Domanda:
In che modo le chiavette USB possono essere pericolose?
TheHidden
2015-10-16 13:13:57 UTC
view on stackexchange narkive permalink

Conosciamo tutti la storia dell ' unità USB lasciata fuori da una centrale elettrica che è stata trovata da un operaio e inserita in un computer per vedere il contenuto che ha poi permesso un attacco hacker.

Ecco la mia domanda, come? Ottengo che il codice venga eseguito ma come? Mi piacerebbe davvero poterlo fare (per la mia curiosità ovviamente). Ho sempre avuto una buona conoscenza della sicurezza su come rendere le cose sicure ecc. Ecc. Ma cose come virus, trojan, driver USB ... come si attivano con poca interazione umana?

Mi piacerebbe davvero imparare riguardo a queste cose, sono un programmatore / amministratore di sistema quindi mi piacerebbe mettere a punto uno script ma non essendo mai stato insegnato o non l'ho mai fatto non so come o da dove cominciare. Vorrei davvero una grande discussione su questo con quante più informazioni possibili.

SET (toolkit di ingegneria sociale) ha un'opzione per creare media di infezioni, può essere un buon punto di partenza.
Odio essere uno script kiddie, però, sto bene usando gli script ma solo se capisco come funziona. delle risorse?
@silverpenguin Intendevo davvero il punto di vista del software - non ho idea di cosa stiano facendo * i bambini di oggi * a quel povero termine. Tuttavia, la maggior parte degli attacchi tramite chiavetta USB (tranne, beh, ingoiare e friggere il PC) utilizza un approccio basato su software: sia una tastiera nascosta, un exploit o un semplice autorun (= ingegneria sociale).
http://superuser.com/questions/709275/what-is-the-danger-of-inserting-and-browsing-an-untrusted-usb-drive
Nota amichevole: non soddisferei la tua curiosità con le centrali elettriche reali.
Correlati: [Qual è il pericolo di inserire e sfogliare un'unità USB non affidabile?] (Https://superuser.com/q/709275/150988), [Come può un'unità flash diffondere un virus?] (Https: // superuser.com / q / 93939/150988), [Come posso indagare in sicurezza su una chiavetta USB trovata nel parcheggio al lavoro?] (https://superuser.com/q/1206321/150988), [Apertura sicura di una USB sospettaDrive] (https://superuser.com/q/167878/150988), [Come posso sfogliare in sicurezza un'unità flash USB non attendibile?] (Https://superuser.com/q/983709/150988) e probabilmente altro.
Cinque risposte:
#1
+228
Philipp
2015-10-16 13:30:32 UTC
view on stackexchange narkive permalink

Dai un'occhiata a questa tastiera USB:

Rubber Ducky USB Device

"Ma questa non è una tastiera! un drive USB, stupido! "

In realtà, no. Ti sembra un'unità USB, ma quando viene collegata a un computer, segnalerà che si tratta di una tastiera USB. E nel momento in cui viene installato, inizierà a digitare le sequenze di tasti che hai programmato in precedenza. Qualsiasi sistema operativo che conosco si fida automaticamente delle tastiere USB e le installa come dispositivi di input affidabili senza richiedere alcuna interazione da parte dell'utente nel momento in cui sono collegati.

Sono disponibili vari payload. Per ad esempio, ce n'è uno che digita l'input da tastiera per aprire una shell, avvia WGET per scaricare un binario da Internet e lo esegue.

