Video: Where did my external hard drive go (Juni 2024)
Wenn Sie die automatische USB-Wiedergabe auf Ihrem PC nicht deaktiviert haben, ist es denkbar, dass durch das Anschließen eines infizierten USB-Laufwerks Malware auf Ihrem System installiert wird. Die Ingenieure, deren uranreinigende Zentrifugen von Stuxnet in die Luft gesprengt wurden, haben das auf die harte Tour gelernt. Es stellt sich jedoch heraus, dass Autoplay-Malware nicht die einzige Möglichkeit ist, USB-Geräte zu schützen. Auf der Black Hat 2014-Konferenz zeigten zwei Forscher der Berliner SRLabs eine Technik zur Modifizierung des Controller-Chips eines USB-Geräts, mit der verschiedene andere Gerätetypen gefälscht werden können, um die Kontrolle über einen Computer zu übernehmen, Daten zu filtern oder den Benutzer auszuspionieren. " Das hört sich irgendwie schlecht an, ist aber wirklich, wirklich schrecklich.
Wende dich der dunklen Seite zu
"Wir sind ein Hacking-Labor, das sich in der Regel auf eingebettete Sicherheit konzentriert", sagte der Forscher Karsten Noll vor einem überfüllten Raum. "Dies ist das erste Mal, dass wir eine Computersicherheit mit einem eingebetteten Blickwinkel betrachten. Wie kann USB auf böswillige Weise für andere Zwecke verwendet werden?"
Der Forscher Jakob Lell ist direkt in eine Demo gesprungen. Er steckte ein USB-Laufwerk in einen Windows-Computer. es zeigte sich als Laufwerk, genau wie Sie es erwarten würden. Kurze Zeit später definierte es sich selbst als USB-Tastatur und gab einen Befehl aus, mit dem ein RAS-Trojaner heruntergeladen wurde. Das hat Applaus ausgelöst!
"Wir werden nicht über Viren im USB-Speicher sprechen", sagte Noll. "Unsere Technik funktioniert mit einer leeren Festplatte. Sie können sie sogar neu formatieren. Dies ist keine Windows-Sicherheitsanfälligkeit, die gepatcht werden könnte. Wir konzentrieren uns auf die Bereitstellung, nicht auf den Trojaner."
Steuerung des Controllers
"USB ist sehr beliebt", sagte Noll. "Die meisten (wenn nicht alle) USB-Geräte haben einen Controller-Chip. Sie interagieren nie mit dem Chip und das Betriebssystem sieht es auch nicht. Aber dieser Controller ist das, was" über USB spricht "."
Der USB-Chip erkennt den Gerätetyp gegenüber dem Computer und kann diesen Vorgang jederzeit wiederholen. Noll wies darauf hin, dass es triftige Gründe dafür gibt, dass sich ein Gerät als mehr als ein Gerät darstellt, beispielsweise eine Webcam mit einem Treiber für Video und einem für das angeschlossene Mikrofon. Die Identifizierung von USB-Laufwerken ist schwierig, da eine Seriennummer optional ist und kein festes Format hat.
Lell ging die genauen Schritte durch, die das Team unternommen hatte, um die Firmware auf einem bestimmten USB-Controller-Typ neu zu programmieren. Kurz gesagt, sie mussten den Firmware-Aktualisierungsprozess abhören, die Firmware rückentwickeln und dann eine modifizierte Version der Firmware erstellen, die ihren Schadcode enthielt. "Wir haben nicht alles an USB kaputtgemacht", stellte Noll fest. "Wir haben zwei sehr beliebte Controller-Chips rückentwickelt. Der erste hat vielleicht zwei Monate gedauert, der zweite einen Monat."
Selbstreplikation
Für die zweite Demo steckte Lell ein brandneues, leeres USB-Laufwerk in den infizierten PC der ersten Demo. Der infizierte PC hat die Firmware des leeren USB-Laufwerks neu programmiert und sich dadurch selbst repliziert. Ach je.
Als nächstes steckte er das gerade infizierte Laufwerk in ein Linux-Notebook, in dem es sichtbar Tastaturbefehle zum Laden von Schadcode ausgab. Die Demo wurde erneut vom Publikum mit Applaus bedacht.
Passwörter stehlen
"Das war ein zweites Beispiel, in dem ein USB-Gerät einen anderen Gerätetyp wiedergibt", sagte Noll, "aber dies ist nur die Spitze des Eisbergs. Für unsere nächste Demo haben wir ein USB-3-Laufwerk neu programmiert, damit es einen Gerätetyp darstellt, der schwerer zu erkennen ist." Beobachten Sie genau, es ist fast unmöglich zu sehen."
In der Tat konnte ich das Flackern des Netzwerksymbols nicht erkennen, aber nachdem das USB-Laufwerk angeschlossen wurde, wurde ein neues Netzwerk angezeigt. Noll erklärte, dass das Laufwerk jetzt eine Ethernet-Verbindung emulierte und die DNS-Suche des Computers umleitete. Wenn der Benutzer die PayPal-Website besucht, wird er unsichtbar auf eine Website umgeleitet, auf der er das Passwort stiehlt. Leider beanspruchten die Demo-Dämonen diese; es hat nicht funktioniert.
