Vídeo: Mi Memoria USB NO Aparece en Equipo│Mi USB NO Aparece En MI PC│Mi PC NO Reconoce La USB│SOLUCIONADO (Setembre 2024)
Si no heu desactivat la reproducció automàtica USB al vostre PC, és concebible que si connecteu una unitat USB infectada podríeu instal·lar programari maliciós al vostre sistema. Stuxnet va assabentar-se dels enginyers els centrífugs purificadors d'urani que van explotar l'únic camí. Tot i així, resulta que el malware amb reproducció automàtica no és l’única forma en què es poden combinar els dispositius USB. A la conferència de Black Hat 2014, dos investigadors de Berlinabs, basats en SRLabs, van revelar una tècnica per modificar el xip del controlador d’un dispositiu USB perquè pugui “fer malbé diversos altres tipus de dispositius per tal de prendre el control d’un ordinador, exfiltrar dades o espiar l’usuari”. ". Això sembla dolent, però de fet és real, realment terrible.
Gireu cap al costat fosc
"Som un laboratori de pirates informàtics centrat normalment en la seguretat integrada", va dir l'investigador Karsten Noll, parlant a una sala plena. "Es tracta de la primera vegada que es va mirar una seguretat informàtica amb un angle incrustat. Com es pot repoblar l'USB de manera maliciosa?"
Reseacher Jakob Lell va saltar a la dreta. Va connectar una unitat USB a un ordinador Windows; es va presentar com a unitat, tal i com podríeu esperar. Poc després, es va redefinir com a teclat USB i va emetre un ordre que descarregava un trojan d'accés remot. Això va atreure aplaudiments!
"No parlarem de virus a l'emmagatzematge USB", va dir Noll. "La nostra tècnica funciona amb un disc buit. Fins i tot es pot tornar a reformar. Aquesta no és una vulnerabilitat de Windows que pot ser pegada. Estem centrats en el desplegament, no en el troià."
Control del controlador
"El USB és molt popular", va dir Noll. "La majoria (si no tots) els dispositius USB tenen un xip de controlador. Mai interaccioneu amb el xip ni el sistema operatiu ho veu. Però aquest controlador és el que parla" USB."
El xip USB identifica el seu tipus de dispositiu a l’ordinador i pot repetir aquest procés en qualsevol moment. Noll va assenyalar que hi ha raons vàlides perquè un dispositiu es presenti com a més d'un, com una càmera web que té un controlador per a vídeo i un altre per al micròfon adjunt. I és que la identificació d'unitats USB veritablement difícil és que un número de sèrie és opcional i no té un format fix.
Lell va aprofitar els passos precisos de l'equip per reprogramar el firmware en un tipus específic de controlador USB. Breument, van haver d’abandonar el procés d’actualització del firmware, enginyar l’inversor del firmware i, després, crear una versió modificada del firmware que contenia el seu codi maliciós. "No hem trencat tot amb USB", va assenyalar Noll. "Vam invertir dos xips de controladors molt populars. El primer va trigar dos mesos, el segon un mes."
Auto-replicació
Per a la segona demostració, Lell va inserir una nova unitat USB en blanc en el PC infectat des de la primera demostració. El PC infectat va reprogramar el firmware de la unitat USB en blanc, replicant-se així. Oh estimat.
A continuació, va connectar la unitat just infectada a un quadern de Linux, on emetia visiblement ordres de teclat per carregar codi maliciós. Una vegada més, la demostració va treure aplaudiments del públic.
Robar contrasenyes
"Aquest va ser un segon exemple en què un USB es fa ressò d'un altre tipus de dispositiu", va dir Noll, "però aquest és només la punta de l'iceberg. Per a la nostra demostració següent, vam reprogramar una unitat USB 3 perquè sigui un tipus de dispositiu més difícil de detectar. Vigileu de prop, és gairebé impossible de veure ".
De fet, no vaig poder detectar el parpelleig de la icona de la xarxa, però després que es connectés la unitat USB, es va mostrar una nova xarxa. Noll va explicar que la unitat ara emulava una connexió Ethernet, redirigint la cerca DNS de l'ordinador. Concretament, si l’usuari visita el lloc web de PayPal, serà redirigit de manera invisible a un lloc de roba de contrasenya. Per desgràcia, els dimonis demostradors van reclamar aquest; no va funcionar.
