Jika Anda belum dimatikan USB autoplay pada PC Anda, bisa jadi ketika mencolokkan USB drive yang terinfeksi dapat menginstal malware pada sistem Anda. Ternyata, meskipun malware autoplay bukan satu-satunya cara perangkat USB dapat weaponized. Pada 2014 konferensi Black Hat, dua peneliti dari SRLabs Berlin mengungkapkan teknik untuk memodifikasi controller chip perangkat USB sehingga dapat "spoof berbagai jenis perangkat lain untuk mengambil kendali dari komputer, exfiltrate data, atau memata-matai pengguna . "Kedengarannya agak buruk, tetapi sebenarnya itu benar-benar, mengerikan.
Putar ke Dark Side
"Kami laboratorium hacker biasanya fokus pada keamanan tertanam," kata peneliti Karsten Noll, berbicara ke ruang penuh sesak. "Ini adalah pertama kalinya kami melihat sebuah keamanan komputer, dengan sudut tertanam. Bagaimana USB dibuat dengan cara berbahaya?"
Peneliti Jakob Lell melompat tepat ke demo. Dia memasang USB drive ke komputer Windows; dan muncul sebagai drive, seperti yang Anda harapkan. Tapi beberapa saat kemudian, ia mendefinisikan ulang dirinya sebagai keyboard USB dan mengeluarkan perintah yang download akses Trojan jarak jauh. Lalu disambut tepuk tangan meriah!
"Kami tidak akan berbicara tentang virus dalam penyimpanan USB," kata Noll. "Teknik kami bekerja dengan disk kosong. Anda bahkan dapat memformat itu. Ini bukan kerentanan Windows yang bisa ditambal. Kami berfokus pada penyebaran, bukan pada Trojan."
Mengontrol Controller
"USB sangat populer," kata Noll. "Sebagian besar (jika tidak semua) perangkat USB memiliki chip pengontrol. Anda tidak pernah berinteraksi dengan chip, begitujuga OS tidak melihatnya. Tapi kontroler ini adalah apa yang 'berbicara USB.'"
Chip USB mengidentifikasi jenis perangkat untuk komputer, dan dapat mengulangi proses ini setiap saat. Noll menunjukkan bahwa ada alasan yang sah untuk satu perangkat untuk menampilkan diri sebagai lebih dari satu, seperti webcam yang memiliki satu sopir untuk video dan satu lagi untuk mikrofon yang terpasang. Dan benar-benar mengidentifikasi USB drive sangat sulit, karena nomor seri adalah opsional dan tidak memiliki format tetap.
Lell berjalan melalui langkah-langkah yang tepat diambil oleh tim untuk memprogram ulang firmware pada jenis USB controller tertentu. Secara singkat, mereka harus mengintip proses update firmware, reverse engineering firmware, dan kemudian membuat versi modifikasi dari firmware yang mengandung kode berbahaya mereka. "Kami tidak melanggar segala sesuatu tentang USB," kata Noll. "Kami reverse-engineered dua chip pengontrol yang sangat populer. Pertama mengambil mungkin dua bulan, kedua satu bulan."
Cukup Replikasi
Untuk demo kedua, Lell memasukkan drive USB kosong baru ke PC yang terinfeksi dari demo pertama. PC terinfeksi memprogram firmware USB drive kosong, sehingga mereplikasi dirinya sendiri.
Dia selanjutnya memasang drive hanya terinfeksi menjadi notebook Linux, di mana ia tampak keyboard yang dikeluarkan perintah untuk memuat kode berbahaya. Sekali lagi, demo disambut tepuk tangan meriah dari penonton.
Mencuri Password
"Itu adalah contoh kedua di mana satu USB gema jenis perangkat lain," kata Noll, "tapi ini hanyalah puncak gunung es. Untuk demo kami berikutnya, kami memprogram 3 USB drive menjadi jenis perangkat yang lebih sulit untuk dideteksi. Perhatikan dengan seksama, hampir mustahil untuk melihat. "
Memang, saya tidak bisa mendeteksi kerlip dari ikon jaringan, tapi setelah USB drive terpasang, jaringan baru muncul. Noll menjelaskan bahwa drive sekarang meniru koneksi Ethernet, mengarahkan komputer DNS lookup. Secara khusus, jika pengguna mengunjungi situs PayPal, mereka akan tak terlihat diarahkan ke situs mencuri password. Sayangnya, demo mengklaim satu ini; tidak berhasil.
Kepercayaan dalam USB
"Mari kita bahas sejenak kepercayaan kita tempatkan di USB," kata Noll. "Ini populer karena mudah digunakan. Bertukar file melalui USB lebih baik daripada menggunakan email yang tidak dienkripsi atau penyimpanan awan. USB menyerang dunia. Kita tahu bagaimana virus-memindai drive USB Kita. Trust keyboard USB bahkan lebih. Penelitian ini memecah kepercayaan itu. "
"Ini bukan hanya situasi di mana seseorang memberi Anda USB," lanjutnya. "Hanya melampirkan perangkat ke komputer Anda dapat menginfeksinya. Untuk satu demo terakhir, kita akan menggunakan penyerang USB termudah, ponsel Android."
"Mari kita melampirkan ponsel Android ini standar untuk komputer," kata Lell, "dan lihat apa yang terjadi. Oh, tiba-tiba ada perangkat jaringan tambahan. Mari kita pergi ke PayPal dan log in. Tidak ada pesan kesalahan, apa-apa. Tapi kami menangkap username dan password! "Kali ini, tepuk tangan itu bergemuruh.
"Maukah kau mendeteksi bahwa ponsel Android berubah menjadi perangkat Ethernet?" tanya Noll. "Apakah kontrol perangkat atau perangkat lunak pencegahan kehilangan data mendeteksinya? Dalam pengalaman kami, kebanyakan tidak. Dan paling hanya fokus pada penyimpanan USB, bukan pada jenis perangkat lain."
Kembalinya Boot Sector Infector
"BIOS melakukan berbagai jenis pencacahan USB dari sistem operasi," kata Noll. "Kita bisa mengambil keuntungan dari itu dengan perangkat yang mengemulasi dua drive dan keyboard. Sistem operasi hanya akan pernah melihat satu drive. Kedua hanya muncul pada BIOS, yang akan boot dari itu jika dikonfigurasi untuk melakukannya. Jika tidak, kita dapat mengirim keystroke apapun, mungkin F12, untuk memungkinkan booting dari perangkat. "
Sumber pcmag
Tidak ada komentar:
Posting Komentar