Domanda:
Tutti gli attacchi basati su USB dipendono dalla capacità di iniettare sequenze di tasti?
user942937
2020-01-23 16:20:09 UTC
view on stackexchange narkive permalink

Da quello che ho visto, gli attacchi basati su USB come RubberDucky devono essere in grado di aprire un terminale e quindi eseguire comandi da lì, di solito per scaricare e quindi installare malware o per aprire una shell inversa.

È così che funzionano la maggior parte, se non tutte, le infezioni basate su USB? Essere in grado di rilevare e prevenire l'iniezione di sequenze di tasti garantirebbe che sarei al sicuro da attacchi malware basati su USB?

Se del tutto pertinente alla domanda, le combinazioni di tasti utilizzate per inviare segnali alla shell verrebbero rilevate e rilevate insieme alle normali sequenze di tasti.

modifica: mi occupo principalmente di attacchi basati su USB il cui scopo è infettare una macchina con malware e / o aprire una backdoor attraverso la quale manipolare il sistema.

Nel caso in cui venga aperta una shell inversa, l'attaccante / er farà ancora affidamento sull'esecuzione dei comandi, cioè, supponendo che sul sistema in questione ci fosse un solo terminale aperto o disponibile potrò vedere le battiture se questo attacco erano in atto?

Nel caso di esfiltrazione di dati, ci sarebbero modi per il malware sull'hardware di montare la partizione / filesystem e quindi copiare i file senza essere in grado di inserire sequenze di tasti?

Ecco un sito con alcuni elencati: https://www.bleepingcomputer.com/news/security/heres-a-list-of-29-different-types-of-usb-attacks/
Oltre alle altre risposte, non dimenticare l'attacco più semplice di tutti: un file infetto seduto su un flashdrive, in attesa di essere eseguito manualmente dalla vittima.
Anche un altro principale è l'esfiltrazione di file USB.
Il dispositivo USB che funge da tastiera, mouse, adattatore ethernet o adattatore WiFi sembrano essere i principali vettori di attacco, oltre ai file semplicemente dannosi su una memoria di massa.
Non sono sicuro che valga come "attacco basato su USB", ma la porta USB potrebbe essere utilizzata solo per fornire alimentazione a un minuscolo microfono + trasmettitore wireless.
Considerando che i dispositivi USB possono presentarsi come diversi tipi di dispositivi, una vulnerabilità nelle comunicazioni tra un dispositivo e il sistema potrebbe consentire un attacco dannoso.Una rapida ricerca su Google di "malware che sfrutta i driver" trova molti risultati pertinenti.
correlati: https://security.stackexchange.com/questions/118854/attacks-via-physical-access-to-usb-dma
Otto risposte:
#1
+48
Lexu
2020-01-23 16:40:46 UTC
view on stackexchange narkive permalink

Ci sono stati anche attacchi basati sulla funzione di riproduzione automatica (altra fonte), anche se penso che questo sia un po 'obsoleto con i nuovi sistemi operativi come Windows 10. Ci sono anche USB-Killer che operano a livello hardware e uccidono la tua macchina inviando shock ad alta corrente.

Ecco un elenco di altri attacchi che potrebbero rientrare nella stessa categoria, inclusi ma non limitati a:

  • Un attacco che in realtà emula un Adattatore ethernet USB, che quindi inietta server DNS dannosi nelle comunicazioni DHCP, potenzialmente modificando i server DNS predefiniti del computer per utilizzare questi server dannosi; i siti di interesse (e-mail, banche, e-commerce, ecc.) possono quindi essere imitati in remoto e la vittima reindirizzata ai siti imitativi tramite il server DNS dannoso.
  • Attacchi che utilizzano una piccola partizione nascosta su una memoria di massa dispositivo per avviare e installare un rootkit, comportandosi comunque come un normale dispositivo di archiviazione di massa
  • Vari attacchi intesi per l'esfiltrazione di dati su un dispositivo protetto (generalmente rilevanti solo per i computer protetti con air gap che l'attaccante può ottenere fisicamente accesso a, ad esempio un appaltatore con accesso a sistemi protetti)
L'attacco di override del gateway predefinito menzionato a quel link è particolarmente rilevante per la questione dei PO.
#2
+36
ThoriumBR
2020-01-24 04:28:38 UTC
view on stackexchange narkive permalink

Oltre a tutte le buone risposte precedenti, ce n'è un'altra che nessuno ha menzionato: dispositivi Ethernet basati su USB. Come l'eccellente PoisonTap.

Si può far registrare il dispositivo come dispositivo Ethernet e modificare il percorso predefinito per l'IP del dispositivo. In questo modo, ogni richiesta di testo in chiaro e ogni richiesta DNS verranno inviate ad essa e una richiesta di domini importanti (si pensi a CDN comunemente usati, come Cloudflare, Akamai e simili) può essere avvelenata.

