Trang Chủ Đồng hồ an ninh Một ổ USB độc ác có thể chiếm lấy máy tính của bạn mà không bị phát hiện

Một ổ USB độc ác có thể chiếm lấy máy tính của bạn mà không bị phát hiện

Video: Cáp chuyển USB 3.0 to Lan tốc độ 10/100/1000Mbps chính hãng Ugreen 20256 (Tháng mười một 2024)

Video: Cáp chuyển USB 3.0 to Lan tốc độ 10/100/1000Mbps chính hãng Ugreen 20256 (Tháng mười một 2024)
Anonim

Nếu bạn chưa tắt tính năng tự động phát USB trên PC, thì việc cắm vào ổ USB bị nhiễm có thể cài đặt phần mềm độc hại trên hệ thống của bạn. Các kỹ sư có máy ly tâm tinh chế uranium đã bị nổ tung bởi Stuxnet đã học được điều đó một cách khó khăn. Tuy nhiên, hóa ra phần mềm độc hại tự động phát không phải là cách duy nhất để các thiết bị USB có thể được vũ khí hóa. Tại hội nghị Black Hat 2014, hai nhà nghiên cứu từ SRLabs có trụ sở tại Berlin đã tiết lộ một kỹ thuật sửa đổi chip điều khiển của thiết bị USB để nó có thể "giả mạo nhiều loại thiết bị khác để kiểm soát máy tính, lọc dữ liệu hoặc theo dõi người dùng . " Nghe có vẻ tệ, nhưng thực tế nó thực sự, thực sự khủng khiếp.

Chuyển sang mặt tối

"Chúng tôi là một phòng thí nghiệm hack thường tập trung vào bảo mật nhúng", nhà nghiên cứu Karsten Noll, nói với một căn phòng chật cứng. "Đây là lần đầu tiên chúng tôi xem xét bảo mật máy tính, với một góc được nhúng. Làm thế nào USB có thể được tái sử dụng theo những cách độc hại?"

Nhà nghiên cứu Jakob Lell đã nhảy ngay vào một bản demo. Anh cắm một ổ USB vào máy tính Windows; nó xuất hiện như một ổ đĩa, đúng như bạn mong đợi. Nhưng một lát sau, nó tự xác định lại là bàn phím USB và ra lệnh tải xuống một Trojan truy cập từ xa. Điều đó đã thu hút những tràng pháo tay!

"Chúng tôi sẽ không nói về virus trong bộ lưu trữ USB", Noll nói. "Kỹ thuật của chúng tôi hoạt động với một đĩa trống. Bạn thậm chí có thể định dạng lại nó. Đây không phải là lỗ hổng Windows có thể vá được. Chúng tôi tập trung vào triển khai, không phải trên Trojan."

Điều khiển bộ điều khiển

"USB rất phổ biến, " Noll nói. "Hầu hết (nếu không phải tất cả) các thiết bị USB đều có chip điều khiển. Bạn không bao giờ tương tác với chip, hệ điều hành cũng không thấy nó. Nhưng bộ điều khiển này là thứ 'nói chuyện với USB.'"

Chip USB xác định loại thiết bị của nó với máy tính và nó có thể lặp lại quá trình này bất cứ lúc nào. Noll chỉ ra rằng có nhiều lý do hợp lệ để một thiết bị tự hiển thị nhiều hơn một thiết bị, chẳng hạn như webcam có một trình điều khiển cho video và một lý do khác cho micrô đính kèm. Và thực sự xác định ổ đĩa USB là khó khăn, bởi vì một số sê-ri là tùy chọn và không có định dạng cố định.

Lell đã thực hiện các bước chính xác mà nhóm thực hiện để lập trình lại chương trình cơ sở trên một loại bộ điều khiển USB cụ thể. Tóm lại, họ phải theo dõi quá trình cập nhật chương trình cơ sở, thiết kế ngược chương trình cơ sở và sau đó tạo một phiên bản sửa đổi của chương trình cơ sở có chứa mã độc hại của họ. "Chúng tôi đã không phá vỡ mọi thứ về USB, " Noll lưu ý. "Chúng tôi đã thiết kế ngược hai chip điều khiển rất phổ biến. Lần đầu tiên có thể là hai tháng, lần thứ hai là một tháng."

Tự sao chép

Đối với bản demo thứ hai, Lell đã đưa một ổ USB trống hoàn toàn mới vào PC bị nhiễm từ bản demo đầu tiên. PC bị nhiễm đã lập trình lại phần sụn của ổ USB trống, do đó tự sao chép. Trời ơi.

Tiếp theo, anh ta cắm ổ đĩa vừa bị nhiễm vào một máy tính xách tay Linux, nơi nó đưa ra các lệnh bàn phím rõ ràng để tải mã độc. Một lần nữa, bản demo đã thu hút những tràng pháo tay từ khán giả.

Ăn cắp mật khẩu

"Đó là một ví dụ thứ hai trong đó một USB lặp lại một loại thiết bị khác, " Noll nói, "nhưng đây chỉ là phần nổi của tảng băng. Đối với bản demo tiếp theo, chúng tôi đã lập trình lại ổ USB 3 là loại thiết bị khó phát hiện hơn. Theo dõi sát sao, hầu như không thể thấy được. "

Thật vậy, tôi không thể phát hiện sự nhấp nháy của biểu tượng mạng, nhưng sau khi ổ USB được cắm, một mạng mới xuất hiện. Noll giải thích rằng ổ đĩa hiện đang mô phỏng kết nối Ethernet, chuyển hướng tra cứu DNS của máy tính. Cụ thể, nếu người dùng truy cập trang web PayPal, họ sẽ được chuyển hướng vô hình đến một trang web đánh cắp mật khẩu. Than ôi, những con quỷ demo đã tuyên bố điều này; nó không hoạt động.

