ไดรฟ์ยูเอสบีชั่วร้ายอาจเข้ายึดพีซีของคุณไม่ได้

หากคุณยังไม่ได้ปิด USB เล่นอัตโนมัติบนพีซีของคุณเป็นไปได้ว่าการเสียบไดรฟ์ USB ที่ติดไวรัสสามารถติดตั้งมัลแวร์ในระบบของคุณ วิศวกรที่มีเครื่องปั่นเหวี่ยงแยกยูเรเนียมบริสุทธิ์ถูก Stuxnet ได้เรียนรู้ว่าวิธีที่ยากลำบาก มันกลับกลายเป็นว่ามัลแวร์ที่เล่นอัตโนมัติไม่ใช่วิธีเดียวที่อุปกรณ์ USB สามารถติดอาวุธได้ ในการประชุม Black Hat 2014 นักวิจัยสองคนจาก SRLabs ในกรุงเบอร์ลินได้เปิดเผยเทคนิคในการปรับเปลี่ยนชิพคอนโทรลเลอร์ของอุปกรณ์ USB เพื่อให้สามารถ "ปลอมแปลงอุปกรณ์ประเภทอื่น ๆ เพื่อควบคุมคอมพิวเตอร์แลกเปลี่ยนข้อมูลหรือสอดแนมผู้ใช้ ." ฟังดูไม่ดี แต่จริงๆแล้วมันน่ากลัวจริงๆ

หันไปทางด้านมืด

“ เรามักจะเป็นห้องปฏิบัติการแฮ็คที่เน้นเรื่องความปลอดภัยแบบฝังตัว” Karsten Noll นักวิจัยกล่าว "นี่เป็นครั้งแรกที่เรามองความปลอดภัยของคอมพิวเตอร์ด้วยมุมที่ฝังอยู่ USB จะถูกนำไปใช้ในทางที่เป็นอันตรายได้อย่างไร"

Reseacher Jakob Lell กระโดดลงไปในตัวอย่าง เขาเสียบไดรฟ์ USB เข้ากับคอมพิวเตอร์ Windows มันปรากฏเป็นไดรฟ์เหมือนที่คุณคาดหวัง แต่ในอีกไม่นานจะมีการกำหนดตัวเองใหม่เป็นแป้นพิมพ์ USB และออกคำสั่งที่ดาวน์โหลดโทรจันเข้าใช้จากระยะไกล เสียงปรบมือดังเข้ามา!

“ เราจะไม่พูดถึงไวรัสในที่จัดเก็บข้อมูล USB” Noll กล่าว "เทคนิคของเราทำงานกับดิสก์เปล่าคุณสามารถฟอร์แมตใหม่นี่ไม่ใช่ช่องโหว่ของ Windows ที่สามารถแก้ไขได้เรามุ่งเน้นที่การปรับใช้ไม่ใช่ในโทรจัน"

การควบคุมคอนโทรลเลอร์

"USB เป็นที่นิยมมาก" Noll กล่าว "อุปกรณ์ USB ส่วนใหญ่ (ถ้าไม่ใช่ทั้งหมด) มีชิปควบคุมคุณไม่เคยมีปฏิสัมพันธ์กับชิปหรือ OS ไม่เห็น แต่คอนโทรลเลอร์นี้เป็นสิ่งที่ 'พูดถึง USB'"

ชิป USB ระบุประเภทอุปกรณ์ไปยังคอมพิวเตอร์และสามารถทำกระบวนการนี้ซ้ำได้ตลอดเวลา Noll ชี้ให้เห็นว่ามีเหตุผลที่ถูกต้องสำหรับอุปกรณ์หนึ่งที่จะแสดงตัวเองเป็นมากกว่าหนึ่งเช่นเว็บแคมที่มีไดรเวอร์หนึ่งสำหรับวิดีโอและอีกอันสำหรับไมโครโฟนที่แนบมา และการระบุไดรฟ์ USB อย่างแท้จริงนั้นเป็นเรื่องยากเพราะหมายเลขซีเรียลเป็นตัวเลือกและไม่มีรูปแบบคงที่

Lell เดินผ่านขั้นตอนที่แม่นยำโดยทีมงานเพื่อทำการตั้งโปรแกรมเฟิร์มแวร์ใหม่อีกครั้งบนคอนโทรลเลอร์ USB ชนิดหนึ่ง ในเวลาสั้น ๆ พวกเขาจะต้องสอดแนมกระบวนการอัปเดตเฟิร์มแวร์ทำวิศวกรรมย้อนกลับเฟิร์มแวร์จากนั้นสร้างเฟิร์มแวร์ที่แก้ไขซึ่งมีรหัสที่เป็นอันตราย “ เราไม่ได้ทำลาย ทุกอย่าง เกี่ยวกับ USB” Noll กล่าว "เราได้ออกแบบชิปคอนโทรลเลอร์ที่ได้รับความนิยมอย่างมากกลับรายการเราใช้เวลาสองเดือนในการเปลี่ยนครั้งแรกอาจเป็นเดือนที่สอง

