Video: Внешний жесткий диск определяется, но не отображается в проводнике (Listopad 2024)
Pokud jste v počítači nevypnuli automatické přehrávání USB, je možné, že připojení infikovaného disku USB může do vašeho systému nainstalovat malware. Inženýři, jejichž odstředivky na čištění uranu byly vyfukovány Stuxnetem, se to tvrdě naučili. Ukázalo se však, že autoplay malware není jediný způsob, jak lze zařízení USB vyzbrojit. Na konferenci Black Hat 2014 dva vědci z berlínské společnosti SRLab odhalili techniku úpravy čipu kontroléru zařízení USB, aby mohl „spoofovat různé typy zařízení za účelem převzetí kontroly nad počítačem, exfiltrací dat nebo špehováním uživatele“. “ To zní trochu špatně, ale ve skutečnosti je to opravdu strašné.
Obraťte se na temnou stránku
„Jsme hackerská laboratoř, která se obvykle zaměřuje na vestavěné zabezpečení, “ řekl výzkumník Karsten Noll a hovořil se zabalenou místností. „Je to poprvé, co jsme se podívali na počítačovou bezpečnost s vloženým úhlem. Jak by se USB mohlo zneužít škodlivými způsoby?“
Reseacher Jakob Lell skočil přímo do dema. Připojil jednotku USB k počítači se systémem Windows; Ukázalo se to jako pohon, přesně podle očekávání. Krátce nato se však znovu definovala jako USB klávesnice a vydala příkaz, který stáhl Trojan pro vzdálený přístup. To vyvolalo potlesk!
"Nebudeme mluvit o virech v úložišti USB, " řekl Noll. „Naše technika funguje s prázdným diskem. Můžete ji dokonce přeformátovat. Toto není chyba zabezpečení systému Windows, kterou by bylo možné opravit. Zaměřili jsme se na nasazení, nikoli na trojského koně.“
Ovládání ovladače
„USB je velmi populární, “ řekl Noll. "Většina (pokud ne všechna) zařízení USB mají čip kontroléru. Nikdy s čipem neinteragujete, ani jej nevidí operační systém. Ale tento kontrolér je to, co mluví USB.""
Čip USB identifikuje typ zařízení v počítači a tento proces může kdykoli opakovat. Noll poukázal na to, že existují platné důvody pro to, aby se jedno zařízení prezentovalo jako více než jedno, jako je webová kamera, která má jeden ovladač pro video a druhý pro připojený mikrofon. A skutečně identifikace jednotek USB je obtížná, protože sériové číslo je volitelné a nemá pevný formát.
Lell prošel přesnými kroky týmu k přeprogramování firmwaru na konkrétní typ řadiče USB. Stručně řečeno, museli přerušit proces aktualizace firmwaru, zpětně analyzovat firmware a poté vytvořit upravenou verzi firmwaru obsahující jejich škodlivý kód. „Neporušili jsme všechno o USB, “ poznamenal Noll. „Obrátili jsme se na dva velmi oblíbené čipy kontrolérů. První trvalo možná dva měsíce, druhý měsíc.“
Vlastní replikace
Pro druhé demo Lell vložil do infikovaného PC z prvního dema zcela nový disk USB. Infikované PC přeprogramovalo firmware prázdné jednotky USB, čímž se replikovalo samo. Ach drahá.
Poté zapojil právě infikovanou jednotku do Linuxového notebooku, kde viditelně vydal příkazy klávesnice pro načtení škodlivého kódu. Demo opět potlesk publika.
Krást hesla
„To byl druhý příklad, kdy jedno USB odráží jiný typ zařízení, “ řekl Noll, „ale tohle je jen špička ledovce. Pro naše další demo jsme přeprogramovali jednotku USB 3 tak, aby byla typem zařízení, které je těžší detekovat. Sledujte pozorně, je téměř nemožné vidět. ““
Opravdu jsem nezjistil blikání síťové ikony, ale po připojení jednotky USB se objevila nová síť. Noll vysvětlil, že jednotka nyní emulovala připojení Ethernet a přesměrovávala vyhledávání DNS v počítači. Konkrétně, pokud uživatel navštíví web PayPal, bude neviditelně přesměrován na stránku s heslem. Bohužel, demo démoni si toto nárokovali; nefungovalo to.
