Koti Securitywatch Paha usb-asema voi hallita tietokonettasi huomaamatta

Paha usb-asema voi hallita tietokonettasi huomaamatta

Video: How to install Windows 10 "Boot Camp" on a Mac External Drive the EASY way! (2020 edition) (Marraskuu 2024)

Video: How to install Windows 10 "Boot Camp" on a Mac External Drive the EASY way! (2020 edition) (Marraskuu 2024)
Anonim

Jos et ole sammuttanut USB-automaattitoistoa PC: lläsi, on mahdollista, että tartunnan saaneen USB-aseman kytkeminen voi asentaa haittaohjelmia järjestelmään. Insinöörit, joiden uraaninpuhdistavat sentrifugit Stuxnet räjäyttivät, oppivat kovan tien. Osoittautuu kuitenkin, että automaattisen toiston haittaohjelmat eivät ole ainoita tapoja USB-laitteiden asettamiseen. Black Hat 2014 -konferenssissa kaksi Berliiniyhtiöstä SRLabs työskentelevää tutkijaa paljasti tekniikan USB-laitteen ohjainpiirin muokkaamiseksi siten, että se voi "huijata useita muita laitetyyppejä tietokoneen hallitsemiseksi, tietojen suodattamiseksi tai käyttäjän vakoojaksi"." Se kuulostaa ikävältä, mutta itse asiassa se on todella, todella kauhistuttavaa.

Käänny pimeälle puolelle

"Olemme hakkerointilaboratorio, joka keskittyy tyypillisesti sulautettuun turvallisuuteen", sanoi tutkija Karsten Noll puhuessaan pakattuun huoneeseen. "Tämä on ensimmäinen kerta, kun katsoimme tietoturvaa sulautetulla kulmalla. Kuinka USB voitiin uudelleen asettaa haitallisilla tavoilla?"

Tutkija Jakob Lell hyppäsi suoraan demoon. Hän liitti USB-aseman Windows-tietokoneeseen; se näkyi asemana, kuten odotit. Mutta hetken kuluttua se määritteli itsensä uudelleen USB-näppäimistöksi ja antoi komennon, joka latasi etäkäyttöön tarkoitetun troijalaisen. Se sai suosionosoituksia!

"Emme puhu viruksista USB-muistissa", sanoi Noll. "Tekniikkamme toimii tyhjän levyn kanssa. Voit jopa alustaa sen. Tämä ei ole Windows-haavoittuvuus, jota voitaisiin korjata. Keskitymme käyttöönottoon, ei troijalaisiin."

Ohjaimen ohjaaminen

"USB on erittäin suosittu", sanoi Noll. "Suurimmalla osalla (ellei kaikissa) USB-laitteissa on ohjainpiiri. Et koskaan ole vuorovaikutuksessa sirun kanssa, eikä käyttöjärjestelmä näe sitä. Mutta tämä ohjain" puhuu USB: tä "."

USB-siru tunnistaa laitteen tyypin tietokoneelle ja voi toistaa tämän prosessin milloin tahansa. Noll huomautti, että on olemassa perusteltuja syitä yhdelle laitteelle esitellä itseään useampi kuin yksi, kuten verkkokamera, jolla on yksi ohjain videolle ja toinen liitetylle mikrofonille. Ja USB-asemien oikea tunnistaminen on vaikeaa, koska sarjanumero on valinnainen ja sillä ei ole kiinteää muotoa.

Lell kävi läpi tarkat vaiheet, jotka ryhmä on ryhtynyt ohjelmoimaan ohjelmisto uudelleen tietyn tyyppiselle USB-ohjaimelle. Lyhyesti sanottuna heidän piti havaita laiteohjelmiston päivitysprosessi, suunnitella laiteohjelmiston suunnitteleminen uudelleen ja luoda sitten muokattu versio laiteohjelmistosta, joka sisältää heidän haittaohjelmansa. "Emme rikkoneet kaikkea USB: n suhteen", totesi Noll. "Suunnittelimme kaksi erittäin suosittua ohjainpiiriä peruutusvaiheessa. Ensimmäinen kesti ehkä kaksi kuukautta, toinen kuukauden."

Itsereplikaation

Toista esittelyä varten Lell lisäsi upouuden tyhjän USB-aseman tartunnan saaneeseen tietokoneeseen ensimmäisestä esittelystä. Tartunnan saanut PC uudelleenohjelmoi tyhjän USB-aseman laiteohjelmiston ja replikoitui siten itse. Ohhoh.

Seuraavaksi hän liitti juuri tartunnan saaneen aseman Linux-muistikirjaan, missä se antoi näkyvästi näppäimistökomennot haittakoodin lataamiseksi. Demo sai taas suosionosoituksia yleisöltä.

Salasanojen varastaminen

"Se oli toinen esimerkki, jossa yksi USB kaikuu toista laitetyyppiä", sanoi Noll, "mutta tämä on vain jäävuoren huippua. Seuraavaa esittelyä varten ohjelmoimme USB 3 -aseman uudelleen laitetyypiksi, jota on vaikeampi havaita. Katso tarkkaan, sitä on lähes mahdotonta nähdä."

