mercoledì 14 marzo 2018

Attacchi tramite USB: ecco una lista di 29 diversi attacchi, per ricordare la necessità di controlli anche sui dispositivi USB.


Alcuni ricercatori di sicurezza della Ben Gurion University del Negev hanno enumerato, suddividendoli in categorie che tengono conto delle modalità di attacco, 29 diverse tipologie di attacco portati tramite dispositivi USB per compromettere i pc degli utenti. Ne pubblichiamo qualche estratto per ribadire la necessità di verificare la sicurezza delle reti anche da questo punto di vista. L'intero studio è disponibile qui.

4 sono le macro categorie di attacco:
A. Ripogrammando il microcontroller interno del dispositivo USB. Il dispositivo apparirà come un particolare dispositivo USB, in realtà eseguirà una serie di operazioni ben diverse.

B1. Riprogrammando il firmware del dispositivo USB al fine di renderlo capace di eseguire azioni dannose (ad esempio scaricare malware, rubare dati ecc...)

B2. Non riprogrammando il firmware, ma sfruttando le vulnerabilità nella modalità con la quale i sistemi operativi interagiscono normalmente con i protocolli/standard USB.

C. Attacchi elettrici via USB.


Alcuni esempi di attacchi USB con microcontroller riprogrammati
  1. Rubber Ducky: è una piattaforma di attacco keystroke injection, regolarmente in commercio, rilasciata nel 2010. Una volta che viene connessa ad un computer, Rubber Ducky funziona come una tastiera e inietta una sequenza di caratteri precaricata.
  2. Piattaforme di attacco PHUKD/URFUKED: molto simili a Rubber Ducky, ma consentono agli attaccanti di stabilire quando eseguire l'iniezione dei caratteri dannosi.
  3. USBdriveby: garantisce la rapida installazione di una backdoor ben nascosta, sovrascrive le impostazioni DNS nel SO sbloccato via USB. Tutto in pochi secondi e "fingendosi" una tastiera e un mouse USB. 
  4. Evilduino: simile a PHUKD/URFUKED, ma usa i microcontroller Arduino anziché Teensy. Funziona anche emulando una tastiera/mouse e può inviare sequenze di tasti/movimenti del cursore del mouse all'host tramite script precaricati.
  5. Attacco RIT tramite USB: questo attacco è stato descritto da svariati paper di ricerca. Consente la modifica dei contenuti dei file usando un dispositivo di archiviazione di massa USB connesso al computer della vittima. 

Alcuni esempi di attacchi USB con firmware riprogrammati
  1. Attacco HID tramite smartphone: descritto in un paper di ricerca, spiega come creare driver personalizzati per gadget Android, al fine di riscrivere la maniera in cui Android interagisce coi dispositivi USB. Il driver dannoso interagisce con l'API del gadget USB Android simulando tastiere o mouse USB collegati al telefono. 
  2. Emulazione di tastiera tramite firmware USB modificato: diversi ricercatori hanno mostrato come corrompere il firmware delle unità flash USB. Un attaccante può, tramite questa tecnica, iniettare caratteri. 
  3. Hidden Parition Patch: è un attacco nel quale una chiavetta USB viene riprogrammata per funzionare come un normalissimo drive, ma viene aggiunta una partizione non formattabile che consente il furto di dati sotto copertura. 
  4. Password Protection Bypass Patch: una piccola modifica del firmware di una chiavetta USB consente ad un attaccante di bypassare la protezione password di altri drive USB.
  5. Boot Sector Virus: una chiavetta USB può essere usata per infettare un computer prima che si avvii. 

Alcuni esempi di attacchi basati su USB non riprogrammati
  1. La vulnerabilità CVE-2010-2568.LNK è stata usata dai malware Stuxnet e Fanny.
  2. AutoRun exploit: alcuni PC possono auto eseguire file predeterminati presenti in un dispositivo USB di storage.C'è una intera categoria di malware che racchiude svariate tipologie di autorun malware.
  3. RAM dump attack: un attaccante può salvare un memory dumper in una chiavetta USB e estrarre i dati dalla RAM tramite il booting da dispositivo USB. 
  4. USB Thief: altro non è che una chiavetta USB con un malware data stealing, capace di copiare i dati della macchina dove viene collegata. 

Attacchi elettrici
  1. USB killer: effettivamente in uso e non a mero fine conoscitivo, si basa su un dispositivo USB capace di produrre un sovraccarico elettrico. E' un attacco che consente la distruzione permanente di un dispositivo tramite inserimento dell'USB. 

Nessun commento:

Posta un commento