¿Cómo se inicia el malware desde unidades externas?
Especialmente en Windows (desde > Windows 7), los comandos como Open=Example.exe en un archivo autorun.inf han sido desactivados de manera predeterminada para no permitir la ejecución automática cuando un USB se enchufa instantáneamente.
Entonces, ¿cómo es que veo que los piratas informáticos logran tales habilidades para propagar malware oculto a través de USB a la próxima computadora?
La mayoría de las infecciones provienen de equipos donde la seguridad está mal administrada, por lo que la función de ejecución automática no está deshabilitada.
Por otra parte, los dispositivos USB son intrínsecamente inseguros ya que sus firwmare pueden reescribirse para propósitos maliciosos. De SRLabs BadUSB :
Reprogramación de periféricos USB: para convertir un tipo de dispositivo en otro, Los chips del controlador USB en los periféricos deben ser reprogramados. Muy Ampliamente distribuidos los chips del controlador USB, incluidos los de las unidades de memoria USB, no tienen protección contra tal reprogramación.
(...) Una vez reprogramados, los dispositivos benignos pueden se vuelven maliciosos de muchas maneras, incluyendo:
1) Un dispositivo puede emular un teclado y emitir comandos en nombre del usuario que ha iniciado sesión, por ejemplo, para filtrar o instalar archivos. malware Dicho malware, a su vez, puede infectar los chips del controlador de Otros dispositivos USB conectados a la computadora.
2) El dispositivo también puede falsificar una tarjeta de red y cambiar la configuración de DNS de la computadora para redirigir el tráfico.
3) Una unidad flash modificada o un disco duro externo puede, cuando detecta que la computadora se está iniciando, arrancar un pequeño virus que infecta el sistema operativo de la computadora antes de arrancar.
¿Defensas? No se conocen defensas efectivas de ataques USB. Malware los escáneres no pueden acceder al firmware que se ejecuta en dispositivos USB. De comportamiento La detección es difícil ya que puede verse el comportamiento de un dispositivo infectado. como si un usuario simplemente hubiera enchufado un nuevo dispositivo. Bloqueando o Permitir clases específicas de dispositivos USB e ID de dispositivos es posible, Sin embargo, las listas genéricas se pueden omitir fácilmente. Los ataques previos al arranque pueden ser prevenido mediante el uso de una contraseña de BIOS y el arranque solo en el disco duro conducir.
Para empeorar las cosas, la limpieza después de un incidente es difícil: Simplemente reinstalar el sistema operativo - la respuesta estándar a lo contrario malware ineradicable - no aborda las infecciones por BadUSB en su raíz. La memoria USB, desde la cual se encuentra el sistema operativo. reinstalado, puede que ya esté infectado, al igual que la cámara web cableada o Otros componentes USB dentro de la computadora. Un dispositivo BadUSB puede incluso han reemplazado el BIOS de la computadora, nuevamente emulando un teclado y desbloqueo de un archivo oculto en la memoria USB.
Una vez infectados, las computadoras y sus periféricos USB nunca pueden ser confiado de nuevo.
Hay muchos vectores. En uno de mis videos favoritos de una determinada conferencia de seguridad, un tipo ataca una computadora portátil que ejecuta Ubuntu con una unidad de almacenamiento portátil regular (es decir, sin piruetas de hardware) solo insertando la unidad en la computadora. A pesar de que no hubo ejecución automática, hubo un montaje automático y la indexación. La unidad contenía un archivo JPEG creado que utilizaba una falla en el generador de miniaturas para ejecutar código arbitrario. En ese caso, fue killall xscreensaver lo que básicamente desbloqueó la computadora. Así que no es solo la ejecución automática y no solo Windows, pero puedo imaginar que esto también podría funcionar en Windows siempre que haya una falla en la indexación u otras características "automágicas".
No puedo encontrar el video ahora, pero si lo hago, actualizaré esta respuesta con él.