การจำลองตัวเอง

สำหรับการสาธิตครั้งที่สอง Lell ได้ใส่ไดรฟ์ USB เปล่าใหม่เข้าไปในพีซีที่ติดไวรัสจากการสาธิตครั้งแรก พีซีที่ติดไวรัสทำซ้ำเฟิร์มแวร์ของไดรฟ์ USB ที่ว่างเปล่าซึ่งจำลองตัวเอง โอ้ที่รัก

ต่อไปเขาเสียบไดรฟ์ที่เพิ่งติดไวรัสเข้ากับโน้ตบุ๊กลินุกซ์ที่ซึ่งมันออกคำสั่งคีย์บอร์ดอย่างเห็นได้ชัดเพื่อโหลดโค้ดอันตราย อีกครั้งการสาธิตดึงเสียงปรบมือจากผู้ชม

การขโมยรหัสผ่าน

"นั่นเป็นตัวอย่างที่สองที่ USB หนึ่งสะท้อนอุปกรณ์ประเภทอื่น" Noll กล่าว "แต่นี่เป็นเพียงส่วนเล็ก ๆ ของภูเขาน้ำแข็งสำหรับการสาธิตครั้งต่อไปของเราเราทำการจำลองไดรฟ์ USB 3 ใหม่เป็นประเภทอุปกรณ์ที่ตรวจจับได้ยากกว่า ดูอย่างใกล้ชิดแทบเป็นไปไม่ได้ที่จะเห็น "

แน่นอนฉันไม่สามารถตรวจจับการกะพริบของไอคอนเครือข่าย แต่หลังจากเสียบไดรฟ์ USB แล้วเครือข่ายใหม่ก็ปรากฏขึ้น Noll อธิบายว่าขณะนี้ไดรฟ์กำลังจำลองการเชื่อมต่ออีเทอร์เน็ตโดยเปลี่ยนเส้นทางการค้นหา DNS ของคอมพิวเตอร์ หากผู้ใช้เข้าชมเว็บไซต์ PayPal ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ขโมยรหัสผ่าน อนิจจาปีศาจสาธิตอ้างสิทธิ์สิ่งนี้ มันไม่ทำงาน

วางใจใน USB

"เรามาคุยกันสักครู่ถึงความไว้วางใจที่เราวางไว้ใน USB" Noll กล่าว "มันเป็นที่นิยมเพราะใช้งานง่ายการแลกเปลี่ยนไฟล์ผ่าน USB นั้นดีกว่าการใช้อีเมลหรือที่เก็บข้อมูลแบบคลาวด์ที่ไม่มีการเข้ารหัส USB ได้พิชิตโลกเรารู้วิธีการสแกนไวรัสไดรฟ์ USB เราเชื่อถือแป้นพิมพ์ USB มากขึ้น ทำลายความไว้วางใจนั้น "

“ มันไม่ใช่แค่สถานการณ์ที่ใครบางคนมอบ USB ให้คุณ” เขากล่าวต่อ "การแนบอุปกรณ์เข้ากับคอมพิวเตอร์ของคุณอาจทำให้ติดเชื้อได้สำหรับการสาธิตครั้งสุดท้ายเราจะใช้อุปกรณ์โจมตี USB ที่ง่ายที่สุดซึ่งเป็นโทรศัพท์ Android"

"เราแค่แนบโทรศัพท์ Android มาตรฐานนี้เข้ากับคอมพิวเตอร์" Lell พูด "และดูว่าเกิดอะไรขึ้นโอ้ทันใดนั้นก็มีอุปกรณ์เครือข่ายเพิ่มเติมเราไปที่ PayPal แล้วลงชื่อเข้าใช้ไม่มีข้อความแสดงข้อผิดพลาด แต่เราจับ ชื่อผู้ใช้และรหัสผ่าน! " คราวนี้เสียงปรบมือดังสนั่น

"คุณจะตรวจพบว่าโทรศัพท์ Android กลายเป็นอุปกรณ์อีเธอร์เน็ตหรือไม่" Noll ถาม "ซอฟต์แวร์ควบคุมอุปกรณ์หรือป้องกันการสูญหายของข้อมูลของคุณตรวจพบหรือไม่จากประสบการณ์ของเราส่วนใหญ่ทำไม่ได้และส่วนใหญ่เน้นเฉพาะที่เก็บข้อมูล USB ไม่ใช่อุปกรณ์ประเภทอื่น"

