image

Hackers verstoppen virus in Logitech muis

dinsdag 28 juni 2011, 06:17 door Redactie, 20 reacties

Amerikaanse hackers hebben een bedrijf gehackt door een virus in een speciaal aangepaste Logitech muis te verstoppen. De aanval was onderdeel van een afgesproken beveiligingstest, waarbij hackers van Netragard toegang tot een bedrijfsnetwerk moesten krijgen. Het doelwit bestond uit een enkel IP-adres met een firewall die geen services aanbood. Ook was het gebruik van social engineering gebaseerd op sociale netwerken, telefoon of e-mails niet toegestaan en mochten de hackers zichzelf ook geen fysieke toegang tot de campus en omliggende gebieden verschaffen. Toch moest men op afstand het netwerk overnemen.

Een oplossing zou Autorun malware op een USB-stick zijn, maar deze tactiek werkt niet meer. Ten eerste omdat mensen met het gevaar van USB-sticks bekend zijn en en ten tweede omdat bedrijven via Group Policies Autorun uitschakelen. De oplossing waar Netragard mee kwam was Prion, een kleine microcontroller, micro USB-hub, mini USB-kabel, een micro USB-stick en zelf ontwikkelde malware, verpakt in een USB-apparaat.

Voor de aanval koos men een Logitech muis die werd opengemaakt en voorzien van de Prion-onderdelen. Na het nodige geknutsel en soldeerwerk had men de onderdelen in de ogenschijnlijk normale Logitech muis verstopt.

Verpakking
Het tweede deel van de aanval betrof de malware. De hackers wisten dat de klant McAfee als virusscanner gebruikte, omdat één van de werknemers er op Facebook over klaagde. Er werd specifieke malware ontwikkeld voor McAfee. Daarnaast moest de malware met hackertool Metasploit werken. Vervolgens werd er een ongedocumenteerde zero-day techniek gebruikt om het waarschuwingsvenster van de firewall en detectie door de software te omzeilen. De malware werd op de kleine USB-stick aangebracht en de microcontroller zo geprogrammeerd dat die zestig seconden na gebruikersactiviteit de malware activeerde.

De laatste stap was het versturen van de muis naar de klant. Hiervoor moest men de muis in de originele verpakking stoppen. Vervolgens werd een lijst met namen van de werknemers gekocht en een geschikt doelwit uitgezocht. De muis werd als een promotieaanbieding verpakt, inclusief valse marketing flyers en toen verstuurd. Drie dagen later was de malware actief en maakte verbinding met de hackers.

Reacties (20)
28-06-2011, 07:39 door Anoniem
"De muis werd als een promotieaanbieding verpakt, inclusief valse marketing flyers en toen verstuurd."
Klinkt toch een beetje als "social engineering". Alleen nu met hardware ipv software.

Dus voortaan ook alleen maar hardware uit vertrouwde bron gebruiken?
28-06-2011, 08:18 door Anoniem
Het is net als met "gewone" inbrekers. Als ze echt binnen willen komen, lukt het...
28-06-2011, 08:26 door Anoniem
Trojan Mouse
28-06-2011, 09:32 door Bitwiper
Creatief! Verkeer van binnen naar buiten is vaak ongelimiteerd, daar moeten we m.i. meer aandacht aan besteden.

Minder creatief maar ook geslaagd zijn recente penetratietests met USB sticks bij de west-Australische overheid, zie de links onderaan http://isc.sans.edu/diary.html?storyid=11074. Link 2A is ook erg interessant: 1 A4-tje getiteld "Strategies to Mitigate Targeted Cyber Intrusions" met een overzicht van maatregelen die je kunt nemen met per maatregel o.a. de effectiviteit, kosten en het effect op gebruiks- (on-) gemak.
28-06-2011, 09:32 door Anoniem
Ze mochten geen social engineering op basis van social networks gebruiken. Toch hebben ze facebook gebruikt om er achter te komen dat het bedrijf McAfee gebruikt. Social engineering gaat niet altijd om direct contact, maar toch ook observeren en beschikbare gegevens gebruiken.

Een muis met flyers opsturen is dan misschien ook social engineering, maar valt buiten de opgestelde restricties. Het is namelijk geen telefoon of email.

