Come proteggerci dai virus USB Firmware? Antivirus ti aiuta?

3

Su Windows (probabilmente con altri sistemi operativi, non lo so), quando si collega un'appliance USB (un'unità flash, un mouse, ecc.), Windows esegue automaticamente l'installazione del dispositivo e il firmware è installato. Tuttavia, quel firmware non risiede nello spazio accessibile all'utente (cioè non c'è G: drive) tuttavia, da qualche parte sono installati i file reali.

Dopo aver letto alcuni articoli su alcuni siti Web di sicurezza affidabili, sono preoccupato per il problema globale e non battibile che affrontiamo. Quasi tutti non di marca e amp; Le appliance USB economiche sono programmate con firmware dall'aspetto sospetto (possibilmente malware), che Windows eseguirà automaticamente quando collegato (a meno che non sia disabilitata l'installazione automatica. Che sospetto che solo circa l'1% degli utenti abbia effettivamente disattivato questa funzionalità)

Come posso proteggermi da questo?

    
posta T.Todua 19.05.2018 - 12:24
fonte

3 risposte

3

Windows automatically runs the "Device installation" and the firmware is installed

No, il firmware è un programma speciale eseguito dal microcontrollore all'interno dell'unità USB. Windows installerà il driver . Il firmware è il programma che si interfaccia con la porta USB e scrive e legge elementi sul chip flash, esegue la correzione degli errori ed esegue alcuni altri compiti, come identificarsi e consentire il proprio aggiornamento. Esegue interamente all'interno del dispositivo USB, sulla propria memoria e processore, non sul computer host, o sul telefono cellulare o sulla console di gioco.

that firmware doesn't reside inside the user-accessible space

Probabilmente intendevi il driver . La maggior parte delle volte il dispositivo si identificherà come Mass Storage Device e Windows caricherà il driver dal sito di Windows Update. Nei rari casi in cui il driver non viene trovato, Windows dirà che non è stato in grado di trovare il driver e di darti la possibilità di fornirne uno da solo.

which Windows will auto-run while plugged in

No, Windows (o qualsiasi altro sistema operativo) non eseguirà automaticamente il firmware quando si collega un dispositivo USB. Vedi sopra.

How do I protect myself from this?

Puoi whitelist i dispositivi di cui ti fidi e Windows ignorerà qualsiasi dispositivo strano. La creazione di un elenco di dispositivi fidati può richiedere molto tempo, ma ti dà tranquillità.

Quali sono realmente i rischi?

Il rischio è molto, molto piccolo e i possibili attacchi sono per lo più sopravvalutati.

Il firmware modificato può far sì che un dispositivo di archiviazione di massa USB si identifichi come mouse o tastiera e digiti i dati da solo. Solitamente Win + R più alcuni comandi di PowerShell vengono utilizzati per scaricare ed eseguire codice da Internet.

Un altro attacco coinvolge il dispositivo che si identifica come una scheda di rete e modifica la risoluzione DNS, puntando a server DNS canaglia. Qualsiasi richiesta DNS verrà reindirizzata ai server degli utenti malintenzionati, causando probabilmente un avvelenamento della cache.

La probabilità di essere colpiti a caso da questo attacco è molto piccola. È molto più facile comprare una chiavetta USB economica e trovare il malware sul suo archivio, non sul firmware. I dispositivi interessati da BadUSB verranno utilizzati per attacchi mirati e probabilmente verranno utilizzati anche altri attacchi. Per gli attacchi reali, di solito l'attaccante acquisterà un dispositivo speciale che sembra e si comporta molto come un dispositivo USB, ma non lo è. Vedi Rubber Ducky per esempio.

    
risposta data 21.05.2018 - 15:01
fonte
2

Da dove proviene il driver

Il driver viene scaricato da Windows Update, sono generalmente firmati e sicuri, con alcune eccezioni, come i driver firmati usati da Stuxnet.

