29 vrsta USB napada
Verovali ili ne, postoji 29 načina na koje napadači mogu da kompromituju vaš računar putem USB-a.
Izraelski istraživači sa Ben Gurion univerziteta identifikovali su 29 načina na koje napadači mogu da kompromituju vaš računar putem USB-a. Tih 29 metoda eksploatacije podelili su u 4 kategorije:
- A) Reprogramiranje internog mikrokontrolora USB uređaja. Uređaj izgleda kao određeni USB uređaj (npr. punjač), ali obavlja funkcije drugog uređaja (npr. tastature – ubacuje komande sa tastature).
- B) Reprogramiranje firmwarea USB uređaja za izvršavanje malicioznih akcija (npr. za preuzimanje malvera, izvlačenje podataka itd.).
- C) Eksploatisanje ranjivosti koje su vezane za uobičajene interakcije operativnih sistema i USB protokola/standarda (napadi bez reprogramiranja firmwarea USB uređaja).
- D) Električni napadi pomoću USB-a.
USB napadi reprogramiranjem mikrokontrolora
- Rubber Ducky. U pitanju je komercijalna platforma za napade ubacivanjem komandi sa tastature koja se pojavila 2010. godine. Kada se ovaj USB poveže sa računarom, Rubber Ducky se ponaša kao tastatura i ubacuje unapred pripremljenu sekvencu komandi.
- PHUKD/URFUKED platforme za napad. Slične su kao i prethodna, a imaju i dodatnu karakteristiku - omogućavaju napadaču da izabere vreme ubacivanja malicioznih komandi.
- USBdriveby. Omogućava brzo i tajno instaliranje backdoora i modifikovanje DNS podešavanja na otključanom OS X uređaju preko USB-a za svega nekoliko sekundi tako što oponaša USB tastaturu i miša.
- Evilduino. Sličan je kao PHUKD/URFUKED, ali koristi Arduino mikrokontrolore umesto Teensy. Radi tako što oponaša tastaturu i miša i unosi komande i pokrete mišom prema unapred učitanoj skripti.
- USB kanal za drugu svrhu. To je POC USB hardverski trojanac koji izvlači podatke preko USB kanala koji nisu za to namenjeni (npr. izvlači podatke preko USB zvučnika).
- TURNIPSCHOOL (COTTONMOUTH-1). Ovo je hardverski dodatak koji je sakriven u USB kablu. Tehnologiju je razvila američka bezbednosna agencija (NSA).
- RIT napad pomoću USB flash memorije. Napad podrazumeva menjanje sadržaja fajlova dok je USB uređaj za skladištenje podataka povezan sa računarom žrtve.
- Napad na bežične USB adaptere. Ovaj napad je prvi put viđen kada se pojavila KeySweeper platforma za napad. U pitanju je alat koji tajno beleži logove i dekriptuje otkucani sadržaj sa mnogih Microsoft RF bežičnih tastatura.
- Modifikacija default gatewaya. Ovo je napad koji preko mikrokontrolora koristi USB Ethernet adapter kako bi promenio DHCP podešavanja i preuzeo lokalni saobraćaj.
Reprogramiranje firmwarea USB uređaja za izvršavanje malicioznih akcija
- HID napadi na pametne telefone. Istraživači su napravili Android gadget drajvere kako bi izmenili način interakcije Androida i USB uređaja. Maliciozni drajver je povezan sa Android USB gadget API kako bi simulirao USB tastaturu i miš povezane sa telefonom.
- Promena DNS-a preko modifikovanog USB firmwarea. Istraživači su modifikovali firmware USB flash uređaja i iskoristili ga za oponašanje USB-ethernet adaptera koji im je omogućio da preuzmu kontrolu nad lokalnim saobraćajem.
- Oponašanje tastature preko modifikovanog USB firmwarea. „Trovanjem“ firmwarea USB flash uređaja, napadač može da ubaci komande sa tastature.
- Zakrpa za skrivenu particiju. USB flash drive se može reprogramirati da se ponaša kao regularna particija. To se radi pravljenjem skrivene particije koja se ne može formatirati što omogućava tajno izvlačenje podataka sa uređaja žrtve.
- Zakrpa za zaobilaženje lozinki. Mala modifikacija firmwarea USB flasha omogućava napadačima da pristupe sadržaju USB uređaja čak i kada je zaštićen lozinkom.
- Napad u okruženju virtuelnih mašina. Istraživači su iskoristili USB firmware da „probiju“ okruženje virtuelnih mašina.
- Virus u Boot-u – USB flash drive se ovde koristi za inficiranje računara pre podizanja sistema.
- iSeeYou. U pitanju je POC program koji reprogramira firmware Appleovih internih iSight web kamera tako da napadač može u tajnosti da snimi video bez upozorenja LED indikatora.
Napadi bez reprogramiranja firmwarea USB uređaja
- CVE-2010-2568 .LNK eksploatacija koju koriste Stuxnet i Fanny malver.
- USB backdoor za Air-Gapped uređaje. U pitanju je napad koji koristi Fanny malver koji je razvila Equation grupa (šifrovano ime za NSA). Napad podrazumeva skriveno USB skladište u kome se čuvaju pripremljene komande pomoću kojih se pravi mapa računara u izolovanim (air-gapped) mrežama. Dobijene informacije zatim bivaju sačuvane u pomenutom skrivenom USB skladištu.
- Sakrivanje podataka na USB flash memoriji. Postoji velika kolekcija trikova za sakrivanje malvera ili ukradenih podataka na USB memoriji (npr. čuvanje podataka van normalnih particija, sakrivanje fajlova u nevidljivim folderima tako što se podesi da ime i ikona foldera budu transparentni itd.).
- AutoRun eksploatacije. U zavisnosti od konfiguracije, neki računari automatski pokreću određene fajlove sa USB memorije. Postoji čitava kategorija malvera posvećena ovome koja se naziva ’autorun malveri’.
- Cold Boot napadi (RAM dump napadi). Kod ovih napada, napadači postavljaju memory dumper na USB flash i izvlače preostale podatke iz RAM memorije tako što podižu sistem sa USB-a.
- Buffer Overflow napadi. Postoji više napada koji eksploatišu buffer overflow kada je USB uređaj priključen u računar. To se dešava zato što OS obavlja neke unapred predviđene operacije (izlistava uređaje i funkcije) kada se USB uređaj priključi.
- Ažuriranje drajvera. Radi se o kompleksnom napadu gde je potrebno pribaviti VeriSign Class 3 organizacioni sertifikat i podneti Microsoftu drajvere koji se automatski isporučuju i instaliraju na računar korisnika kada se određeni USB uređaj priključi. Napad je teorijski moguć, ali praktično ga je jako teško izvesti.
- Ažuriranje firmwarea uređaja (DFU). Ovde napadači koriste legitimni proces (DFU) koji je u skladu sa USB standardima kako bi ažurirali lokalni legitimni firmware na malicioznu verziju.
- USB Thief. To je nedavno otkriveni malver za krađu podataka preko USB memorije.
- Napadi na pametne telefone preko USB porta. Napadači mogu da sakriju i isporuče malver preko USB punjača za telefon.
- USBee napadi. Ovo je napad u kome USB konektor emituje elektromagnetne talase pomoću kojih se izvlače podaci.
Električni napadi pomoću USB-a.
- USB Killer. U pitanju je naprava koja dovodi do trajnog uništenja uređaja (računara) tako što pri povezivanju ispušta električno pražnjenje.
Izvor: Bleeping Computer