Potrebbe anche valere la pena menzionare usb [U3] (https://en.wikipedia.org/wiki/U3) (seghetti usb, coltelli a serramanico) che mi riporta indietro :). Anche l'aspetto dell'ingegneria sociale; semplici trucchi come una normale chiavetta USB con un documento word chiamato "super secret.doc" con macro per esempio.
Per essere una risposta completa, dovresti davvero menzionare almeno esempi di exploit (stuxnet ecc.).
Inoltre ... questo .... (ahi!) Https://grahamcluley.com/2015/10/usb-killer/
Se i dispositivi USB HID dovessero essere approvati prima di poter essere installati, l'installazione potrebbe essere un po 'complicata! "Ho appena diviso il caffè sulla tastiera. Non importa, eccone un ricambio" -> "Per installare nuovo hardware devi autenticarti. Inserisci la tua password". Risolvere questo sarebbe interessante.
Non sarebbe troppo difficile avere anche un hub e uno spazio di archiviazione, quindi avresti bisogno di occhi molto acuti per individuare l'installazione extra, poiché apparirà l'unità prevista.
@ChrisH potresti riderci sopra, ma in realtà sarebbe una soluzione: qualsiasi nuova tastiera deve prima inserire la password dell'utente che è attualmente connesso prima di poter inserire qualsiasi altra cosa. Sono installati, ma prima di poter essere utilizzati, è necessario dimostrare che si tratta effettivamente di una tastiera.
@NateKerkhofs, Non sto ridendo. Immettere il nome utente dell '* utente corrente * potrebbe funzionare se lo hai fatto * dopo l'installazione *. Admin / root PW come per l'installazione normale sarebbero meno attraenti. Forse meglio: inserisci una stringa casuale visualizzata sullo schermo un po 'come l'accoppiamento bluetooth (diffido dal fatto che gli utenti digitino le password in modo imprevisto). Stavo pensando che l'hardware sarebbe stato bloccato fino a quando la password non fosse stata inserita come nella normale installazione hardware (in pratica tratta una tastiera come altre cose).
@ChrisH Non ero sicuro di quanto fossi serio dato che stavi parlando di una situazione ipotetica che coinvolgeva una vera tastiera USB. Vorrei anche richiedere che la tastiera appena collegata sia quella per digitare la password. Il motivo per cui sono personalmente diffidente nei confronti di una stringa casuale sullo schermo è perché una tastiera sufficientemente avanzata potrebbe persino essere in grado di sfruttarlo. Qualcosa che è noto solo a un utente sufficientemente esperto di genere e mai visualizzato potrebbe essere un'opzione migliore.
Non tutti i dispositivi HID sono in grado di digitare tutte le password: pensa a un tastierino numerico USB. Se vuoi questo livello di paranoia, è meglio costruire un nuovo tipo di dispositivo che esegue l'autenticazione di risposta alla sfida a livello di protocollo.
@NateKerkhofs. Forse sono un po 'troppo disposto a ripiegare su un esempio, anche un po' assurdo. Ma se una tastiera falsa viene rilevata come una tastiera che causa un prompt, una vera farà lo stesso. Fai una buona osservazione sulla stringa casuale e, nel complesso, penso che la nostra discussione indichi che qualsiasi soluzione richiederebbe del lavoro, specialmente se si considerano gli utenti del mondo reale che possiamo presumere non leggano le finestre di dialogo che richiedono password e semplicemente digitano.
@ChrisH Caso in questione: [Yubikeys] (https://en.wikipedia.org/wiki/Yubikey)?
@ChrisH: c'è uno strumento gratuito che forza l'attivazione manuale per tastiere USB ancora sconosciute: [G Data USB Keyboard Guard] (https://www.gdatasoftware.com/en-usb-keyboard-guard).
@Nzall Basta modificare la sequenza di tasti registrata per iniziare con "password": P
@Philipp: Scusa, domanda sbagliata.La stessa cosa può valere per le schede SD?
Le schede SD @user2284570 non sono altro che memoria di massa, quindi questo particolare attacco non dovrebbe essere possibile.Ma le schede SD non sono un'area di competenza.Dovresti aprire una nuova domanda chiedendo informazioni sui rischi di inserire schede SD non affidabili nel tuo lettore.
#2
+91
IQAndreas
2015-10-16 20:40:10 UTC
view on stackexchange narkive permalink

Recentemente è emersa una forma di attacco che non "hackera" il computer tramite vulnerabilità del codice o del software, ma danneggia effettivamente l'elettronica.

