Question:
Toutes les attaques USB dépendent-elles de la capacité d'injecter des frappes?
user942937
2020-01-23 16:20:09 UTC
view on stackexchange narkive permalink

D'après ce que j'ai vu, les attaques USB telles que RubberDucky doivent pouvoir ouvrir un terminal, puis exécuter des commandes à partir de là, généralement pour télécharger puis installer des logiciels malveillants ou pour ouvrir un shell inversé.

Est-ce ainsi que fonctionnent la plupart, sinon toutes les infections USB? Est-ce que le fait de pouvoir détecter et empêcher l'injection de frappe me garantirait d'être à l'abri des attaques de logiciels malveillants via USB?

Si elles étaient pertinentes pour la question, les combinaisons de touches utilisées pour envoyer des signaux au shell seraient capturées et détectées à côté des frappes régulières.

edit: Je suis surtout concerné par les attaques USB dont le but est d'infecter une machine avec des logiciels malveillants et / ou d'ouvrir une porte dérobée à travers laquelle manipuler le système.

Dans le cas d'un reverse shell en cours d'ouverture, l'attaquant / er s'appuiera-t-il toujours sur l'exécution de commandes, c'est-à-dire en supposant que sur le système en question, il n'y avait qu'un seul terminal ouvert ou disponible, je pourrai voir les frappes si cette attaque étaient en cours?

Dans le cas de l'exfiltration de données, y aurait-il des moyens pour le logiciel malveillant sur le matériel de monter la partition / le système de fichiers, puis de copier les fichiers sans pouvoir saisir des frappes?

Voici un site avec certains répertoriés - https://www.bleepingcomputer.com/news/security/heres-a-list-of-29-different-types-of-usb-attacks/
Outre les autres réponses, n'oubliez pas l'attaque la plus simple de toutes: un fichier infecté assis sur un lecteur flash, en attente d'être exécuté manuellement par la victime.
L'exfiltration de fichiers USB est également un autre élément principal.
Le périphérique USB faisant office de clavier, de souris, d'adaptateur Ethernet ou d'adaptateur WiFi semble être les principaux vecteurs d'attaque, à côté de simples fichiers malveillants sur un stockage de masse.
Je ne sais pas si cela compte comme une "attaque basée sur USB", mais le port USB pourrait être utilisé uniquement pour alimenter un minuscule microphone + émetteur sans fil.
Étant donné que les périphériques USB peuvent se présenter comme plusieurs types de périphériques différents, une vulnérabilité dans les communications entre un périphérique et un système pourrait permettre une attaque malveillante.Une recherche rapide sur Google de «malware qui exploite le pilote» trouve de nombreux résultats pertinents.
en relation: https://security.stackexchange.com/questions/118854/attacks-via-physical-access-to-usb-dma
Huit réponses:
#1
+48
Lexu
2020-01-23 16:40:46 UTC
view on stackexchange narkive permalink

Il y a eu également des attaques basées sur la fonction de lecture automatique (autre source), même si je pense que c'est un peu obsolète avec les nouveaux systèmes d'exploitation comme Windows 10. Il y a aussi USB-Killers qui fonctionnent au niveau matériel et tuent votre machine en envoyant des chocs à courant fort.

Voici une liste d'autres attaques qui pourraient entrer dans la même catégorie, y compris mais sans s'y limiter:

  • Une attaque qui émule en fait un Adaptateur Ethernet USB, qui injecte ensuite des serveurs DNS malveillants dans les communications DHCP, modifiant potentiellement les serveurs DNS par défaut de l'ordinateur pour utiliser ces serveurs malveillants; les sites d'intérêt (e-mail, banque, commerce électronique, etc.) peuvent ensuite être imités à distance, et la victime redirigée vers les sites mimiques via le serveur DNS malveillant.
  • Attaques qui utilisent une petite partition cachée sur un stockage de masse périphérique pour démarrer et installer un rootkit, tout en se comportant comme un périphérique de stockage de masse normal
  • Diverses attaques destinées à l'exfiltration de données sur un périphérique sécurisé (généralement uniquement pertinentes pour sécuriser les ordinateurs espacés que l'attaquant peut obtenir physiquement accès à, comme un entrepreneur ayant accès à des systèmes sécurisés)
L'attaque de remplacement de passerelle par défaut mentionnée à ce lien est particulièrement pertinente pour la question des OP.
#2
+36
ThoriumBR
2020-01-24 04:28:38 UTC
view on stackexchange narkive permalink

Outre toutes les bonnes réponses précédentes, il y en a une autre que personne n'a mentionnée: les périphériques Ethernet basés sur USB. Comme l'excellent PoisonTap.

On peut faire enregistrer le périphérique en tant que périphérique Ethernet et changer la route par défaut pour l'adresse IP du périphérique. De cette façon, chaque requête en texte clair et chaque requête DNS lui seront envoyées, et une requête pour des domaines importants (pensez aux CDN couramment utilisés, comme Cloudflare, Akamai, etc.) peut être empoisonnée.

