Frage:
Sind alle USB-basierten Angriffe davon abhängig, dass Tastenanschläge ausgeführt werden können?
user942937
2020-01-23 16:20:09 UTC
view on stackexchange narkive permalink

Wie ich gesehen habe, müssen USB-basierte Angriffe wie RubberDucky in der Lage sein, ein Terminal zu öffnen und dann Befehle von dort auszuführen, normalerweise um Malware herunterzuladen und dann zu installieren oder eine Reverse Shell zu öffnen.

Funktionieren so die meisten, wenn nicht alle USB-basierten Infektionen? Würde die Erkennung und Verhinderung der Tastendruckinjektion sicherstellen, dass ich vor USB-basierten Malware-Angriffen sicher bin?

Wenn dies für die Frage überhaupt relevant ist, werden Tastenkombinationen, die zum Senden von Signalen an die Shell verwendet werden, abgefangen und erkannt neben regulären Tastenanschlägen.

Bearbeiten: Ich befasse mich hauptsächlich mit USB-basierten Angriffen, deren Zweck darin besteht, einen Computer mit Malware zu infizieren und / oder eine Hintertür zu öffnen, durch die das System manipuliert wird.

Wenn eine Reverse-Shell geöffnet wird, ist der Angreifer weiterhin auf die Ausführung von Befehlen angewiesen, dh unter der Annahme, dass auf dem betreffenden System nur ein Terminal geöffnet oder verfügbar war, kann ich bei diesem Angriff Tastenanschläge sehen gab es Möglichkeiten?

Gibt es im Fall einer Datenexfiltration Möglichkeiten für die Malware auf der Hardware, die Partition / das Dateisystem bereitzustellen und die Dateien dann zu kopieren, ohne Tastenanschläge eingeben zu können?

Hier ist eine Seite mit einigen aufgelisteten - https://www.bleepingcomputer.com/news/security/heres-a-list-of-29-different-types-of-usb-attacks/
Vergessen Sie neben den anderen Antworten nicht den einfachsten Angriff von allen: Eine infizierte Datei, die auf einem Flash-Laufwerk sitzt und darauf wartet, vom Opfer manuell ausgeführt zu werden.
Ein weiteres wichtiges Thema ist die Exfiltration von USB-Dateien.
Das USB-Gerät, das entweder als Tastatur, Maus, Ethernet-Adapter oder WiFi-Adapter fungiert, scheint neben einfach schädlichen Dateien in einem Massenspeicher die Hauptangriffsvektoren zu sein.
Ich bin mir nicht sicher, ob dies als "USB-basierter Angriff" gilt, aber der USB-Anschluss kann nur zur Stromversorgung eines winzigen Mikrofons und eines drahtlosen Senders verwendet werden.
In Anbetracht der Tatsache, dass USB-Geräte verschiedene Arten von Geräten darstellen können, kann eine Sicherheitsanfälligkeit in der Kommunikation zwischen einem Gerät und einem System einen böswilligen Angriff ermöglichen.Eine schnelle Google-Suche nach "Malware, die den Treiber ausnutzt" findet viele relevante Ergebnisse.
Verwandte: https://security.stackexchange.com/questions/118854/attacks-via-physical-access-to-usb-dma
Acht antworten:
#1
+48
Lexu
2020-01-23 16:40:46 UTC
view on stackexchange narkive permalink

Es gab auch Angriffe, die auf der Autoplay-Funktion (andere Quelle) basierten, obwohl ich denke, dass dies mit neueren Betriebssystemen wie Windows 10 etwas veraltet ist USB-Killers, die auf Hardware-Ebene arbeiten und Ihre Maschine durch Senden von Hochstromschocks töten.