Un creatore noto come Dark Purple ha creato un dispositivo noto come USB Killer 2.0 (basato su una versione precedente da lui creata sulla base dello stesso concetto) che, quando collegato allo slot USB del computer, immagazzina la piccola quantità di energia inviata al dispositivo in condensatori, quindi invia il energia immagazzinata indietro tutta in una volta a -220 volt.

Continua a ripetere questo processo finché il computer non si spegne. Questo distrugge il controller I / O, spesso integrato nella scheda madre (e può causare anche altri danni; non ho letto alcun dettaglio su test approfonditi). ( Fonte originale in russo e versione tradotta da Google . )

USB drive, USB Killer 1.0, USB Killer 2.0

A destra, USB Killer 1.0 esposto e il suo successore, USB Killer 2.0, ea sinistra, USB Killer in una custodia chiusa, che sembra proprio come una normale unità flash USB.

I risultati sono mostrati qui, uccidendo la scheda madre di un Lenovo ThinkPad X60 subito dopo essere stata collegata allo slot USB:

YouTube: USB Killer v2.0 testing.

Ma come? Sicuramente ci sono diodi di protezione sugli ingressi.
I diodi di protezione @Michael hanno i propri limiti fisici. Ogni tipo di diodo ha la sua tensione inversa e non sarei sorpreso se le tensioni non fossero troppo alte. Inoltre mi aspetto che gli ingressi siano per lo più protetti da cortocircuiti tra i pin e dall'elettricità statica. L'elettricità statica ha un alto voltaggio, ma non molta energia. Quei condensatori potrebbero contenere un po 'più di energia del previsto. Anche questo è tutto supponendo che ci sia davvero un circuito di protezione come descritto nello standard. Molte schede madri più economiche non ce l'hanno.
Per un momento ho pensato che fosse un player YouTube incorporato.
@Derek 朕 會 功夫 Nah, [alcuni siti hanno lettori incorporati] (http://meta.stackexchange.com/a/104189/205964), ma sfortunatamente _Security StackExchange_ non lo fa, quindi è apparso come un brutto collegamento nella risposta . [Come puoi vedere] (http://security.stackexchange.com/posts/102915/revisions), ho modificato in una "soluzione alternativa" solo in modo che appaia più carina. ;)
Cordiali saluti, la soluzione adeguata agli attacchi fisici è isolare otticamente le porte a cui sarà connesso l'hardware non attendibile.
Povero ThinkPad, non meritava un simile destino.
@r .. Devi ancora alimentare la cosa in qualche modo. Ci vorrà più tempo, ma immagino che sarò comunque in grado di friggere l'alimentatore.
Qual è lo scopo di questo attacco, esattamente? Non mi aspetto che un dispositivo USB estraneo venga collegato a qualcosa di importante. Immagino che tu possa far cadere un paio di quelli davanti a un ufficio e uccidere un paio di laptop aziendali (solo le schede madri, l'HDD nel video sopra sono sopravvissuti), impedendo ai proprietari di lavorare per (OMG!) Un giorno intero. Non sembra valere la pena.
@JanDvorak: Sì, ma al massimo può friggere l'alimentatore (isolato), niente oltre. (Se vuoi impazzire su questo, puoi isolare otticamente anche la potenza (trasferimento di potenza LED / FV).
@MartinCarney Ti riferisci al video del 1 aprile?
@kasperd Sì. Dannazione.
Se è necessario controllare la penna USB, questo attacco può essere teoricamente prevenuto utilizzando un [hub USB] (https://en.wikipedia.org/wiki/USB_hub). Presumibilmente friggerà l'hub, non il PC (un test sarebbe utile però).
Non sono molto esperto di elettronica o fisica. Il segno meno in "−220 volt" è intenzionale? Cosa significa?
@Mauris Per citare [la versione tradotta dell'articolo] (https://translate.google.com/translate?sl=ru&tl=en&js=y&prev=_t&hl=en&ie=UTF-8&u=http%3A%2F%2Fhabrahabr.ru% 2Fpost% 2F268421% 2F) _ "La tensione di" uscita ", ora è 220 (in senso stretto, meno 220)." _ Potrei essere completamente spento, ma credo che il meno si riferisca alla direzione della corrente, in questo caso , inviando 220 volt all'indietro nel pin che normalmente invia +5 volt al dispositivo (potrebbe anche inviare la corrente attraverso una delle altre porte TX).
#3
+40
Jeff Meden
2015-10-16 18:29:17 UTC
view on stackexchange narkive permalink