Důvěřujte v USB
„Pojďme na chvíli diskutovat o důvěře, kterou vkládáme do USB, “ řekl Noll. „Je to populární, protože se snadno používá. Výměna souborů přes USB je lepší než použití nešifrovaného e-mailu nebo cloudového úložiště. USB dobylo svět. Víme, jak naskenovat USB disk. Věříme USB klávesnici ještě více. Tento výzkum narušuje tu důvěru. “
„Nejde jen o situaci, kdy vám někdo dá USB, “ pokračoval. „Jen připojení zařízení k počítači by ho mohlo nakazit. Pro jedno poslední demo použijeme nejjednodušší útočník USB, telefon Android.“
„Stačí připojit tento standardní telefon s Androidem k počítači, “ řekl Lell, „a uvidíme, co se stane. A najednou existuje další síťové zařízení. Pojďme na PayPal a přihlaste se. Chybová zpráva, nic. uživatelské jméno a heslo! “ Tentokrát byl potlesk bouřlivý.
"Zjistíte, že se telefon Android změnil na ethernetové zařízení?" zeptal se Noll. „Zjistil to váš software pro řízení nebo prevenci ztráty dat? Podle našich zkušeností většina ne. A většina se zaměřuje pouze na úložiště USB, ne na jiné typy zařízení.“
Návrat infektoru zaváděcího sektoru
„Systém BIOS provádí jiný typ výčtu USB než operační systém, “ řekl Noll. „Můžeme to využít se zařízením, které emuluje dvě jednotky a klávesnici. Operační systém uvidí pouze jednu jednotku. Druhá se objeví pouze v systému BIOS, který se z něj zavede, pokud je k tomu nakonfigurován. Pokud tomu tak není, můžeme odeslat cokoli stisknutí klávesy, možná F12, abychom umožnili zavedení ze zařízení. “
Noll poukázal na to, že rootkitový kód se načte před operačním systémem a že může infikovat jiné jednotky USB. „Je to perfektní rozmístění viru, “ řekl. "V počítači již běží, než se může načíst jakýkoli antivir. Je to návrat viru spouštěcího sektoru."
Co lze udělat?
Noll poukázal na to, že by bylo velmi obtížné odstranit virus, který se nachází ve firmwaru USB. Vyjměte ji z USB flash disku, mohlo by se to znovu objevit z vaší USB klávesnice. Mohla by být infikována i zařízení USB zabudovaná ve vašem počítači.
„Bohužel neexistuje jednoduché řešení. Téměř všechny naše nápady na ochranu by narušily užitečnost USB, “ řekl Noll. „Mohl byste důvěryhodná zařízení USB důvěryhodně povolit? No, mohli byste, kdyby byla zařízení USB jednoznačně identifikovatelná, ale nejsou.“
„USB byste mohli zablokovat úplně, ale to má dopad na použitelnost, “ pokračoval. „Mohli byste zablokovat kritické typy zařízení, ale lze zneužít i velmi základní třídy. Odstraňte je a nezbývá moc. A co skenování malwaru? Bohužel, abyste mohli číst firmware, musíte se spoléhat na funkce samotného firmwaru, takže škodlivý firmware by mohl zkazit legitimní. “
"V jiných situacích dodavatelé blokují škodlivé aktualizace firmwaru pomocí digitálních podpisů, " řekl Noll. „Bezpečnou kryptografii je však obtížné implementovat na malých řadičích. V každém případě zůstávají zranitelné miliardy stávajících zařízení.“
"Jedním proveditelným nápadem, který jsme přišli, bylo zakázat aktualizace firmwaru v továrně, " řekl Noll. „Posledním krokem je, že firmware nelze přeprogramovat. Dalo by se to dokonce opravit v softwaru. Vypálit jednu novou aktualizaci firmwaru, která blokuje všechny další aktualizace. Mohli bychom dobýt trochu sféry důvěryhodných zařízení USB. “
Noll se zabalil poukazem na některá pozitivní použití pro techniku modifikace ovladače popsanou zde. „Je třeba učinit případ, aby si s tím lidé hráli, “ řekl, „ale ne v důvěryhodném prostředí.“ Pro jednoho se nikdy nebudu dívat na žádné USB zařízení tak, jak jsem si zvykl.