Si une requête HTTP est effectuée et la résolution du domaine a été empoisonnée, l'attaquant peut servir un fichier jquery.js malveillant, par exemple, mettre un en-tête d'expiration très long sur la réponse, et faire exécuter une jquery backdoor chaque site qui renvoie à ce script, pendant longtemps après avoir supprimé le périphérique malveillant.

Autre que cela, l'attaquant peut définir un autre hôte sur le même réseau et modifier la passerelle par défaut également. De cette façon, l'attaquant est en mesure d'exécuter MitM contre l'hôte sans recourir à l'empoisonnement ARP - bruyant et peut être attrapé assez rapidement par les nouveaux pare-feu. Être la passerelle signifie que tout protocole non chiffré peut être attaquant, enregistré, édité et tout secret capturé.

L'injection de frappe est une bonne attaque, mais la machine doit être déverrouillée. Les attaques de changement de réseau fonctionneront même si la machine est verrouillée, elle n'a besoin que d'un seul processus pour essayer de résoudre un domaine et le résultat peut être mis en cache.

Un tel appareil peut également établir une connexion réseau ordinaire avec l'hôte, permettant d'exécuter toutes les attaques réseau habituelles directement à partir du périphérique USB.
Je ne pense pas qu'un périphérique Ethernet puisse _change_ les paramètres DNS de l'hôte.Il peut proposer un serveur DHCP et via DHCP proposer un serveur DNS, mais l'hôte dispose probablement d'une connexion réseau filaire ou Wifi qui propose également DNS.La manière dont il choisit entre les deux connexions n'est pas spécifiée.Le plus grand risque IMO est que l'appareil _peut_ revendiquer une route directe plus courte vers l'Internet public, car la connexion réelle est probablement via un routeur.Cela signifie que l'appareil peut offrir un itinéraire direct vers 8.8.8.8 et 1.1.1.1
#3
+20
MechMK1
2020-01-23 16:35:47 UTC
view on stackexchange narkive permalink

Non, il y en a d'autres.

USB Killer, par exemple, est un appareil qui vise à endommager votre matériel en appliquant une haute tension aux lignes de données.

Un attaquant pourrait utiliser un tel appareil pour inciter les employés à endommager involontairement le matériel de l'entreprise, entraînant une perte de disponibilité et des dommages pécuniaires.

Fait amusant, un peu de magie des circuits peut être en mesure de multiplier la tension d'une pile bouton, ce qui rend un tueur USB de la taille d'un lecteur flash (bien que peut-être un peu moins efficace si les ports sont correctement fusionnés)
#4
+20
Robin Davies
2020-01-24 15:36:22 UTC
view on stackexchange narkive permalink

Tristement célèbre, Stuxnet a exploité une fonctionnalité de Windows qui installe automatiquement les pilotes USB sur une clé USB lorsqu'elle est insérée tant que les pilotes ont les signatures numériques appropriées. Le virus Stuxnet avait des pilotes signés avec une clé privée appartenant à Microsoft. On ne sait pas publiquement comment cette clé privée Microsoft particulière a été obtenue - si elle a été volée ou si Microsoft a collaboré à l'attaque.

Stuxnet a été conçu pour briser les réseaux connectés à Internet en Iran. Stuxnet copiait alors les pilotes sur une clé USB insérée dans les périphériques du réseau infecté. Lorsque les opérateurs des usines de traitement nucléaire iraniennes utilisaient ces clés USB pour déplacer des données vers leur réseau sécurisé à vide, les pilotes s'installaient sur des machines de l'autre côté de la lame d'air, rapprochant Stuxnet de son objectif final: détruire le réseau. contrôleurs industriels pour les centrifugeuses utilisées par l'Iran pour raffiner l'uranium.

Au moins un virus utilisait des pilotes signés avec une clé privée volée à un fabricant asiatique de périphériques USB, qui a ensuite été révoquée.

Selon aux informations contenues dans les manuels d'utilisation de NSA Cyberwarfare, divulguées par Wikileaks, l'une des options d'attaque est "un bref accès au port USB d'un ordinateur". Donc, vraisemblablement, la NSA a (ou a eu) des attaques qui pourraient infecter les systèmes informatiques simplement en insérant une clé USB.

Peut-être que la clé a été créée à l'aide du bogue récemment découvert dans Windows 10, avec la bibliothèque crypt32.dll, qui permettait de signer un fichier comme si Microsoft l'avait fait lui-même.
@IsmaelMiguel: Impossible.Windows 7 n'est pas affecté par ce bogue, et s'il avait été utilisé ici, il aurait été connu il y a longtemps.
#5
+18
rackandboneman
2020-01-24 02:29:30 UTC
view on stackexchange narkive permalink

Dans certains cas, agir comme un périphérique de stockage de masse entraînera beaucoup de ravages.