Se viene effettuata una richiesta HTTP e la risoluzione del dominio è stata avvelenata, l'attaccante può servire un file jquery.js dannoso, ad esempio, inserire un'intestazione di scadenza molto lunga sulla risposta e avere un jquery con backdoor in esecuzione ogni sito che si collega a quello script, per molto tempo dopo aver rimosso il dispositivo dannoso.

Oltre a questo, l'attaccante può impostare un altro host sulla stessa rete e cambiare anche il gateway predefinito. In questo modo, l'aggressore è in grado di eseguire MitM contro l'host senza ricorrere all'avvelenamento da ARP: è rumoroso e può essere catturato abbastanza velocemente dai nuovi firewall. Essere il gateway significa che qualsiasi protocollo non crittografato può essere aggressore, registrato, modificato e qualsiasi segreto catturato.

L'inserimento di tasti è un buon attacco, ma la macchina deve essere sbloccata. Gli attacchi di modifica della rete funzioneranno anche se la macchina è bloccata, è sufficiente un solo processo per provare a risolvere un dominio e il risultato può essere memorizzato nella cache.

Un tale dispositivo può anche stabilire una normale connessione di rete con l'host, consentendo di eseguire tutti i consueti attacchi basati sulla rete direttamente dal dispositivo USB.
Non credo che un dispositivo Ethernet possa _cambiare_ le impostazioni DNS dell'host.Può offrire un server DHCP e tramite DHCP offre un server DNS, ma l'host probabilmente ha una connessione di rete cablata o Wifi che offre anche DNS.Il modo in cui sceglie tra le due connessioni non è specificato.Il rischio maggiore IMO è che il dispositivo _può_ richiedere un percorso diretto più breve alla rete Internet pubblica, poiché la connessione reale è probabilmente tramite un router.Ciò significa che il dispositivo può offrire un percorso diretto a 8.8.8.8 e 1.1.1.1
#3
+20
MechMK1
2020-01-23 16:35:47 UTC
view on stackexchange narkive permalink

No, ce ne sono altri.

USB Killer, ad esempio, è un dispositivo che mira a danneggiare il tuo hardware applicando un alto voltaggio alle linee dati.

Un utente malintenzionato potrebbe utilizzare un tale dispositivo per indurre i dipendenti a danneggiare involontariamente l'hardware aziendale, con conseguente perdita di disponibilità e danni monetari.

Fatto divertente, un po 'di magia del circuito potrebbe essere in grado di moltiplicare la tensione da una batteria a bottone, rendendo un USB killer delle dimensioni di un'unità flash (anche se forse un po' meno efficace se le porte sono fuse correttamente)
#4
+20
Robin Davies
2020-01-24 15:36:22 UTC
view on stackexchange narkive permalink

Purtroppo, Stuxnet sfruttava una funzionalità di Windows che installa automaticamente i driver USB su una chiavetta USB quando inseriti a condizione che i driver abbiano firme digitali appropriate. Il virus Stuxnet aveva driver firmati con una chiave privata di proprietà di Microsoft. Non è noto pubblicamente come sia stata ottenuta quella particolare chiave privata Microsoft, se è stata rubata o se Microsoft ha collaborato all'attacco.

Stuxnet è stato progettato per violare le reti connesse a Internet in Iran. Stuxnet copiava quindi i driver su una chiavetta USB inserita nei dispositivi sulla rete infetta. Quando gli operatori negli impianti di elaborazione nucleare iraniani usavano quelle chiavette USB per spostare i dati nella loro rete sicura con air gap, i driver venivano installati su macchine dall'altra parte del gap d'aria, portando Stuxnet un passo più vicino al suo obiettivo finale: distruggere la rete controller industriali per le centrifughe utilizzate dall'Iran per raffinare l'uranio.

Almeno un virus utilizzava driver firmati con una chiave privata rubata a un produttore di dispositivi USB asiatico, che è stata successivamente revocata.

al materiale nei manuali utente della NSA Cyberwarfare, trapelato da Wikileaks, una delle opzioni di attacco è per "un breve accesso alla porta USB di un computer". Quindi presumibilmente, la NSA ha (o ha avuto) attacchi che potrebbero infettare i sistemi informatici semplicemente inserendo una chiavetta USB.

Forse la chiave è stata realizzata utilizzando il bug scoperto di recente in Windows 10, con la libreria crypt32.dll, che ha permesso di firmare un file come se Microsoft lo facesse da solo.
@IsmaelMiguel: Impossibile.Windows 7 non è interessato da quel bug e se fosse stato usato qui sarebbe stato conosciuto da molto tempo.
#5
+18
rackandboneman
2020-01-24 02:29:30 UTC
view on stackexchange narkive permalink

In alcuni casi, agire come un dispositivo di archiviazione di massa causerà un sacco di caos.