Da dove viene il firmware

Il firmware è caricato sul dispositivo in fabbrica, e in alcuni casi può essere aggiornato una volta che il dispositivo è in uso, anche se a seconda del dispositivo questo può essere impossibile, o semplicemente difficile ottenere il nuovo firmware e il software necessari .

Cosa può fare il firmware difettoso

Il firmware errato può far sembrare il drive qualsiasi cosa, consentendo attacchi in cui il dispositivo finge di essere una tastiera e un mouse e prende il controllo della macchina, scaricando e installando il malware stesso.

Come proteggere da un firmware non valido

È possibile evitare di collegare dispositivi puliti a sospette macchine infette / non attendibili, sebbene ciò non sia di aiuto se non si è a conoscenza di un computer attendibile infetto.

Ci sono anche alcuni dispositivi USB non aggiornabili, ma questi tendono ad essere difficili da trovare e più costosi quando disponibili.

    
risposta data 19.05.2018 - 14:31
fonte
1

Windows carica i driver PER il dispositivo non DALL'IT. I driver caricati sono basati sugli ID hardware forniti dal dispositivo (VEN_ & DEV_). Questi vengono caricati da posizioni attendibili (System32 o Windows Update) e devono essere firmati con un certificato attendibile per essere caricati a tutti per le versioni più recenti di Windows.

È possibile che il controller sul dispositivo USB contenga malware. Il firmware per esso sarà sostanzialmente impossibile da verificare per l'utente medio. Il meglio che si possa realisticamente sperare è la memoria flash di marca da un fornitore affidabile e un negozio affidabile, e fidarsi del fatto che si è troppo piccoli per il firmware personalizzato. Anche se il controller per il dispositivo USB può essere rifuso con firmware malevolo sarà fondamentalmente casuale, e difficile trovare un dispositivo che non possa essere facilmente recuperato da un attore malintenzionato.

Lo scenario più probabile è che ci siano backdoor plausibilmente negabili scritti nel firmware dei controller tramite una codifica errata. Questi saranno per i venditori a caso dal tuo punto di vista e difficili da trovare. Probabilmente non ci sono molti fornitori interessati, dal momento che è molto difficile da realizzare e quindi costoso.

La vulnerabilità di autorun.inf è in gran parte mitigata dalle nuove versioni di Windows che ti chiedono cosa vuoi fare con i supporti rimovibili quando si collega il dispositivo per la prima volta.

Alcuni programmi antivirus come Kaspersky bloccano anche le tastiere USB, finché non vengono confermate sotto il tuo controllo obbligandoti a digitare una stringa di testo dal dispositivo. Tuttavia, questo protegge solo contro le tastiere false.

La maggior parte dei dispositivi Hardware sulla scheda madre è DMA (può leggere direttamente, o scrivere in memoria, bypassando la maggior parte delle protezioni), USB non ha accesso Direct Memory, ma ci sono molti altri vettori di attacco, dato che USB è progettato per connetti qualsiasi tipo di dispositivo.

La vulnerabilità di .lnk di Stuxnet ha attaccato un bug di explorer (shell grafica), per esempio.

C'è un sacco di superficie di attacco su hardware, firmware e software per PC.

Ecco una lista decente di attacchi noti: link

Ci saranno sempre bug nel codice che possono essere sfruttati, lo capiamo, ma sappiamo anche che, in generale, le infezioni da malware degli utenti medi provengono da fonti automatizzate e non da attacchi mirati, il che limita enormemente la probabilità che molti exploit siano usato, dal momento che molti di loro sono quasi impossibili senza essere attaccati in modo mirato.

Il meglio che potresti realisticamente fare è (in ordine di minimo per il più efficace): 1. Acquista hardware affidabile, da fonti affidabili e non utilizzare mai la periferica USB su computer che non controlli. 2. Utilizzare una macchina virtuale per separare la periferica dall'host fisico. 3. Usa QubesOS e collega la periferica USB solo dopo che il sistema operativo ha completato il caricamento.

    
risposta data 06.12.2018 - 21:34
fonte

Leggi altre domande sui tag