Jakie jest niebezpieczeństwo włożenia i przeglądania niezaufanego napędu USB?

132

Załóżmy, że ktoś chce, żebym skopiował niektóre pliki na pamięć USB. Używam w pełni poprawionego systemu Windows 7 x64 z wyłączonym AutoRun (za pomocą zasad grupy). Wkładam dysk USB, otwieram go w Eksploratorze Windows i kopiuję do niego niektóre pliki. Nie uruchamiam ani nie przeglądam żadnego z istniejących plików. Co złego mogłoby się stać, jeśli to zrobię?

Co jeśli zrobię to w systemie Linux (powiedzmy Ubuntu)?

Pamiętaj, że szukam szczegółowych informacji na temat konkretnych rodzajów ryzyka (jeśli takie istnieją), a nie „byłoby bezpieczniej, gdybyś tego nie zrobił”.

windows-7 linux security usb-flash-drive autorun EM0
źródło
6
Spojrzenie na listę katalogów raczej nie będzie stanowić ryzyka. Otwarcie złośliwego pliku PDF w starej, niepakowanej wersji czytnika Adobe może być dużym ryzykiem. W niektórych przypadkach nawet podgląd obrazu lub ikona pliku mogą zawierać exploita.
david25272
12
@ david25272, nawet spojrzenie na listę katalogów może stanowić ryzyko .
tangrs
5
To trochę jak wsiadanie do windy z nieznajomym, przez większość czasu masz się dobrze, ale jeśli nieznajomym jest również Hannibal Lecter ...
PatrickT
59
Możesz złamać wirówkę uranu en.wikipedia.org/wiki/Stuxnet
RyanS
1
@tangrs, to świetny przykład tego, czego szukałem. Dlaczego nie opublikować tego jako odpowiedzi?
EM0

Odpowiedzi:

45

Mniej imponujące jest to, że przeglądarka plików GUI zwykle eksploruje pliki w celu utworzenia miniaturek. Każdy exploit oparty na pdf, ttf (tutaj wstaw typ pliku zdolny do turinga), który działa w twoim systemie, może zostać potencjalnie uruchomiony pasywnie przez upuszczenie pliku i oczekiwanie na jego skanowanie przez moduł renderujący miniatury. Większość znanych mi exploitów dotyczy Windowsa, ale nie lekceważ aktualizacji dla libjpeg.

sylvainulg
źródło
1
To jest możliwe, więc +1. Czy Eksplorator Windows (lub Nautilus) to robi, nawet jeśli nigdy nie przeglądasz miniatur?
EM0
1
@EM Może się zdarzyć - najnowsze wersje eksploratora mogą, na przykład, tworzyć miniatury w podfolderach dla ładnych ikon folderów w katalogu głównym, nawet jeśli te podfoldery nie są ustawione tak, aby miniatury nie były wyświetlane.
Tynam
A może nie próbuj wyświetlać miniatur, a raczej metadane
Ten Brazylijczyk
1
Nie dotyczy to systemu plików podłączonego do portu USB. Jeśli przeglądarka plików ma lukę, może zostać wywołana przez pliki pobrane na komputer również za pomocą innych środków, takich jak załączniki wiadomości e-mail lub pliki do pobrania za pośrednictwem przeglądarki.
HRJ
186

Najgorsze, co może się zdarzyć, jest ograniczone jedynie wyobraźnią atakującego. Jeśli zamierzasz być paranoikiem, fizyczne podłączenie praktycznie dowolnego urządzenia do twojego systemu oznacza, że ​​może to być zagrożone. Podwójnie, jeśli to urządzenie wygląda jak zwykła pamięć USB.

