image

Gehackte USB-stick omzeilt Windows Autorun-beveiliging

dinsdag 30 juli 2013, 09:48 door Redactie, 6 reacties

In februari 2011 schakelde Microsoft de Autorun-functie in Windows XP en Vista uit, om zo de uitbraak van besmettingen via USB-sticks tegen te gaan, maar ontwikkelaars hebben een nieuwe manier gevonden om computers toch via USB-stick te infecteren. Autorun zorgt ervoor dat programma's automatisch worden uitgevoerd.

Iets waar malwaremakers handig gebruik van maakte en lange tijd was het één van de populairste manieren om malware te verspreiden. Daarom besloot Microsoft de Autorun-functie voor USB-sticks in Windows 7 standaard uit te schakelen.

De maatregel werd in 2011 via een beveiligingsupdate bij Windows XP en Vista uitgevoerd. Het lijkt erop dat bepaalde ontwikkelaars een manier hebben gevonden om de beveiligingsmaatregel te omzeilen.

Keyboard
Op internet worden speciaal geprepareerde USB-sticks aangeboden die Windows laten geloven dat de aangesloten geheugenstick in werkelijkheid een 'Human Interface Device' is. Het kan dan gaan om bijvoorbeeld een keyboard. Daardoor is het mogelijk om willekeurige scripts uit te voeren zodra de USB-stick op de computer is aangesloten.

Volgens de advertentie die beveiligingsonderzoeker Dancho Danchev van beveiligingsbedrijf Webroot ontdekte, wordt het kwaadaardige script de eerste keer dat de USB-stick wordt aangesloten binnen 50 seconden uitgevoerd. De tweede keer gebeurt dit binnen 30 seconden. Hierbij zouden de al dan niet kwaadaardige activiteiten zes seconden op het scherm zichtbaar zijn.

Mac OS X
Naast een versie voor Windows is de maker van de USB-sticks ook bezig met de ontwikkeling van een versie voor Mac OS X. Een aangepaste 128MB USB-stick kost 54 dollar, voor een 8GB-versie moet 64 dollar worden neergelegd. Danchev merkt op dat hij ook bekend is met een andere 'cross-platform' USB-stick om gebruikers van Windows, Mac OS X en Linux aan te vallen.

Deze versie, die niet op fora voor cybercriminelen wordt geadverteerd, gebruikt hetzelfde concept als die versie die hierboven beschreven is, maar gebruikt een custom scriptingtaal, de mogelijkheid om een lading te genereren en is ook nog eens goedkoper.

Deze versie zal volgens Danchev voor veel penetratietesters de keuze zijn om een computer bij een bedrijf of organisatie te compromitteren, als ze de fysieke beveiliging hebben omzeild. "Als die er al is", merkt de onderzoeker op.

Reacties (6)
30-07-2013, 09:54 door Anoniem
Bekend truukje, ding doet zich voor als keyboard wat dan een "Run" opent en een programmanaam intikt.
Maar wacht even, zo'n ding kan alleen maar programma's uitvoeren die op die stick staan
als de Software Restriction Policy (AppLocker) niet correct is ingesteld!
Dit is dus helemaal geen dreiging, het is alleen een motivatie om de systeembeheerder goed op te
leiden.
30-07-2013, 10:51 door _roel
De ontwikkeling van Rubber ducky heeft een flinke opleving gekregen de laatste tijd. Na een wat trage start met beperkte mogelijkheden, is er nu een behoorlijk actieve community aan het ontstaan.
30-07-2013, 11:00 door yobi
Eenvoudig met Kali-linux te maken. USB-apparatuur dus eerst op een stand-alone (zonder internet verbinding) controleren.
30-07-2013, 11:10 door _roel
Door yobi: Eenvoudig met Kali-linux te maken. USB-apparatuur dus eerst op een stand-alone (zonder internet verbinding) controleren.

Ook onder windows goed te gebruiken. De firmwares zijn eenvoudig onder windows te installeren, en dit hoeft in principe niet eens. (standaard firmware meegeleverd)

Ik heb hem nu zo dat hij keyboard en usb stick tegelijk emuleert (composit device) waarbij ik de tools om onder windows de scripts te generen op de stick zelf heb staan. Nu kan ik makkelijk 'on the job' de scripts aanpassen. En doordat het een composit device is wekt het ook bij targets geen argwaan op omdat het gewoon een functionele USB stick is.

