¿Cómo pueden ser peligrosas las memorias USB?

155

Todos conocemos la historia de La unidad USB se dejó fuera de una central eléctrica que fue encontrada por un trabajador e insertada en una computadora para ver el contenido que luego permitió que se produjera un hackeo.

Aquí está mi pregunta, ¿cómo? Me sale el código que se ejecuta pero ¿cómo? Realmente me gustaría poder hacer esto (por mi propia curiosidad, por supuesto). Siempre he tenido un buen conocimiento de la seguridad sobre cómo hacer que las cosas sean seguras, etc., pero cosas como virus, troyanos, controladores USB ... ¿cómo se activan con poca interacción humana?

Realmente me gustaría aprender sobre estas cosas, soy un administrador de programadores / sys, así que me gustaría romper un guión pero nunca me enseñaron o nunca lo hice. No sé cómo ni por dónde empezar. Realmente me gustaría una gran discusión sobre esto con la mayor cantidad de información posible.

    
pregunta TheHidden 16.10.2015 - 10:13
fuente

5 respuestas

217

Eche un vistazo a este teclado USB :

"¡Pero eso no es un teclado! ¡Es una unidad USB, tonta!"

En realidad, no. Parece una unidad USB para ti, pero cuando se conecta a una computadora, informará que se trata de un teclado USB. Y en el momento en que se instale, comenzará a escribir las secuencias de teclas que programó de antemano. Cualquier sistema operativo que conozco confía automáticamente en los teclados USB y los instala como dispositivos de entrada de confianza sin necesidad de interacción del usuario en el momento en que se conectan.

Hay varias cargas útiles disponibles para él. Por ejemplo, hay una que escribe la entrada del teclado para abrir un shell. , inicia WGET para descargar un binario de Internet y lo ejecuta.

    
respondido por el Philipp 16.10.2015 - 10:30
fuente
87

Recientemente, ha surgido una forma de ataque que no "piratea" la computadora a través de vulnerabilidades de código o software, sino que causa un daño real a la electrónica.

Un creador conocido como Dark Purple creó un dispositivo conocido como USB Killer 2.0 (basado en una versión anterior creada por él basada en el mismo concepto) que, cuando está conectado a la ranura USB de la computadora, almacena la pequeña cantidad de La energía se envía al dispositivo en condensadores y luego se devuelve la energía almacenada de una vez a -220 voltios.

Sigue repitiendo este proceso hasta que la computadora está muerta. Esto destruye el controlador de E / S, a menudo integrado en la placa base (y puede causar otros daños también; no he leído ningún detalle sobre pruebas exhaustivas). ( Fuente original en ruso y la versión traducida de Google .)

Aladerecha,elUSBKiller1.0expuestoysusucesor,elUSBKiller2.0,yalaizquierda,elUSBKillerenunestuchecerrado,quesepareceaunaunidadflashUSBnormal.

Losresultadossemuestranaquí,matandolaplacabasedeunaThinkPadX60deLenovojustodespuésdeconectarlaalaranuraUSB:

    
respondido por el IQAndreas 16.10.2015 - 17:40
fuente
39

La "memoria USB que queda fuera de la planta de energía" de la que estás hablando se parece mucho al caso Stuxnet. Hubo una cantidad sorprendente (y satisfactoria) de detalles sobre los aspectos técnicos en el libro Cuenta atrás para el día cero . Si eres genuinamente curioso, te recomiendo que lo leas.

Para darte un tl; dr para tu pregunta; no se hace con una secuencia de comandos, sino con un archivo creado en un nivel inferior para explotar las vulnerabilidades de la forma en que el sistema operativo maneja las unidades USB. Cuando conecte una unidad USB a Windows, intentará hacer cosas útiles como evaluar la estructura del archivo y ver si hay algún archivo que desee utilizar, con el fin de darle un aviso para acceder de inmediato a esos archivos. Si bien no ejecuta ninguno de los archivos de forma intencional directamente, existen vulnerabilidades en la forma en que el sistema operativo explora los archivos que pueden usarse para engañar al sistema operativo para que ejecute el código.

    
respondido por el Jeff Meden 16.10.2015 - 15:29
fuente
27

Un ejemplo famoso de lo que está preguntando es esta recomendación de Microsoft . La vulnerabilidad a la que se hace referencia se activa simplemente insertando la memoria USB; no se requiere ninguna otra interacción del usuario. Así es como se propagó el virus Stuxnet - ver por ejemplo informes de Symantec y F-Secure .

    
respondido por el Konstantin Shemyak 16.10.2015 - 11:29
fuente
23

Este tipo de enfoques solían funcionar, pero debido a la alta propagación de virus a través de los corrales, la opción autorun en los sistemas operativos que permitían que los USB se ejecutaran cuando estaban conectados estaba desactivada.

Antes de que se deshabilitara esa opción, podría tener un archivo EXE en un dispositivo USB que se ejecutaría cuando conectó el USB a la computadora. En los sistemas operativos recientes, la opción autorun está deshabilitada de forma predeterminada.

Un dispositivo USB puede ser reprogramado para emular un teclado USB. Cuando el dispositivo USB está conectado al sistema, el sistema operativo lo reconoce como un teclado USB. O para una alternativa más simple, puede obtener hardware creado específicamente para ese propósito, como se sugiere en @Philipp.

Esto sigue el principio de la prueba de pato (versión adaptada de USB ducky de goma):

  

Si toca como un teclado y teclea como un teclado, debe ser un teclado

Los teclados USB tienen los derechos del usuario que inició sesión y se pueden usar para inyectar malware en el sistema operativo.

    
respondido por el RageAgainstTheMachine 16.10.2015 - 15:07
fuente

Lea otras preguntas en las etiquetas