-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Niepozorny pendrive, który jest klawiaturą wykradającą dane z Twojego komputera (i wysyłającą je drogą radiową).

20 września 2021, 10:38 | W biegu | komentarze 3

Wykradanie danych przy użyciu USB to znany temat. Metod i przykładowych gotowych urządzeń jest wiele, część z nich zresztą jest dostępna wyłącznie dla informatyków śledczych. Przykładowe malware korzystające z tego sposobu wymieniono i przedstawiono tutaj. Ostatnio pojawił się nowy model.

Przede wszystkim należy przyznać, że opisywane urządzenie o nazwie evil mass storage nie jest dużych rozmiarów:

Pozwala ono na wykradanie niewielkich ilości danych poprzez komunikację radiową. Typ nadajnika to ASK, co oznacza niskie napięcie pracy i właśnie możliwość przesyłu na duże odległości w porównaniu do częstotliwości 2,4 GHz. Alternatywna wersja zadziała również w klatce Faradaya – dzięki zapisowi danych na karcie microSD. W opisie znajdziemy porównanie do USB Rubber Ducky firmy Hak5. Urządzenie to również oferuje wiele możliwości, ale w systemie operacyjnym rejestruje się jako zwykła klawiatura, podczas gdy evil mass storage ma własne firmware klawiatury, możliwość zdalnej eksfiltracji oraz wbudowaną pamięć masową.

Do przeprowadzenia ataku nie jest konieczne połączenie celu z Internetem. Urządzenie wykorzystuje microchip AT90USB1287, model portu USB TS3USB221, MOSFET (tranzystor unipolarny), czytnik kart SD (używający magistrali SPI) oraz transmiter 443 MHz. Eksfiltracja może odbywać się, jak zostało wspomniane, z użyciem pamięci masowej (dane są szyfrowane XOR-em) lub zdalnie (również zabezpieczone szyfrowaniem za pomocą funkcji XOR). Kod źródłowy dostępny jest na GitHubie. Reszta parametrów (wymienionych w opisie) nie ma znaczenia w kontekście bezpieczeństwa.

W objaśnieniu (w poszczególnych krokach), na czym polega atak, napisano, że ofiara podłącza urządzenie do portu USB (nic nie stoi na przeszkodzie, aby dodać obudowę, by urządzenie przypominało pendrive). W celu utrudnienia analizy PID i VID urządzenia są generowane losowo podczas każdego podłączenia. Windows wykryje evil mass storage jako klawiaturę i pendrive. Następnie „klawiatura” włączy narzędzie „uruchamianie” (Win + R) i zacznie zgadywać przypisaną literę dysku do „pendrive’a”. Przy okazji pobierze i zapisze nazwę zalogowanego użytkownika.

W kolejnym kroku mikrokontroler zresetuje połączenie USB. Zapisane malware zostanie zdeszyfrowane, po czym mikrokontroler usunie wszystkie sektory karty SD. Urządzenie zacznie działać wyłącznie jako „pendrive”, a PID i VID będą kolejny raz zmieniane. Wykradzione dane będą zapisywane (na karcie SD) lub wysyłane.

Autor urządzenia pisze, że pracuje nad lepszą wersją, która miałaby używać szybszego mikrokontrolera ARM Cortex-M4, interfejsu SDIO do szybszego zapisu na karcie SD oraz wykorzystywać AES do szyfrowania.

–Michał Giza

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Piotr

    Super. Dobrze wiedzieć, co się czai w pendrive’ach.

    Odpowiedz
  2. Tomek

    Zrobienie takiego pendrive’a jest dziecinnie proste na arduino digispark (za 5 zł). Fajny temat. Można też w ten sposób zainstalować trojana, gdy w sekwencji ustawimy otwarcie przeglądarki i przejście na niebezpieczną stronę. Ogólnie rzecz biorąc można zrobić z komputerem ofiary wszystko na co pozwalają uprawnienia użytkownika. Wykradanie danych można przeprowadzić wysyłając je na maila nie potrzebna jest nam transmisja radiowa.

    Odpowiedz
    • sebastian

      ale na email jest limit naprzykład 100 mb

      Odpowiedz

Odpowiedz