga, det är nästan omöjligt att se."
Jag kunde faktiskt inte upptäcka flimmern av nätverksikonen, men efter att USB-enheten var ansluten kom ett nytt nätverk upp. Noll förklarade att enheten nu emulerade en Ethernet-anslutning och omdirigerade datorns DNS-uppslag. Specifikt, om användaren besöker PayPal-webbplatsen, kommer de osynligt att omdirigeras till ett lösenord som stjäl webbplats. Tyvärr hävdade demo demoner detta; det fungerade inte.
Lita på USB
"Låt oss diskutera ett ögonblick det förtroende vi placerar i USB, " sade Noll. "Det är populärt eftersom det är lätt att använda. Att utbyta filer via USB är bättre än att använda okrypterad e-post eller molnlagring. USB har erövrat världen. Vi vet hur vi kan skanna en USB-enhet. Vi litar på ett USB-tangentbord ännu mer. Denna forskning bryter ner det förtroendet."
"Det är inte bara situationen där någon ger dig en USB, " fortsatte han. "Att bara ansluta enheten till din dator kan smitta den. För en sista demonstration använder vi den enklaste USB-angriparen, en Android-telefon."
"Låt oss bara ansluta den här standard Android-telefonen till datorn, " sade Lell, "och se vad som händer. Åh, plötsligt finns det en extra nätverksenhet. Låt oss gå till PayPal och logga in. Det finns inget felmeddelande, ingenting. Men vi fångade användarnamn och lösenord! " Den här gången var applåderna åskande.
"Kommer du att upptäcka att Android-telefonen förvandlades till en Ethernet-enhet?" frågade Noll. "Kontrollerar din enhet eller program för att förhindra dataförlust det? Enligt vår erfarenhet gör de flesta inte det. Och de flesta fokuserar bara på USB-lagring, inte på andra enhetstyper."
Boot Sector Infector
"BIOS gör en annan typ av USB-uppräkning än operativsystemet, " sade Noll. "Vi kan dra nytta av det med en enhet som emulerar två enheter och ett tangentbord. Operativsystemet kommer bara någonsin att se en enhet. Den andra visas bara på BIOS, som startar från den om den är konfigurerad för att göra det. Om det inte är, vi kan skicka vilken tangenttryckning som helst, kanske F12, för att möjliggöra start från enheten."
Noll påpekade att rootkit-koden laddas innan operativsystemet och att den kan smitta andra USB-enheter. "Det är den perfekta driftsättningen för ett virus, " sade han. "Den körs redan på datorn innan något antivirusprogram kan laddas. Det är tillbaka till startsektorviruset."
Vad kan göras?
Noll påpekade att det skulle vara extremt svårt att ta bort ett virus som finns i USB-firmware. Ta bort den från USB-flashenheten, det kan återinfekteras från ditt USB-tangentbord. Även de USB-enheter som är inbyggda i din dator kan vara infekterade.
"Tyvärr finns det ingen enkel lösning. Nästan alla våra idéer för skydd skulle störa USB-användbarheten, " sade Noll. "Kan du vitlista pålitliga USB-enheter? Tja, du kan göra om USB-enheter kunde identifieras unikt, men de är det inte."
"Du kan blockera USB helt, men det påverkar användbarheten, " fortsatte han. "Du kan blockera kritiska enhetstyper, men även mycket grundläggande klasser kan missbrukas. Ta bort dem och det finns inte mycket kvar. Vad sägs om att söka efter skadlig programvara? Tyvärr, för att läsa firmware måste du lita på funktionerna i själva firmware, så en skadlig firmware kan förfalska en legitim."
"I andra situationer blockerar leverantörer skadliga firmwareuppdateringar med digitala signaturer, " sade Noll. "Men säker kryptering är svårt att implementera på små kontroller. I alla fall förblir miljarder befintliga enheter sårbara."
"En fungerande idé som vi kom på var att inaktivera firmware-uppdateringar på fabriken, " sa Noll. "Det allra sista steget, du gör det så att firmware inte kan programmeras om. Du kan till och med fixa den i programvara. Bränna en ny uppgradering av firmware som blockerar alla ytterligare uppdateringar. Vi kan erövra tillbaka en liten del av pålitliga USB-enheter ".
Noll lindas upp genom att påpeka några positiva användningsområden för den regulatormodifieringsteknik som beskrivs här. "Det finns ett fall som ska göras för människor som leker med det här, " sade han, "men inte i pålitliga miljöer." Jag, för en, kommer aldrig att titta på någon USB-enhet som jag brukade.