Hier ist eine Liste anderer Angriffe, die möglicherweise in dieselbe Kategorie fallen, einschließlich, aber nicht beschränkt auf:

  • Ein Angriff, der tatsächlich a emuliert USB-Ethernet-Adapter, der dann schädliche DNS-Server in die DHCP-Kommunikation einfügt und möglicherweise die Standard-DNS-Server des Computers so ändert, dass diese schädlichen verwendet werden. Websites von Interesse (E-Mail, Banking, E-Commerce usw.) können dann remote nachgeahmt und das Opfer über den böswilligen DNS-Server zu den Mimic-Websites umgeleitet werden.
  • Angriffe, die eine kleine versteckte Partition in einem Massenspeicher verwenden Gerät zum Booten und Installieren eines Rootkits, während es sich ansonsten wie ein normales Massenspeichergerät verhält.
  • Verschiedene Angriffe zur Datenexfiltration auf einem gesicherten Gerät (im Allgemeinen nur relevant für sichere Computer mit Luftspalt, die der Angreifer physisch erhalten kann Zugang zu einem Auftragnehmer mit Zugang zu sicheren Systemen)
Der unter diesem Link erwähnte Standard-Gateway-Override-Angriff ist für die OP-Frage besonders relevant.
#2
+36
ThoriumBR
2020-01-24 04:28:38 UTC
view on stackexchange narkive permalink

Neben allen guten Antworten gibt es noch eine, die niemand erwähnt hat: USB-basierte Ethernet-Geräte. Wie das hervorragende PoisonTap.

Man kann das Gerät als Ethernet-Gerät registrieren lassen und die Standardroute für die IP des Geräts ändern. Auf diese Weise wird jede Klartextanforderung und jede DNS-Anforderung an sie gesendet, und eine Anforderung für wichtige Domänen (denken Sie an häufig verwendete CDNs wie Cloudflare, Akamai und dergleichen) kann vergiftet werden.

Wenn Wenn eine HTTP-Anfrage gestellt wird und die Domänenauflösung vergiftet wurde, kann der Angreifer eine schädliche jquery.js -Datei bereitstellen, z. B. einen sehr langen Ablaufheader in die Antwort einfügen und eine Backdoor-JQuer ausführen Jede Site, die lange Zeit nach dem Entfernen des schädlichen Geräts mit diesem Skript verknüpft ist.

Abgesehen davon kann der Angreifer einen anderen Host im selben Netzwerk festlegen und auch das Standard-Gateway ändern. Auf diese Weise ist der Angreifer in der Lage, MitM gegen den Host auszuführen, ohne auf eine ARP-Vergiftung zurückzugreifen - laut und kann von den neuen Firewalls ziemlich schnell abgefangen werden. Als Gateway kann jedes unverschlüsselte Protokoll angegriffen, aufgezeichnet, bearbeitet und alle Geheimnisse erfasst werden.

Das Injizieren von Tastenanschlägen ist ein guter Angriff, aber der Computer muss entsperrt sein. Netzwerkwechselangriffe funktionieren auch dann, wenn der Computer gesperrt ist. Es ist nur ein Prozess erforderlich, um eine Domäne aufzulösen, und das Ergebnis kann zwischengespeichert werden.

Ein solches Gerät kann auch eine normale Netzwerkverbindung mit dem Host herstellen, sodass alle üblichen netzwerkbasierten Angriffe direkt vom USB-Gerät ausgeführt werden können.
Ich glaube nicht, dass ein Ethernet-Gerät die DNS-Einstellungen des Hosts ändern kann.Es kann einen DHCP-Server und über DHCP einen DNS-Server anbieten, aber der Host verfügt wahrscheinlich über eine Kabel- oder WLAN-Netzwerkverbindung, die auch DNS bietet.Wie zwischen den beiden Verbindungen gewählt wird, ist nicht festgelegt.Das größere Risiko IMO besteht darin, dass das Gerät einen kürzeren direkten Weg zum öffentlichen Internet beanspruchen kann, da die tatsächliche Verbindung wahrscheinlich über einen Router erfolgt.Das heißt, das Gerät kann einen direkten Weg zu 8.8.8.8 und 1.1.1.1 anbieten
#3
+20
MechMK1
2020-01-23 16:35:47 UTC
view on stackexchange narkive permalink

Nein, es gibt noch andere.

USB Killer ist beispielsweise ein Gerät, das Ihre Hardware durch Anlegen einer Hochspannung an die Datenleitungen beschädigen soll.

Ein Angreifer könnte ein solches Gerät verwenden, um Mitarbeiter dazu zu bringen, die Hardware des Unternehmens unfreiwillig zu beschädigen, was zu einem Verlust der Verfügbarkeit und zu finanziellen Schäden führt.