La "chiavetta USB lasciata fuori dalla centrale elettrica" ​​di cui parli suona molto come l'affare Stuxnet. C'era una sorprendente (e soddisfacente) quantità di dettagli sugli aspetti tecnici nel libro Countdown to Zero Day. Se sei veramente curioso, ti consiglio vivamente di leggerlo.

Per darti un tl; dr per la tua domanda; non è fatto con uno script, ma piuttosto un file creato a un livello inferiore per sfruttare le vulnerabilità nel modo in cui il sistema operativo gestisce le unità USB. Quando colleghi un'unità USB a Windows, cercherà di fare cose utili come valutare la struttura del file e vedere se ci sono file che potresti voler utilizzare in modo particolare, in modo da darti un prompt per accedere immediatamente a quei file. Sebbene non esegua intenzionalmente nessuno dei file direttamente, ci sono exploit nel modo in cui il sistema operativo esegue la scansione dei file che possono essere utilizzati per indurre il sistema operativo a eseguire il codice.

#4
+28
Konstantin Shemyak
2015-10-16 14:30:00 UTC
view on stackexchange narkive permalink

Un famoso esempio di ciò che stai chiedendo è questo avviso di Microsoft. La vulnerabilità a cui si fa riferimento si attiva semplicemente inserendo la chiavetta USB; non è richiesta altra interazione da parte dell'utente. Ecco come si è diffuso il virus Stuxnet - vedi ad es. rapporti di Symantec e F-Secure.

Quella vulnerabilità non è riparata da diversi anni?
@Philipp: Oltre a ciò ci sono molti sistemi privi di patch in giro (ATM chiunque?) Che motivo c'è per credere che non ci siano innumerevoli vulnerabilità simili che vendono per milioni sul mercato nero ...
@Philipp Quella vuln esatta è stata patchata nel 2010, male. Vedi http://www.extremetech.com/computing/200898-windows-pcs-vulnerable-to-stuxnet-attack-five-years-after-patches per il resto della storia. Attacchi quasi esattamente come quello usato da Stuxnet erano possibili fino a quest'anno, e attacchi simili ma non scoperti / patchati sono probabilmente disponibili (a un prezzo).
#5
+23
pedromendessk
2015-10-16 18:07:28 UTC
view on stackexchange narkive permalink

Un tempo questo tipo di approcci funzionava, ma a causa dell'elevata diffusione di virus attraverso le penne, l'opzione autorun sui sistemi operativi che abilitavano l'esecuzione di USB quando collegati, è stata disabilitata.

Prima che questa opzione fosse disabilitata, potevi avere un file EXE su un dispositivo USB che sarebbe stato eseguito quando avessi collegato l'USB al computer. Nei sistemi operativi recenti, l'opzione autorun è disabilitata per impostazione predefinita.

Un dispositivo USB può essere riprogrammato per emulare una tastiera USB. Quando il dispositivo USB è collegato al sistema, il sistema operativo lo riconosce come una tastiera USB. O per un'alternativa più semplice, puoi ottenere hardware creato appositamente per quello scopo come suggerito da @Philipp.

Questo segue il principio del duck test (versione adattata da USB Rubber Ducky):

Se è ciarlatano come una tastiera e digita come una tastiera, deve essere una tastiera

Le tastiere USB hanno i diritti dell'utente che ha effettuato l'accesso e possono essere utilizzate per iniettare malware in il sistema operativo.

Ecco un [esempio] (http://security.stackexchange.com/questions/34009/i-found-a-virus-on-my-usb-stick-now-what).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...