Tout système d'exploitation qui lira automatiquement quoi que ce soit (qui n'est plus implémenté pour de bonnes raisons de nos jours) est vulnérable - ce sera à permettre au moins à l'attaquant de faire beaucoup de choses au niveau de privilège de la personne connectée; au cas où une élévation de privilèges locale serait exploitée, encore plus.

Tout système d'exploitation ou environnement de bureau qui prévisualise les fichiers ... et a un dépassement de tampon exploitable ou une vulnérabilité similaire dans n'importe quel gestionnaire de prévisualisation ... peut être fait pour faire la même chose.

Tout appareil configuré pour démarrer à partir d'un support amovible peut évidemment être amené à faire presque n'importe quoi, sauf lorsque les informations auxquelles vous voulez accéder sont cryptées - bien qu'un périphérique de démarrage malveillant puisse parfaitement bien émuler l'écran de saisie de clé pour un système de cryptage de disque complet à entrée manuelle de clé et allez-y ....

Un système d'exploitation qui a un débordement de tampon ou une vulnérabilité similaire qui peut être déclenchée avec un système de fichiers corrompu est également vulnérable. Il en va de même pour les vulnérabilités qui peuvent être déclenchées par des changements dynamiques inattendus dans les structures du système de fichiers - les périphériques de stockage de masse USB pourraient être émulés par du code actif ....

Aussi, un MTP vulnérable ou une caméra / un scanner personnalisé ou un pilote similaire pourrait être exploité.

Outre les attaques de contenu de fichier actif, il y a également eu des bogues du noyau (Linux) avec le code de gestion du système de fichiers où l'analyse des structures de données du système de fichiers peut provoquer des dépassements de tampon ou des problèmes similaires.
#6
+10
Mavamaarten
2020-01-24 14:14:59 UTC
view on stackexchange narkive permalink

Il existe d'autres exemples d'attaques USB, en plus de ceux mentionnés ci-dessus: par exemple, la PS3 a d'abord été jailbreakée à l'aide d'une clé USB qui se présentait comme un concentrateur USB avec de nombreux périphériques connectés et des identifiants de périphérique spécialement conçus. Cela a permis l'exécution de code.

Quelque chose de similaire était une vulnérabilité dans MacOS plusieurs versions antérieures.
#7
+1
bracco23
2020-01-24 20:50:54 UTC
view on stackexchange narkive permalink

Avec les excellentes réponses déjà fournies, je souhaite ajouter une expérience de première main pertinente pour les systèmes Windows.

Dans mon université, il y a quelques années, j'ai vu apparaître une clé USB infectée avec un malware qui fonctionnait comme que:

  • Lorsqu'une clé était infectée, tous les fichiers étaient déplacés vers un dossier caché et protégé par le système.
  • Un lien spécial a été créé et renommé avec le même nom de la clé USB et l'icône des disques externes utilisés par Windows.

Lorsqu'une personne inconnue accédait à la clé USB infectée, elle ouvrirait le lecteur et ensuite, sans le considérer, ouvrirait le lien. Le lien ouvrirait le dossier caché, mais en même temps installerait le logiciel malveillant sur le PC.

Le logiciel malveillant commencerait alors à écouter les nouvelles clés USB, à les infecter, et commencerait également à écouter les commandes depuis un serveur distant, faisant probablement partie d'un botnet ou autre.

Alors oui, parfois les attaques USB reposent sur des utilisateurs naïfs.

#8
  0
Valentin Stoykov
2020-01-26 01:59:41 UTC
view on stackexchange narkive permalink

L'interface USB peut vous donner accès au CPU si vous avez (ou pas?) les clés pour signer le firmware du CPU. Je ne me souviens pas où j'ai lu ceci, peut-être un site Web pour les théories du complot.

Il n'est pas impossible d'obtenir les clés, voyez comment Microsoft aurait collaboré avec les créateurs de Stuxnet. Intel peut également collaborer avec les créateurs de logiciels malveillants, tout comme Microsoft. Ou les créateurs de logiciels malveillants peuvent voler les clés.

Une fois que le logiciel malveillant est installé dans le processeur, le système d'exploitation n'a aucun moyen de le tester. Selon les théoriciens anonymes de la conspiration, tous les processeurs populaires (Intel, AMD) ont des logiciels malveillants installés avec des portes dérobées pour être (ab) utilisés par les agences à trois lettres.

Mais ce n'est probablement pas vrai, car de telles conspirations n'existent pas dans le monde réel. Rien à voir ici, allez dormir.

C'est pourquoi certaines personnes et organisations paranoïaques utilisent des ordinateurs à vide dans les cages de Faraday.

Je pense qu'il devrait y avoir un interrupteur physique (cavalier) sur la carte mère pour activer / désactiver les mises à jour du firmware.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...