Daarnaast kopen ze een lijst van namen van werknemers, terwijl ze schijnbaar al een naam hebben (via facebook). En hoe bepaal je wie geschikt is, alleen op basis van een lijst van namen.....
28-06-2011, 09:34 door N4ppy
Heb hier een webbutton van glasvezel zuid-holland liggen.

"P.S. De button installeert geen software op uw computer en is 100% virusvrij" :)

Is een hid die een url intikt (en wie weet wat nog meer?)
28-06-2011, 10:03 door Mysterio
Door Anoniem: Ze mochten geen social engineering op basis van social networks gebruiken. Toch hebben ze facebook gebruikt om er achter te komen dat het bedrijf McAfee gebruikt. Social engineering gaat niet altijd om direct contact, maar toch ook observeren en beschikbare gegevens gebruiken.

Een muis met flyers opsturen is dan misschien ook social engineering, maar valt buiten de opgestelde restricties. Het is namelijk geen telefoon of email.

Daarnaast kopen ze een lijst van namen van werknemers, terwijl ze schijnbaar al een naam hebben (via facebook). En hoe bepaal je wie geschikt is, alleen op basis van een lijst van namen.....
Klopt, het viel mij ook op. Het is slim en kundig wat ze hebben gedaan, maar zonder Facebook en zonder namenlijst was het niet gelukt. Het sociale gehalte was erg hoog!
28-06-2011, 10:05 door Anoniem
"Dus voortaan ook alleen maar hardware uit vertrouwde bron gebruiken?"

Wat is je definitie van "vertrouwde bron", mede gezien het feit dat social engineering nou juist misbruik maakt van vertrouwen ?
28-06-2011, 10:27 door [Account Verwijderd]
[Verwijderd]
28-06-2011, 10:36 door N4ppy
Door Anoniem: [/iDus voortaan ook alleen maar hardware uit vertrouwde bron gebruiken?[/quote]Er zijn al gevallen bekend van ATM's die af fabriek met "speciale" software geleverd werden.

Kijk maar naar het skimming probleem. Hoe gaat een AH winkelmanager controleren of zijn pin gehacked is?

In dit geval hebben ze openbare bronnen gebruikt en niet zo zeer social als wel hebbengeneering gebruikt.

Wiki: "Social engineering is the art of manipulating people into performing actions or divulging confidential information"
Als je het zo bekijkt is er iemand gemanipuleerd "kecke muis voor niks" en heeft hij/zij een action performed.

Wat kun je doen. Waarschijnlijk is een thin client omgeving al minder kwetsbaar voor deze aanval. Maar als er een keylogger in zit met een zendertje dan ga je ook daar nat.

Thin clients die software van het netwerk halen en alle usb devices vastlijmen en zorgen dat mensen zelf niets aan kunnen sluiten en alle switches dichtgooien, bergen logging etc. Doe een grote zak geld en het is te doen. (En al je personeel screenen en bewaken en de bewakers laten bewaken en de bewakers van de bewakers in de gaten houden .... ;)
28-06-2011, 10:46 door Bladie
Het ombouwen van een muis is eerder gedaan, KPMG presenteert dit regelmatig op allerlei plekken; Zoek maar eens naar "The Evil Mouse".

Verder is dit een mooi verhaal over hoe het eigenlijk onbegonnen werk is om je tegen goede hackers te beveiligen...
28-06-2011, 11:48 door SirDice
Door Anoniem: Ze mochten geen social engineering op basis van social networks gebruiken. Toch hebben ze facebook gebruikt om er achter te komen dat het bedrijf McAfee gebruikt. Social engineering gaat niet altijd om direct contact, maar toch ook observeren en beschikbare gegevens gebruiken.
Dan heet het geen social engineering maar non-invasive scanning.