การกลับมาของ Infect Sector Boot

"BIOS ทำการแจงนับ USB แบบอื่นที่แตกต่างจากระบบปฏิบัติการ" Noll กล่าว "เราสามารถใช้ประโยชน์จากสิ่งนั้นได้ด้วยอุปกรณ์ที่เลียนแบบไดรฟ์สองตัวและแป้นพิมพ์ระบบปฏิบัติการจะเห็นเพียงหนึ่งไดรฟ์ตัวที่สองจะปรากฏขึ้นกับ BIOS ซึ่งจะทำการบู๊ตจากมันหากไม่ได้กำหนดค่าไว้ เราสามารถส่งการกดแป้นพิมพ์ไม่ว่าจะเป็น F12 เพื่อเปิดใช้งานการบูตจากอุปกรณ์ "

ไม่ชี้ให้เห็นว่ารหัส rootkit โหลดก่อนระบบปฏิบัติการและสามารถติดเชื้อไดรฟ์ USB อื่น ๆ ได้ “ เป็นการติดตั้งที่สมบูรณ์แบบสำหรับไวรัส” เขากล่าว "มันกำลังทำงานอยู่บนคอมพิวเตอร์ก่อนที่โปรแกรมป้องกันไวรัสใด ๆ จะสามารถโหลดได้นี่คือการกลับมาของไวรัสเซกเตอร์สำหรับเริ่มระบบ"

สิ่งที่สามารถทำได้

Noll ชี้ให้เห็นว่าการลบไวรัสที่อยู่ในเฟิร์มแวร์ USB นั้นทำได้ยากมาก นำออกจากแฟลชไดรฟ์ USB ซึ่งอาจนำกลับมาใช้ใหม่จากแป้นพิมพ์ USB ของคุณ แม้แต่อุปกรณ์ USB ที่ติดตั้งในพีซีของคุณก็อาจติดเชื้อได้

“ น่าเสียดายที่ไม่มีวิธีแก้ปัญหาง่ายๆความคิดเกือบทั้งหมดของเราสำหรับการป้องกันจะรบกวนการใช้งาน USB” Noll กล่าว "คุณอนุญาตรายการที่เชื่อถือได้ของอุปกรณ์ USB ได้หรือไม่คุณสามารถทำได้หากอุปกรณ์ USB นั้นสามารถระบุตัวตนได้โดยไม่ซ้ำกัน

"คุณสามารถบล็อก USB ทั้งหมด แต่สิ่งนั้นมีผลกระทบต่อการใช้งาน" เขากล่าวต่อ "คุณสามารถบล็อกประเภทอุปกรณ์สำคัญ ๆ ได้ แต่แม้กระทั่งคลาสพื้นฐานมาก ๆ ก็ยังสามารถถูกทำร้ายได้ลบเหล่านั้นออกไปและไม่มีเหลืออีกมากแล้วการสแกนหามัลแวร์เป็นอย่างไรน่าเสียดายที่การอ่านเฟิร์มแวร์นั้นคุณต้องพึ่งพา เฟิร์มแวร์ที่ประสงค์ร้ายอาจปลอมแปลงรหัสที่ถูกต้อง "

"ในสถานการณ์อื่น ๆ ผู้ขายบล็อกการอัพเดตเฟิร์มแวร์ที่เป็นอันตรายโดยใช้ลายเซ็นดิจิทัล" Noll กล่าว "แต่การเข้ารหัสที่ปลอดภัยนั้นยากที่จะนำไปใช้กับคอนโทรลเลอร์ขนาดเล็กไม่ว่าในกรณีใดอุปกรณ์ที่มีอยู่หลายพันล้านเครื่องยังคงมีช่องโหว่อยู่"

“ แนวคิดอย่างหนึ่งที่เราสามารถทำได้คือการปิดการใช้งานการอัพเดตเฟิร์มแวร์ที่โรงงาน "Noll กล่าว "ขั้นตอนสุดท้ายที่คุณทำเพื่อไม่สามารถทำโปรแกรมเฟิร์มแวร์ใหม่ได้คุณสามารถแก้ไขได้ในซอฟต์แวร์เบิร์นอัปเกรดเฟิร์มแวร์ใหม่ที่บล็อกการอัพเดทเพิ่มเติมทั้งหมดเราสามารถพิชิตอุปกรณ์ USB ที่เชื่อถือได้เล็กน้อย ."

ไม่มีการพันกันโดยชี้ให้เห็นการใช้งานในเชิงบวกสำหรับเทคนิคการปรับเปลี่ยนคอนโทรลเลอร์ที่อธิบายไว้ที่นี่ “ มีกรณีที่ต้องทำสำหรับคนที่เล่นกับสิ่งนี้” เขากล่าว“ แต่ไม่ได้อยู่ในสภาพแวดล้อมที่เชื่อถือได้” ฉันหนึ่งจะไม่ดูอุปกรณ์ USB ใด ๆ ที่ฉันเคย