Tin tưởng vào USB

"Chúng ta hãy thảo luận một chút về niềm tin mà chúng ta đặt vào USB, " Noll nói. "Nó phổ biến vì dễ sử dụng. Trao đổi tệp qua USB tốt hơn sử dụng email hoặc lưu trữ đám mây không được mã hóa. USB đã chinh phục thế giới. Chúng tôi biết cách quét virus vào ổ USB. Chúng tôi tin tưởng vào bàn phím USB hơn nữa. phá vỡ niềm tin đó. "

"Đó không chỉ là tình huống ai đó đưa cho bạn USB", anh tiếp tục. "Chỉ cần gắn thiết bị vào máy tính của bạn là có thể lây nhiễm thiết bị. Đối với bản demo cuối cùng, chúng tôi sẽ sử dụng kẻ tấn công USB dễ nhất, điện thoại Android."

"Chúng ta hãy gắn điện thoại Android tiêu chuẩn này vào máy tính, " Lell nói, "và xem điều gì sẽ xảy ra. Ồ, đột nhiên có một thiết bị mạng bổ sung. Hãy truy cập PayPal và đăng nhập. Không có thông báo lỗi, không có gì. Nhưng chúng tôi đã nắm bắt được. tên người dùng và mật khẩu! " Lần này, tiếng vỗ tay như sấm.

"Bạn có phát hiện ra rằng điện thoại Android biến thành thiết bị Ethernet không?" Noll hỏi. "Phần mềm kiểm soát thiết bị hoặc ngăn ngừa mất dữ liệu của bạn có phát hiện ra không? Theo kinh nghiệm của chúng tôi, hầu hết đều không. Và hầu hết chỉ tập trung vào bộ lưu trữ USB, không phải các loại thiết bị khác."

Sự trở lại của Infector ngành khởi động

"BIOS thực hiện một kiểu liệt kê USB khác với hệ điều hành", Noll nói. "Chúng ta có thể tận dụng điều đó với một thiết bị mô phỏng hai ổ đĩa và bàn phím. Hệ điều hành sẽ chỉ nhìn thấy một ổ đĩa. Thứ hai chỉ xuất hiện với BIOS, nó sẽ khởi động từ nó nếu được cấu hình để làm như vậy. Nếu không, chúng tôi có thể gửi bất kỳ tổ hợp phím nào, có thể là F12, để cho phép khởi động từ thiết bị. "

Noll chỉ ra rằng mã rootkit tải trước hệ điều hành và nó có thể lây nhiễm các ổ USB khác. "Đó là sự triển khai hoàn hảo cho một loại virus", ông nói. "Nó đã chạy trên máy tính trước khi bất kỳ chương trình chống vi-rút nào có thể tải. Đó là sự trở lại của vi-rút khởi động."

Những gì có thể được thực hiện?

Noll chỉ ra rằng sẽ rất khó để loại bỏ vi rút cư trú trong phần sụn USB. Lấy nó ra khỏi ổ flash USB, nó có thể phát lại từ bàn phím USB của bạn. Ngay cả các thiết bị USB được tích hợp trong PC của bạn cũng có thể bị nhiễm.

"Thật không may, không có giải pháp đơn giản. Hầu như tất cả các ý tưởng bảo vệ của chúng tôi sẽ can thiệp vào tính hữu ích của USB, " Noll nói. "Bạn có thể đưa danh sách trắng các thiết bị USB đáng tin cậy không? À, bạn có thể nếu các thiết bị USB có thể nhận dạng duy nhất, nhưng chúng không phải."

"Bạn có thể chặn USB hoàn toàn, nhưng điều đó ảnh hưởng đến khả năng sử dụng", ông tiếp tục. "Bạn có thể chặn các loại thiết bị quan trọng, nhưng ngay cả các lớp rất cơ bản cũng có thể bị lạm dụng. Loại bỏ những loại đó và không còn nhiều. Làm thế nào để quét phần mềm độc hại? Thật không may, để đọc phần sụn, bạn phải dựa vào các chức năng của phần sụn, vì vậy một phần mềm độc hại có thể giả mạo một phần mềm hợp pháp. "

"Trong các tình huống khác, các nhà cung cấp chặn các bản cập nhật firmware độc ​​hại bằng chữ ký số", Noll nói. "Nhưng mật mã an toàn rất khó thực hiện trên các bộ điều khiển nhỏ. Trong mọi trường hợp, hàng tỷ thiết bị hiện có vẫn dễ bị tổn thương."

"Một ý tưởng khả thi mà chúng tôi đã đưa ra là vô hiệu hóa các bản cập nhật firmware tại nhà máy, " Noll nói. "Bước cuối cùng, bạn làm cho nó để chương trình cơ sở không thể được lập trình lại. Bạn thậm chí có thể sửa nó trong phần mềm. Ghi một bản nâng cấp firmware mới chặn tất cả các bản cập nhật tiếp theo. Chúng tôi có thể chinh phục một chút các thiết bị USB đáng tin cậy . "

Noll kết thúc bằng cách chỉ ra một số sử dụng tích cực cho kỹ thuật sửa đổi bộ điều khiển được mô tả ở đây. "Có một trường hợp được tạo ra cho những người chơi xung quanh với điều này", ông nói, "nhưng không phải trong môi trường đáng tin cậy." Tôi, trước hết, sẽ không bao giờ nhìn vào bất kỳ thiết bị USB nào như tôi đã từng sử dụng.

Một ổ USB độc ác có thể chiếm lấy máy tính của bạn mà không bị phát hiện