Daarnaast kopen ze een lijst van namen van werknemers, terwijl ze schijnbaar al een naam hebben (via facebook). En hoe bepaal je wie geschikt is, alleen op basis van een lijst van namen.....
De website van het bedrijf bestuderen? Vaak vind je daar bijvoorbeeld namen van de PR of Sales afdeling.
28-06-2011, 12:34 door Securitate
ik heb wel eens een vrouwtje aan de lijn gehad die me perse een muismatje wilde sturen, gratis promo.
zelfde poging met rsi steun voor je toetsenbord.
ben ik vast door het oog van de naald gegaan.
meeste mensen zijn te zwak om gratis dingen af te slaan.
28-06-2011, 13:08 door cjkos
Interessante manier, en toch heb ik het gevoel dat ze een beetje vals hebben gespeeld door iemand anders fysiek aanwezig te laten zijn. Wel een knappe, waarschijnlijk onverwachte, oplossing. Maar het doel van beveiligingstest is niet gehaald neem ik aan.
28-06-2011, 13:30 door Mysterio
Door Securitate: ik heb wel eens een vrouwtje aan de lijn gehad die me perse een muismatje wilde sturen, gratis promo.
zelfde poging met rsi steun voor je toetsenbord.
ben ik vast door het oog van de naald gegaan.
meeste mensen zijn te zwak om gratis dingen af te slaan.

Altijd gevaarlijk zo'n muismatje!
28-06-2011, 13:39 door Anoniem
Door Securitate: ik heb wel eens een vrouwtje aan de lijn gehad die me perse een muismatje wilde sturen, gratis promo.
zelfde poging met rsi steun voor je toetsenbord.
ben ik vast door het oog van de naald gegaan.
Wow een muismat en rsi steun met USB poort :P!
28-06-2011, 14:48 door RichieB
Op The Register staat dat de toegevoegde electronica toetsenbord aanslagen en muisbewegingen kon nadoen. Hoe kan je daarmee effectief malware installeren op een PC, zonder dat de gebruiker dit ziet? Of zal het toch niet via HID gegaan zijn, en wordt er ook een USB storage device aangeboden aan de PC? http://www.theregister.co.uk/2011/06/27/mission_impossible_mouse_attack/
28-06-2011, 16:26 door SirDice
Door RichieB: Op The Register staat dat de toegevoegde electronica toetsenbord aanslagen en muisbewegingen kon nadoen. Hoe kan je daarmee effectief malware installeren op een PC, zonder dat de gebruiker dit ziet? Of zal het toch niet via HID gegaan zijn, en wordt er ook een USB storage device aangeboden aan de PC?
Lees het originele artikel. Daarin staat dat er naast die teensy microcontroller ook een USB flash drive werd geplaatst. Het installeren kun je eenvoudig in de achtergrond doen. Het enige wat je hoeft te doen is de malware lokaal kopieeren en ervoor zorgen dat het gestart wordt. Daar hoeft een gebruiker niets van te merken (bedenk dat jouw PC wel meer dingen doet in de achtergrond waar jij niets van merkt.).
28-06-2011, 16:43 door RichieB
Door SirDice: Lees het originele artikel. Daarin staat dat er naast die teensy microcontroller ook een USB flash drive werd geplaatst. Het installeren kun je eenvoudig in de achtergrond doen. Het enige wat je hoeft te doen is de malware lokaal kopieeren en ervoor zorgen dat het gestart wordt. Daar hoeft een gebruiker niets van te merken (bedenk dat jouw PC wel meer dingen doet in de achtergrond waar jij niets van merkt.).

Als je met een flash drive gaat werken is het me wel duidelijk hoe het werkt. In princiepe is de muis een mooi functionele verhulling van je flash drive, met als bonus dat je via het HID interface je malware kan starten zodat je niet hoeft te vertrouwen op AutoRun. De site van de schrijver van de software is ook interessant: http://www.irongeek.com/i.php?page=security/programmable-hid-usb-keystroke-dongle

Deze aanval is trouwens te ondervangen door AppLocker in te voeren.
28-06-2011, 17:28 door SirDice
Door RichieB: Als je met een flash drive gaat werken is het me wel duidelijk hoe het werkt. In princiepe is de muis een mooi functionele verhulling van je flash drive, met als bonus dat je via het HID interface je malware kan starten zodat je niet hoeft te vertrouwen op AutoRun.
Exact! Ze hebben een USB HUB, USB Flash drive en die teensy microcontroller in de muis weten te proppen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.