In che modo le chiavette USB possono essere pericolose?

155

Conosciamo tutti la storia del Unità USB lasciata all'esterno di una centrale elettrica che è stata trovata da un operatore e inserita in un computer per visualizzare i contenuti che hanno consentito l'esecuzione di un hack.

Ecco la mia domanda, come? Ho capito che il codice è stato eseguito ma come? Mi piacerebbe davvero poterlo fare (per mia curiosità ovviamente). Ho sempre avuto una buona conoscenza della sicurezza su come rendere le cose sicure ecc ecc ma cose come virus, trojan, driver USB ... come si attivano con poca interazione umana?

Mi piacerebbe davvero conoscere queste cose, sono un amministratore di programmatore / sys, quindi mi piacerebbe mettere su una sceneggiatura ma non essere mai stato insegnato o non averlo mai fatto non so come o da dove cominciare. Mi piacerebbe una grande discussione su questo con quante più informazioni possibili.

    
posta TheHidden 16.10.2015 - 10:13
fonte

5 risposte

217

Dai un'occhiata a questa tastiera USB :

"Ma quella non è una tastiera! È un'unità USB, sciocca!"

In realtà no. Sembra un drive USB, ma quando viene collegato a un computer, segnala che si tratta di una tastiera USB. E nel momento in cui viene installato, inizierà a digitare in anticipo le sequenze di tasti programmate su di esso. Qualsiasi sistema operativo che conosca si affida automaticamente alle tastiere USB e le installa come dispositivi di input di fiducia senza richiedere alcuna interazione da parte dell'utente nel momento in cui sono connessi.

Vi sono diversi payload disponibili per questo. Ad esempio, ce n'è uno che digita l'input da tastiera per aprire una shell , avvia WGET per scaricare un file binario da Internet e lo esegue.

    
risposta data 16.10.2015 - 10:30
fonte
87

Recentemente, è emersa una forma di attacco che non "hack" il computer attraverso vulnerabilità di codice o software, ma invece danneggia l'elettronica.

Un creatore noto come Dark Purple ha creato un dispositivo noto come USB Killer 2.0 (basato su una versione precedente creata da lui in base allo stesso concetto) che, quando collegato allo slot USB del computer, memorizza la piccola quantità di potenza inviata al dispositivo nei condensatori, quindi invia l'energia immagazzinata di nuovo in una volta a -220 volt.

Continua a ripetere questo processo fino a quando il computer non è morto. Questo distrugge il controller I / O, spesso incorporato nella scheda madre (e può causare anche altri danni: non ho letto alcun dettaglio su test estesi). ( Fonte originale in russo e la versione tradotta di Google .)

Sulladestra,l'USBKiller1.0espostoeilsuosuccessore,USBKiller2.0,esullasinistra,l'USBKillerinunacustodiachiusa,cheassomigliaaunacomunechiavettaUSB.

Irisultatisonomostratiqui,uccidendolaschedamadrediunLenovoThinkPadX60subitodopoesserestatiinseritinelloslotUSB:

    
risposta data 16.10.2015 - 17:40
fonte
39

La "chiavetta USB lasciata fuori dalla centrale elettrica" di cui parli suona molto simile al caso Stuxnet. C'è stata una sorprendente (e soddisfacente) quantità di dettagli sugli aspetti tecnici nel libro Conto alla rovescia per Zero Day . Se sei sinceramente curioso, ti consiglio vivamente di leggerlo.

Per darti un tl; dr per la tua domanda; non è fatto con uno script ma piuttosto un file creato su un livello inferiore per sfruttare le vulnerabilità nel modo in cui il sistema operativo gestisce le unità USB. Quando si collega un'unità USB a Windows, si cercherà di fare cose utili come valutare la struttura del file e vedere se ci sono alcuni file che si potrebbe desiderare di utilizzare in particolare, al fine di dare una richiesta immediata di accesso a quei file. Sebbene non esegua intenzionalmente nessuno dei file direttamente, ci sono degli exploit nel modo in cui il sistema esegue la scansione dei file che possono essere utilizzati per ingannare il sistema operativo nell'esecuzione del codice.

    
risposta data 16.10.2015 - 15:29
fonte
27

Un famoso esempio di ciò che stai chiedendo è questo advisory di Microsoft . La vulnerabilità a cui si fa riferimento viene attivata semplicemente inserendo la chiavetta USB; non è richiesta alcuna interazione da parte dell'utente. Questo è il modo in cui il virus Stuxnet si è diffuso - vedi ad es. rapporti da Symantec e F-Secure .

    
risposta data 16.10.2015 - 11:29
fonte
23

Questo tipo di approccio funzionava, ma a causa dell'elevata diffusione di virus attraverso le penne, l'opzione autorun sui sistemi operativi che consentiva l'esecuzione delle porte USB quando era collegata, era disabilitata.

Prima che l'opzione fosse disabilitata, si poteva avere un file EXE su un dispositivo USB che veniva eseguito quando si collegava l'USB al computer. Nei sistemi operativi recenti l'opzione autorun è disabilitata per impostazione predefinita.

Un dispositivo USB può essere riprogrammato per emulare una tastiera USB. Quando il dispositivo USB è collegato al sistema, il sistema operativo lo riconosce come una tastiera USB. O per un'alternativa più semplice, è possibile ottenere l'hardware creato appositamente per questo scopo, come suggerito da @Philipp.

Questo segue il principio del test dell'anatra (versione adattata dalla ducky di gomma USB):

If it quacks like a keyboard and types like a keyboard, it must be a keyboard

Le tastiere USB hanno i diritti dell'utente connesso e possono essere utilizzate per iniettare malware nel sistema operativo.

    
risposta data 16.10.2015 - 15:07
fonte

Leggi altre domande sui tag