Bijkomend voordeel is nog dat je met deze combinatie software vanaf de stick kunt autorunnen.
30-07-2013, 13:01 door ZeteMKaa
Wel een beetje gedateerde berichtgeving. De Rubber Ducky is al jaren te verkrijgen bij Hak5, zelfde voor de Jasager.
30-07-2013, 13:08 door Anoniem
Mac OS X - mogelijke maatregelen vooraf

(uitgebreide reactie omdat het nieuw zou zijn voor de Mac,
skip bij geen-lees-zin ook je min)



Mac OS X
Naast een versie voor Windows is de maker van de USB-sticks ook bezig met de ontwikkeling van een versie voor Mac OS X.


-> Mac Os X kent geen autorun mogelijkheid bij insert usb stick

-> Mac Os X kent wel een eventuele auto-open-.dmg functionaliteit!

Bekend van het downloaden van een app bijvoorbeeld.
Een applicatie-installer-finder-window opent dan bij aanklikken of automatisch (safari auto-open-safe-downloads) in de afbeeldingen/icon weergave waarbij je dan het ene bestand kan slepen naar een andere folder (bijvoorbeeld je programmafolder dat in dat geval een soort alias link is).


-> Misbruik "Acces for Assistive Devices" functie?


1) Mogelijke truc 1 :

Usb stick met een malware dmg-image (diskimage) dat bij insert automatisch uitpakt en opent in een finder window. Auto-open window menu scriptjes zijn bekend van installers op cd's / dvd bijvoorbeeld, dat script kan ook op een usb-stick.

Vanaf dat moment is Gebruikers-Interactie vereist en zal zoals bij de meeste van de (weinig) creatieve Mac-malware gebruik worden gemaakt van Social Engineering.
De gebruiker zal worden wijsgemaakt dat het om iets anders gaat en worden verleid een verborgen applicatie of script ergens te installeren.

Zoals bij meer programma's het geval is kan bij installatie het programma zichzelf toevoegen aan het lijstje "Login-Items" dat je kan vinden onder je SysteemVoorkeuren, accounts, betreffend account, tab-login-items.

Kijk dus altijd als je iets geïnstalleerd hebt of het zichzelf heeft toegevoegd aan deze lijst.
Bij inlog in je account start een toegevoegd programma automatisch op. Als dat een malware programma is mag je de rest van het mogelijke verloop er zelf bij uittekenen.

Wat kan je doen bij auto-open dmg-window?

* window toolbars visible maken door op het ovale knopje van het window rechtsboven te klikken.
* bij een zichtbare window bar verander je nu de icon weergave in een lijstweergave.
Deze stap kan je ook via je gewone finder menu doen.
* extensie weergave aan, staat er een .app extensie tussen?
* extra check op content-packages kan zijn ctrl-click op het file en kijken of er de optie weergeven pakket-inhoud tussenstaat.
Dan gaat het waarschijnlijk om een programma.


2) Mogelijke truc 2 waar nog aan gewerkt wordt :

De Mac laten geloven dat het een toetsenboard of een ander Usb device is.

De Mac (even algemeen, zoek het zelf op voor je eigen Os X versie), kan extra functionaliteit / "Acces" accepteren van "Assistive Devices".
Deze functie staat waarschijnlijk onder je SysteemVoorkeuren, Universal Acces, ...

Onderaan dat voorkeuren window kan je twee zaken aan of afvinken :
- Enable access for assistive devices
- Show Universal Access status in the menu bar

! De eerste optie is een security risico om aan te hebben staan, je hebt immers de mogelijkheid tot extra functionaliteit geactiveerd, die je overigens nog verder kunt specificeren.
Extra functionaliteit die heb je liever uit als je het niet nodig hebt!

Goede kans dat de MalwareMaker deze functionaliteit aangrijpt.
Zeer goede kans dat als dat zo is de malware niet werkt als jij deze optie hebt uitgevinkt ; je hebt dan rechten van externe devices geminimaliseerd, nep-toetsenboard of niet doet er dan al minder toe.
De MalwareMaker probeert juist maximaal van rechten gebruik te gaan maken (denk ik zo).

Complicatie; je gebruikt al standaard een wireless toetsenboard, wireless mouse.
Dan zou ik in ieder geval de Universal Access status in de menubar laten zien (2e optie aanvinken).
Kan je met een laptop de functie even uit zetten bij aansluiten vreemde usb-stick.

Lastig : met een Imac 'even een wired-toetsenboard en muis aansluiten is niet handig, laat ik aan de creativiteit van de lezer om daar iets voor te verzinnen.

# extraatje ; laat anders je virusscanner in ieder geval externe devices scannen bij aansluiten.
# of klik bij het auto-open finder window het window dicht en open het eventueel zelf met een normaal finder window.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.