Unterhaltsame Tatsache, ein bisschen Schaltungszauberkunst kann möglicherweise die Spannung von einer Knopfzellenbatterie multiplizieren, was einen USB-Killer in Flash-Laufwerksgröße ergibt (wenn auch möglicherweise etwas weniger effektiv, wenn die Anschlüsse richtig abgesichert sind).
#4
+20
Robin Davies
2020-01-24 15:36:22 UTC
view on stackexchange narkive permalink

Bekanntlich nutzte Stuxnet eine Windows-Funktion, mit der USB-Treiber beim Einstecken automatisch auf einem USB-Stick installiert werden, sofern die Treiber über die entsprechenden digitalen Signaturen verfügen. Der Stuxnet-Virus hatte Treiber, die mit einem privaten Schlüssel von Microsoft signiert waren. Es ist nicht öffentlich bekannt, wie dieser bestimmte private Schlüssel von Microsoft erhalten wurde - ob er gestohlen wurde oder ob Microsoft bei dem Angriff zusammengearbeitet hat.

Stuxnet wurde entwickelt, um mit dem Internet verbundene Netzwerke im Iran zu durchbrechen. Stuxnet kopiert dann die Treiber auf einen USB-Stick, der in Geräte im infizierten Netzwerk eingesteckt ist. Wenn Betreiber in iranischen Kernverarbeitungsbetrieben diese USB-Sticks verwendeten, um Daten in ihr sicheres Netzwerk mit Luftspalt zu übertragen, wurden die Treiber auf Maschinen auf der anderen Seite des Luftspalts installiert, wodurch Stuxnet seinem endgültigen Ziel einen Schritt näher kam: der Zerstörung des Netzwerks Industrielle Steuerungen für die Zentrifugen Der Iran hat Uran raffiniert.

Mindestens ein Virus verwendete Treiber, die mit einem privaten Schlüssel signiert waren, der von einem asiatischen Hersteller von USB-Geräten gestohlen wurde und anschließend widerrufen wurde.

Laut Für Material in NSA Cyberwarfare-Benutzerhandbüchern, das von Wikileaks veröffentlicht wurde, besteht eine der Angriffsoptionen darin, "kurz auf den USB-Anschluss eines Computers zuzugreifen". Vermutlich hat (oder hatte) die NSA Angriffe, die Computersysteme infizieren könnten, indem sie einfach einen USB-Stick einsteckt.

Möglicherweise wurde der Schlüssel mithilfe des kürzlich entdeckten Fehlers in Windows 10 mit der crypt32.dll-Bibliothek erstellt, mit der eine Datei signiert werden konnte, als ob Microsoft dies selbst getan hätte.
@IsmaelMiguel: Unmöglich.Windows 7 ist von diesem Fehler nicht betroffen, und wenn es hier verwendet würde, wäre es schon vor langer Zeit bekannt.
#5
+18
rackandboneman
2020-01-24 02:29:30 UTC
view on stackexchange narkive permalink

In einigen Fällen kann die Funktion als Massenspeichergerät viel Chaos verursachen.

Jedes Betriebssystem, das alles automatisch wiedergibt (heutzutage aus gutem Grund nicht mehr implementiert), ist anfällig Ermöglichen Sie dem Angreifer am wenigsten, viele Dinge auf der Berechtigungsstufe der angemeldeten Person zu tun. Für den Fall, dass eine lokale Eskalation von Berechtigungen ausgenutzt wird, noch mehr.

Jedes Betriebssystem oder jede Desktop-Umgebung, die eine Vorschau von Dateien anzeigt ... und einen ausnutzbaren Pufferüberlauf oder eine ähnliche Sicherheitsanfälligkeit in einem Vorschau-Handler aufweist ... kann sein

Jedes Gerät, das zum Booten von Wechselmedien eingerichtet ist, kann offensichtlich fast alles tun, außer wenn die Informationen, auf die Sie zugreifen möchten, verschlüsselt sind - obwohl ein böswilliges bootfähiges Gerät dies möglicherweise tut Emulieren Sie den Schlüsseleingabebildschirm für ein vollständiges Festplattenverschlüsselungssystem mit manueller Schlüsseleingabe perfekt und wählen Sie es aus ...