Qualsiasi sistema operativo che riproduce automaticamente qualsiasi cosa (non più implementato per una buona ragione in questi giorni) è vulnerabile - questo lo farà a consentire almeno all'autore dell'attacco di fare molte cose a livello di privilegio della persona che ha effettuato l'accesso; nel caso in cui si sfrutti l'escalation dei privilegi locali, anche di più.

Qualsiasi sistema operativo o ambiente desktop che visualizza in anteprima i file ... e ha un buffer overflow sfruttabile o una vulnerabilità simile in qualsiasi gestore di anteprima ... può essere fatto per fare lo stesso.

Qualsiasi dispositivo impostato per l'avvio da un supporto rimovibile può ovviamente essere fatto per fare quasi tutto, tranne quando qualsiasi informazione a cui si desidera accedere è crittografata, sebbene un dispositivo di avvio dannoso potrebbe emula perfettamente la schermata di immissione della chiave per un sistema di crittografia dell'intero disco con immissione manuale della chiave e fallo ....

Un sistema operativo che ha un buffer overflow o una vulnerabilità simile che può essere attivata con un anche il filesystem corrotto è vulnerabile. Lo stesso vale per le vulnerabilità che possono essere innescate da cambiamenti dinamici inaspettati nelle strutture del filesystem: i dispositivi di archiviazione di massa USB potrebbero essere emulati da codice attivo ...

Inoltre, un MTP o È possibile sfruttare una fotocamera / scanner personalizzato o un driver simile.

Oltre agli attacchi al contenuto di file attivi, ci sono stati anche bug del kernel (linux) con il codice di gestione del file system in cui l'analisi delle strutture dati del file system può causare overflow del buffer o problemi simili.
#6
+10
Mavamaarten
2020-01-24 14:14:59 UTC
view on stackexchange narkive permalink

Ci sono altri esempi di attacchi USB, oltre a quelli menzionati sopra, ad esempio la PS3 è stata prima jailbreak utilizzando una chiavetta USB che si presentava come un hub USB con molti dispositivi collegati e identificatori di dispositivi appositamente predisposti. Ciò consentiva l'esecuzione del codice.

Qualcosa di simile era una vulnerabilità in MacOS diverse versioni precedenti.
#7
+1
bracco23
2020-01-24 20:50:54 UTC
view on stackexchange narkive permalink

Insieme alle ottime risposte già fornite, voglio aggiungere un'esperienza di prima mano rilevante per i sistemi Windows.

Nella mia università alcuni anni fa appariva qualche USB infetto con un malware che funzionava come che:

  • Quando una chiave veniva infettata, tutti i file venivano spostati in una cartella nascosta e protetta dal sistema.
  • Un collegamento speciale veniva creato e rinominato con lo stesso nome di la chiave USB e l'icona per i dischi esterni utilizzati da Windows.

Quando una persona inconsapevole accede all'USB infetto, apre l'unità e quindi, senza tenerne conto, apre il collegamento. Il collegamento aprirà la cartella nascosta, ma allo stesso tempo installerà il malware sul PC.

Il malware inizierà quindi ad ascoltare nuove chiavi USB, per infettarle e inizierà anche ad ascoltare i comandi da un server remoto, probabilmente diventando parte di una botnet o simili.

Quindi sì, a volte gli attacchi USB dipendono da utenti ingenui.

#8
  0
Valentin Stoykov
2020-01-26 01:59:41 UTC
view on stackexchange narkive permalink

L'interfaccia USB può darti accesso alla CPU se hai (o no?) le chiavi per firmare il firmware della CPU. Non ricordo dove ho letto questo, forse qualche sito web per teorie del complotto.

Non è impossibile ottenere le chiavi, guarda come Microsoft avrebbe collaborato con i creatori di Stuxnet. Intel potrebbe collaborare anche con i creatori di malware, proprio come Microsoft. Oppure i creatori di malware possono rubare le chiavi.

Una volta installato il malware nella CPU, il sistema operativo non ha modo di testare tale malware. Secondo i teorici anonimi della cospirazione, tutte le CPU più diffuse (Intel, AMD) hanno malware installato con backdoor per essere (ab) utilizzato dalle tre agenzie di lettere.

Ma probabilmente non è vero, perché tali cospirazioni non esistono nel mondo reale. Niente da vedere qui, vai a dormire.

Questo è il motivo per cui alcuni individui e organizzazioni paranoici utilizzano computer con air gap nelle gabbie di Faraday.

Penso che dovrebbe esserci un interruttore fisico (jumper) sulla scheda madre per abilitare / disabilitare gli aggiornamenti del firmware.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...