Confieu en USB
"Discutim per un moment la confiança que confiem en USB", va dir Noll. "És popular perquè és fàcil d'utilitzar. L'intercanvi de fitxers mitjançant USB és millor que utilitzar correu electrònic o un emmagatzematge en núvol no xifrats. USB ha conquistat el món. Sabem analitzar un virus USB. Confiem en un teclat USB encara més. Aquesta recerca trenca aquesta confiança ".
"No és només la situació en què algú et dóna un USB", va continuar. "Només connectar el dispositiu a l'ordinador podria infectar-lo. Per a una última demostració, farem servir el més fàcil atacador USB, un telèfon Android."
"Fixem aquest telèfon Android estàndard a l'ordinador", va dir Lell, i veiem què passa. Oh, de sobte hi ha un dispositiu de xarxa addicional. Anem a PayPal i iniciem la sessió. No hi ha cap missatge d'error, res. Però vam capturar el nom d’usuari i la contrasenya! " Aquesta vegada, els aplaudiments van ser tronats.
"Detectareu que el telèfon Android es va convertir en un dispositiu Ethernet?" va preguntar Noll. "El control del dispositiu o el programari de prevenció de pèrdues de dades el detecten? Segons la nostra experiència, la majoria no. I la majoria se centren només en l'emmagatzematge USB, no en altres tipus de dispositius."
El retorn de l'infector del sector d'arrencada
"La BIOS fa un tipus d'enumeració USB diferent del sistema operatiu", va dir Noll. "Podem aprofitar-ho amb un dispositiu que emula dues unitats i un teclat. El sistema operatiu només veurà una unitat. La segona només apareix a la BIOS, que s'iniciarà des d'ella si està configurada per fer-ho. Si no és així, podem enviar qualsevol tecla, potser F12, per activar l’arrencada des del dispositiu."
Noll va assenyalar que el codi rootkit es carrega abans del sistema operatiu i que pot infectar altres unitats USB. "És el desplegament perfecte per a un virus", va dir. "Ja s'està executant a l'ordinador abans que es pugui carregar qualsevol antivirus. És el retorn del virus del sector d'arrencada."
Què es pot fer?
Noll va assenyalar que seria molt difícil eliminar un virus resident al firmware USB. Treu-lo de la unitat flash USB, es podria reinfectar del teclat USB. Fins i tot els dispositius USB integrats al vostre PC podrien estar infectats.
"Malauradament, no hi ha una solució senzilla. Gairebé totes les nostres idees de protecció interferirien amb la utilitat de USB", va dir Noll. "Podríeu fer una llista blanca de dispositius USB de confiança? Doncs podríeu si els dispositius USB eren identificables de manera única, però no ho són".
"Podríeu bloquejar el USB del tot, però això afecta la usabilitat", va continuar. "Podríeu bloquejar els tipus de dispositius crítics, però fins i tot es poden abusar de classes molt bàsiques. Elimineu-ne i no us quedi gaire cosa. Què passa amb la cerca de programari maliciós? Malauradament, per llegir el firmware heu de dependre de les funcions del firmware mateix, així que un firmware maliciós podria fer malbé un legítim."
"En altres situacions, els venedors bloquegen les actualitzacions de firmware malicioses mitjançant signatures digitals", va dir Noll. "Però la criptografia segura és difícil d’implementar en petits controladors. En qualsevol cas, milions de dispositius existents segueixen sent vulnerables."
"L'única idea viable a la qual ens vam plantejar era desactivar les actualitzacions de firmware a la fàbrica", va dir Noll. "El darrer pas, feu que el firmware no es pugui reprogramar. Fins i tot podríeu arreglar-lo en el programari. Enregistreu una nova actualització del firmware que bloqueja totes les actualitzacions posteriors. Podríem recuperar una mica de l'esfera dels dispositius USB de confiança. ".
Noll es va acabar assenyalant alguns usos positius de la tècnica de modificació del controlador que es descriu aquí. "Hi ha un cas que s'ha de fer per a persones que juguin amb això", va dir, "però no en entorns de confiança". Jo, per primera vegada, mai comprovaré cap dispositiu USB tal com ho feia abans.