Ein Betriebssystem mit einem Pufferüberlauf oder einer ähnlichen Sicherheitsanfälligkeit, die mit a ausgelöst werden kann Ein beschädigtes Dateisystem ist ebenfalls anfällig. Gleiches gilt für Sicherheitslücken, die durch unerwartete dynamische Änderungen der Dateisystemstrukturen ausgelöst werden können. USB-Massenspeichergeräte können durch aktiven Code emuliert werden.

Auch ein anfälliges MTP oder Benutzerdefinierte Kamera / Scanner oder ein ähnlicher Treiber können ausgenutzt werden.

Neben Angriffen auf aktive Dateiinhalte gab es auch (Linux-) Kernel-Fehler mit Dateisystem-Verarbeitungscode, bei denen das Parsen von Dateisystem-Datenstrukturen Pufferüberläufe oder ähnliche Probleme verursachen kann.
#6
+10
Mavamaarten
2020-01-24 14:14:59 UTC
view on stackexchange narkive permalink

Zusätzlich zu den oben genannten Beispielen gibt es noch einige andere Beispiele für USB-Angriffe. Beispielsweise wurde die PS3 zuerst mit einem USB-Stick, der sich als USB-Hub mit vielen angeschlossenen Geräten und speziell gestalteten Gerätekennungen präsentierte, jailbroken lassen. Dies ermöglichte die Codeausführung.

Ähnliches war eine Sicherheitslücke in MacOS vor mehreren Versionen.
#7
+1
bracco23
2020-01-24 20:50:54 UTC
view on stackexchange narkive permalink

Zusammen mit den bereits bereitgestellten großartigen Antworten möchte ich eine Erfahrung aus erster Hand hinzufügen, die für Windows-Systeme relevant ist.

An meiner Universität vor einigen Jahren sah es so aus, als würde ein infizierter USB-Stick mit einer Malware auftauchen, die so funktioniert das:

  • Wenn ein Schlüssel infiziert wurde, wurden alle Dateien in einen versteckten, systemgeschützten Ordner verschoben.
  • Ein spezieller Link wurde erstellt und mit demselben Namen umbenannt den USB-Stick und das Symbol für externe Festplatten, die von Windows verwendet werden.

Wenn eine unwissende Person auf den infizierten USB-Stick zugreifen würde, würde sie das Laufwerk öffnen und dann, ohne dies zu berücksichtigen, den Link öffnen. Der Link würde den versteckten Ordner öffnen, aber gleichzeitig die Malware auf dem PC installieren.

Die Malware würde dann nach neuen USB-Sticks suchen, diese infizieren und auch nach Befehlen suchen von einem Remote-Server, der wahrscheinlich Teil eines Botnetzes oder dergleichen wird.

Ja, manchmal hängen USB-Angriffe von naiven Benutzern ab.

#8
  0
Valentin Stoykov
2020-01-26 01:59:41 UTC
view on stackexchange narkive permalink

Über die USB-Schnittstelle können Sie auf die CPU zugreifen, wenn Sie über die Schlüssel zum Signieren der CPU-Firmware verfügen (oder nicht?). Ich kann mich nicht erinnern, wo ich das gelesen habe, vielleicht eine Website für Verschwörungstheorien.

Es ist nicht unmöglich, die Schlüssel zu erhalten, um zu sehen, wie Microsoft angeblich mit Stuxnet-Entwicklern zusammengearbeitet hat. Intel kann ebenso wie Microsoft mit den Malware-Erstellern zusammenarbeiten. Oder die Malware-Ersteller können die Schlüssel stehlen.

Sobald die Malware in der CPU installiert ist, kann das Betriebssystem nicht mehr auf solche Malware testen. Laut den anonymen Verschwörungstheoretikern haben alle gängigen CPUs (Intel, AMD) Malware mit Hintertüren installiert, die von den drei Briefagenturen (ab) verwendet werden sollen.

Aber es ist wahrscheinlich nicht wahr, weil solche Verschwörungen nicht existieren in der echten Welt. Hier gibt es nichts zu sehen, schlafen Sie ein.

Aus diesem Grund verwenden einige paranoide Personen und Organisationen Computer mit Luftspalt in Faradayschen Käfigen.

Ich denke, dass es einen physischen Schalter geben sollte (Jumper) auf dem Motherboard, um Firmware-Updates zu aktivieren / deaktivieren.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...