Co jeśli to jest to? wprowadź opis zdjęcia tutaj

Na zdjęciu powyżej znajduje się niesławny gumowy kaczuszek USB , małe urządzenie, które wygląda jak zwykły pendrive, ale może wykonywać dowolne naciśnięcia klawiszy na komputerze. Zasadniczo może robić, co chce, ponieważ rejestruje się jako klawiatura, a następnie wprowadza dowolną sekwencję klawiszy, którą chce. Dzięki takiemu dostępowi może robić różne nieprzyjemne rzeczy (i to tylko pierwszy hit, jaki znalazłem w Google). To jest możliwe do pisania, więc niebo jest granicą.

terdon
źródło
11
Fajny, +1! W tym scenariuszu pamięć USB jest znana jako faktyczne urządzenie pamięci masowej i ufam osobie, która mi ją przekazała, aby nie zainfekowała komputera złośliwie . (Obawiam się, że same mogą być ofiarami wirusa.) Ale to interesujący atak, którego nie wziąłem pod uwagę. Podejrzewam, że przy użyciu takiego emulatora klawiatury prawdopodobnie zauważyłem coś dziwnego, ale mogą być bardziej ukryte sposoby ...
EM0
3
Popieram tę odpowiedź. Sprawia, że ​​OP myśli :)
Steve
31
+1 „Najgorsze, co może się zdarzyć, jest ograniczone tylko wyobraźnią atakującego”.
Newb
9
Hak5 - wygląda legalnie!
david25272
5
Najwyraźniej protokół połączenia USB jest dość podobny do starszego protokołu portu PS / 2, dlatego USB jest powszechnie używane w Myszach i Klawiaturach. (Mogę się oczywiście
mylić
38

Innym niebezpieczeństwem jest to, że Linux spróbuje zamontować cokolwiek (żart tutaj stłumiony) .

Niektóre sterowniki systemu plików nie są wolne od błędów. Co oznacza, że ​​haker może potencjalnie znaleźć błąd w, powiedzmy, squashfs, minix, befs, cramfs lub udf. Następnie ten haker mógłby stworzyć system plików, który wykorzystuje ten błąd do przejęcia jądra Linuksa i umieszczenia go na dysku USB.

Teoretycznie może się to zdarzyć również w systemie Windows. Błąd w FAT lub NTFS lub CDFS lub UDF może spowodować otwarcie systemu Windows do przejęcia.

Zan Lynx
źródło
+1 To byłby zgrabny i całkowicie możliwy exploit
Steve
17
Dalej jest cały poziom. Nie tylko systemy plików mają błędy, ale cały stos USB ma błędy i wiele z nich działa w jądrze.
Fałszywe imię
4
Nawet oprogramowanie układowe kontrolera USB może mieć słabe punkty, które można wykorzystać. Wystąpił błąd polegający na awarii do systemu Windows za pomocą pamięci USB tylko na poziomie wyliczenia urządzenia .
sylvainulg
7
Jeśli chodzi o „linux próbuje zamontować cokolwiek”, nie jest to domyślne zachowanie systemu, ale jest ono powiązane z eksploratorem plików, który aktywnie próbuje zamontować. Jestem pewien, że spelunking strony podręcznika mogą odsłonić sposób dezaktywacji tego i powrotu do „montuj tylko na żądanie”.
sylvainulg
5
Zarówno Linux, jak i Windows próbują zamontować wszystko. Jedyna różnica polega na tym, że Linux może odnieść sukces. To nie jest słabość systemu, ale siła.
terdon
28

Istnieje kilka pakietów zabezpieczeń, które pozwalają mi skonfigurować skrypt autouruchamiania dla systemu Linux lub Windows, automatycznie uruchamiając moje złośliwe oprogramowanie natychmiast po podłączeniu. Najlepiej nie podłączać urządzeń, którym nie ufasz!

Pamiętaj, że mogę dołączać złośliwe oprogramowanie do praktycznie każdego pliku wykonywalnego, jaki chcę, i do prawie dowolnego systemu operacyjnego. Przy wyłączonym autouruchamianiu POWINNYŚ być bezpieczny, ale PONOWNIE nie ufam urządzeniom, o których jestem choć trochę sceptyczny.

Przykład tego, co można zrobić, znajduje się w zestawie narzędzi dla inżynierów społecznych (SET) .

Jedynym sposobem, aby być naprawdę bezpiecznym, jest uruchomienie dystrybucji Linuksa na żywo, z odłączonym dyskiem twardym. I zamontować dysk USB i rzucić okiem. Poza tym rzucasz kostką.