En todellakaan havainnut verkkokuvakkeen välkkymistä, mutta kun USB-asema oli kytketty, uusi verkko ilmestyi. Noll selitti, että asema jäljitteli nyt Ethernet-yhteyttä, ohjaten tietokoneen DNS-hakua. Erityisesti, jos käyttäjä käy PayPalin verkkosivustolla, hänet ohjataan näkymättömästi salasanan varastavaan sivustoon. Valitettavasti demodeemonit väittivät tämän; se ei toiminut.

Luottamus USB: hen

"Keskustelemme hetkeksi USB: n luottamuksesta", sanoi Noll. "Se on suosittu, koska sitä on helppo käyttää. Tiedostojen vaihto USB: n avulla on parempi kuin salaamattoman sähköpostin tai pilvisäilön käyttäminen. USB on valloittanut maailman. Tiedämme, kuinka virustarkistaa USB-asema. Luotamme USB-näppäimistöön entistä enemmän. Tämä tutkimus hajottaa sen luottamuksen."

"Kyse ei ole vain tilanteesta, jossa joku antaa sinulle USB: n", hän jatkoi. "Vain laitteen kiinnittäminen tietokoneeseen voi saastuttaa sen. Viimeisessä esittelyssä käytämme helpointa USB-hyökkääjää, Android-puhelinta."

"Liitetään vain tämä tavallinen Android-puhelin tietokoneeseen", sanoi Lell ja katso, mitä tapahtuu. Voi, yhtäkkiä on ylimääräinen verkkolaite. Siirrytään PayPaliin ja kirjaudu sisään. Ei virheilmoitusta, ei mitään. Mutta me vangitsimme käyttäjänimi ja salasana! " Tällä kertaa suosionosoitukset olivat myrskyisiä.

"Tunnistatko Android-puhelimen muuttuneen Ethernet-laitteeksi?" kysyi Noll. "Tunnistaako laitteen hallinta- tai tietojen menetyksenesto-ohjelmisto sen? Kokemuksemme mukaan useimmat eivät. Ja suurin osa keskittyy vain USB-muistiin, ei muihin laitetyyppeihin."

Käynnistyssektorin tartunnan palauttaminen

"BIOS tekee erilaista USB-luetteloa kuin käyttöjärjestelmä", sanoi Noll. "Voimme hyödyntää sitä laitteella, joka jäljittelee kahta asemaa ja näppäimistöä. Käyttöjärjestelmä näkee vain vain yhden aseman. Toinen näkyy vain BIOS: lle, joka käynnistyy siitä, jos se on määritetty niin. Jos ei,, voimme lähettää mitä tahansa näppäilyä, ehkä F12, käynnistääksesi laitteen laitteesta."

Noll huomautti, että rootkit-koodi latautuu ennen käyttöjärjestelmää ja että se voi saastuttaa muut USB-asemat. "Se on täydellinen viruksen käyttöönotto", hän sanoi. "Se on jo käynnissä tietokoneella, ennen kuin virustorjunta voi latautua. Se on käynnistyssektoriviruksen paluu."

Mitä voidaan tehdä?

Noll huomautti, että USB-laiteohjelmistossa olevan viruksen poistaminen olisi erittäin vaikeaa. Ota se pois USB-muistitikulta, se voi tarttua uudelleen USB-näppäimistöltä. Jopa tietokoneesi sisäänrakennetut USB-laitteet voivat olla tartunnan saaneet.

"Valitettavasti ei ole yksinkertaista ratkaisua. Lähes kaikki suojausideomme häiritsisivät USB: n hyödyllisyyttä", Noll sanoi. "Voisitko lisätä luetteloon luotetut USB-laitteet? No, voisit, jos USB-laitteet olisivat yksilöitävissä, mutta ne eivät ole."

"Voit estää USB: n kokonaan, mutta se vaikuttaa käytettävyyteen", hän jatkoi. "Voit estää kriittisiä laitetyyppejä, mutta jopa hyvin perusluokkia voidaan käyttää väärin. Poista ne, ja niitä ei ole paljon jäljellä. Entä haittaohjelmien tarkistaminen? Valitettavasti sinun on luotettava laiteohjelmiston lukemiseen itse laiteohjelmiston toiminnoista, jotta luet firmwarea, joten haittaohjelma voi huijata laillisen."

"Muissa tilanteissa myyjät estävät haittaohjelmien päivitykset digitaalisilla allekirjoituksilla", Noll sanoi. "Mutta turvallista salausta on vaikea toteuttaa pienissä ohjaimissa. Joka tapauksessa miljardit olemassa olevat laitteet ovat edelleen haavoittuvia."

"Yksi toimiva idea, jonka keksimme, oli estää laiteohjelmistopäivitykset tehtaalla", sanoi Noll. "Aivan viimeinen vaihe, teet sen, jotta laiteohjelmistoa ei voida ohjelmoida uudelleen. Voit jopa korjata sen ohjelmistoon. Polta yksi uusi laiteohjelmistopäivitys, joka estää kaikki muut päivitykset. Voisimme valloittaa vähän takaisin luotettavien USB-laitteiden alueelta.."

Noll kääritään osoittamalla joitain positiivisia käyttötapoja tässä kuvatulle ohjaimen muokkaustekniikalle. "Tämän takia leikkiville ihmisille on tehtävä tapaus, " hän sanoi, "mutta ei luotettavissa ympäristöissä." Yhtäältä en koskaan katso mitään USB-laitetta samalla tavalla kuin ennen.

Paha usb-asema voi hallita tietokonettasi huomaamatta