Vertrauen Sie auf USB
"Sprechen wir einen Moment über das Vertrauen, das wir in USB setzen", sagte Noll. "Es ist beliebt, weil es einfach zu bedienen ist. Der Austausch von Dateien über USB ist besser als die Verwendung unverschlüsselter E-Mail- oder Cloud-Speicher. USB hat die Welt erobert. Wir wissen, wie man ein USB-Laufwerk mit Viren scannt. Wir vertrauen noch mehr auf eine USB-Tastatur. Diese Untersuchung." bricht dieses Vertrauen zusammen."
"Es ist nicht nur die Situation, in der dir jemand USB gibt", fuhr er fort. "Wenn Sie das Gerät nur an Ihren Computer anschließen, kann es infiziert werden. Für eine letzte Demo verwenden wir den einfachsten USB-Angreifer, ein Android-Telefon."
"Lassen Sie uns einfach dieses Standard-Android-Handy an den Computer anschließen", sagte Lell, "und sehen, was passiert. Oh, plötzlich gibt es ein zusätzliches Netzwerkgerät. Gehen wir zu PayPal und melden uns an. Es gibt keine Fehlermeldung, nichts. Aber wir haben es aufgenommen." den Benutzernamen und das Passwort! " Diesmal war der Applaus gewaltig.
"Werden Sie feststellen, dass sich das Android-Telefon in ein Ethernet-Gerät verwandelt hat?" fragte Noll. "Wird es von der Software zur Gerätesteuerung oder zur Verhinderung von Datenverlust erkannt? Nach unserer Erfahrung tun dies die meisten nicht. Und die meisten konzentrieren sich nur auf USB-Speicher, nicht auf andere Gerätetypen."
Die Rückkehr des Bootsektors Infector
"Das BIOS führt eine andere Art der USB-Aufzählung durch als das Betriebssystem", sagte Noll. "Wir können das mit einem Gerät nutzen, das zwei Laufwerke und eine Tastatur emuliert. Das Betriebssystem sieht immer nur ein Laufwerk. Das zweite erscheint nur im BIOS, das von dort bootet, wenn dies konfiguriert ist. Wenn dies nicht der Fall ist." können wir jeden Tastendruck senden, vielleicht F12, um das Booten vom Gerät aus zu ermöglichen."
Noll wies darauf hin, dass der Rootkit-Code vor dem Betriebssystem geladen wird und andere USB-Laufwerke infiziert werden können. "Es ist die perfekte Bereitstellung für einen Virus", sagte er. "Es wird bereits auf dem Computer ausgeführt, bevor Antivirenprogramme geladen werden können. Es ist die Rückkehr des Bootsektorvirus."
Was kann getan werden?
Noll wies darauf hin, dass es äußerst schwierig sein würde, einen Virus aus der USB-Firmware zu entfernen. Ziehen Sie es aus dem USB-Flash-Laufwerk heraus, es könnte von Ihrer USB-Tastatur erneut angesteckt werden. Sogar die in Ihren PC eingebauten USB-Geräte könnten infiziert sein.
"Leider gibt es keine einfache Lösung. Fast alle unsere Ideen zum Schutz würden die Nützlichkeit von USB beeinträchtigen", sagte Noll. "Könnten Sie vertrauenswürdige USB-Geräte auf die Whitelist setzen? Nun, Sie könnten USB-Geräte eindeutig identifizieren, aber nicht."
"Sie könnten USB insgesamt blockieren, aber das beeinträchtigt die Benutzerfreundlichkeit", fuhr er fort. "Sie könnten kritische Gerätetypen blockieren, aber auch sehr einfache Klassen können missbraucht werden. Entfernen Sie diese und es bleibt nicht viel übrig. Wie wäre es mit dem Scannen nach Malware? Um die Firmware zu lesen, müssen Sie sich leider auf Funktionen der Firmware verlassen eine bösartige Firmware könnte eine legitime fälschen."
"In anderen Situationen blockieren Anbieter böswillige Firmware-Updates mithilfe digitaler Signaturen", so Noll. "Sichere Kryptografie ist jedoch auf kleinen Controllern nur schwer zu implementieren. Auf jeden Fall bleiben Milliarden vorhandener Geräte anfällig."
"Die einzige praktikable Idee war, Firmware-Updates im Werk zu deaktivieren", sagte Noll. "Im allerletzten Schritt können Sie die Firmware so einstellen, dass sie nicht neu programmiert werden kann. Sie können sie sogar in der Software beheben. Brennen Sie ein neues Firmware-Upgrade, das alle weiteren Updates blockiert. Wir könnten ein wenig von der Sphäre der vertrauenswürdigen USB-Geräte zurückerobern."."
Abschließend möchte ich auf einige positive Verwendungsmöglichkeiten für die hier beschriebene Controller-Modification-Technik hinweisen. "Es gibt einen Fall für Leute, die damit herumspielen", sagte er, "aber nicht in vertrauenswürdigen Umgebungen." Ich jedenfalls werde niemals ein USB-Gerät so betrachten, wie ich es früher getan habe.