Jak zasugerowano poniżej, konieczne jest wyłączenie sieci. Nie pomaga, jeśli dysk twardy jest bezpieczny, a cała sieć jest zagrożona. :)

Steve
źródło
3
Nawet jeśli AutoRun jest wyłączone, nadal istnieją exploity, które wykorzystują pewne prawdy. Oczywiście istnieją lepsze sposoby infekowania komputera z systemem Windows. Najlepiej jest skanować nieznane dyski flash na sprzęcie przeznaczonym do tego zadania, które jest codziennie czyszczone i przywracane do znanej konfiguracji po ponownym uruchomieniu.
Ramhound
2
Ostatnią sugestią może być również rozłączenie sieci, jeśli instancja Live CD zostanie zainfekowana, może zainfekować inne komputery w sieci, aby zapewnić bardziej trwałą pozycję.
Scott Chamberlain
6
Ramhound, chciałbym zobaczyć przykłady exploitów, o których wspomniałeś (prawdopodobnie już załatane!) Czy możesz podać jakieś odpowiedzi?
EM0
5
@EM, jakiś czas temu wykorzystano lukę zero-day, która wykorzystała lukę w sposobie wyświetlania ikony w pliku skrótu (plik .lnk). Wystarczy otwarcie folderu zawierającego plik skrótu, aby uruchomić kod exploita. Haker mógł łatwo umieścić taki plik w katalogu głównym dysku USB, aby po otwarciu uruchomić kod exploita.
tangrs
4
> Jedynym sposobem, aby być naprawdę bezpiecznym, jest uruchomienie dystrybucji Linuksa na żywo, gdy dysk twardy jest odłączony… - nie, nieuczciwe oprogramowanie może również zainfekować oprogramowanie układowe. Obecnie są bardzo słabo chronione.
Sarge Barszcz
23

Pamięć USB może być rzeczywiście bardzo naładowanym kondensatorem ... Nie jestem pewien, czy nowoczesne płyty główne mają jakąkolwiek ochronę przed takimi niespodziankami, ale nie sprawdziłbym tego na moim laptopie. (teoretycznie może spalić wszystkie urządzenia)

Aktualizacja:

zobacz tę odpowiedź: https://security.stackexchange.com/a/102915/28765

i wideo z tego: YouTube: Testy USB Killer v2.0.

Barszcz Sarge
źródło
3
Tak, robią. Prawie wszystkie mają małe, resetowalne bezpieczniki. Uważam, że elektronika.stackexchange.com/questions/66507/... jest dość interesująca.
Zan Lynx
Ten film boli moją duszę.
k.stm
6

Niektóre złośliwe oprogramowanie / wirus są aktywowane, gdy otwieramy folder. Haker może korzystać z funkcji systemu Windows (lub Linux z Wine ), które zaczynają tworzyć ikonę / miniaturę niektórych plików (na przykład plików .exe, .msi lub .pif, a nawet folderów z ikoną złośliwego oprogramowania) po otwarciu teczka. Haker znajduje błąd w programach (takich jak program, który tworzy miniaturę), aby umożliwić działanie złośliwego oprogramowania.

Niektóre wadliwe urządzenia mogą zabijać Twój sprzęt , zwłaszcza płytę główną, i przez większość czasu po cichu, więc możesz tego nie wiedzieć.

Totti
źródło
5

Najwyraźniej proste urządzenie USB może nawet usmażyć całą płytę główną:

Rosyjski badacz bezpieczeństwa znany jako „Dark Purple” stworzył pamięć USB o nietypowej ładowności.

Nie instaluje złośliwego oprogramowania ani nie wykorzystuje luki zero-day. Zamiast tego dostosowana pamięć USB wysyła 220 woltów (technicznie minus 220 woltów) przez linie sygnałowe interfejsu USB, smażąc sprzęt.

https://grahamcluley.com/2015/10/usb-killer/

EM0
źródło
3

Najgorsze, co może się zdarzyć, to niesławna infekcja BadBios . Podobno infekuje kontroler hosta USB, podłączając go do komputera niezależnie od systemu operacyjnego. Istnieje ograniczona liczba producentów układów USB, więc wykorzystanie ich wszystkich nie jest zbyt daleko idące.

Oczywiście nie wszyscy wierzą, że BadBios jest prawdziwy, ale jest to najgorsza rzecz, jaka może się przytrafić komputerowi po podłączeniu dysku USB.

Nacięcie
źródło