Una unidad USB malvada podría apoderarse de su PC de manera indetectable

Si no ha desactivado la reproducción automática de USB en su PC, es posible que conectar una unidad USB infectada pueda instalar malware en su sistema. Los ingenieros cuyas centrifugadoras purificadoras de uranio fueron voladas por Stuxnet lo aprendieron por las malas. Sin embargo, resulta que el malware de reproducción automática no es la única forma en que los dispositivos USB pueden convertirse en armas. En el En la conferencia Black Hat 2014, dos investigadores de SRLabs con sede en Berlín revelaron una técnica para modificar el chip controlador de un dispositivo USB para que pueda “falsificar varios otros tipos de dispositivos para tomar el control de una computadora, exfiltrar datos o espiar al usuario”. Eso suena un poco mal, pero de hecho es realmente terrible.

Gire hacia el lado oscuro
“Somos un laboratorio de piratería normalmente centrado en la seguridad integrada”, dijo el investigador Karsten Noll, hablando en una sala repleta. “Esta es la primera vez que miramos una seguridad informática, con un ángulo integrado. ¿Cómo se podría reutilizar el USB de forma maliciosa?”

El investigador Jakob Lell se lanzó directamente a una demostración. Conectó una unidad USB a una computadora con Windows; apareció como un disco, tal como era de esperar. Pero poco tiempo después, se redefinió a sí mismo como un teclado USB y emitió un comando que descargó un troyano de acceso remoto. ¡Eso provocó aplausos!

“No hablaremos de virus en el almacenamiento USB”, dijo Noll. “Nuestra técnica funciona con un disco vacío. Incluso puede reformatearlo. Esta no es una vulnerabilidad de Windows que se pueda parchear. Estamos enfocados en la implementación, no en el troyano”.

Controlando el controlador
“El USB es muy popular”, dijo Noll. “La mayoría (si no todos) los dispositivos USB tienen un chip controlador. Nunca interactúas con el chip, ni el sistema operativo lo ve. Pero este controlador es lo que ‘habla USB'”.

El chip USB identifica su tipo de dispositivo en la computadora y puede repetir este proceso en cualquier momento. Noll señaló que existen razones válidas para que un dispositivo se presente como más de uno, como una cámara web que tiene un controlador para video y otro para el micrófono adjunto. Y la verdadera identificación de las unidades USB es difícil, porque un número de serie es opcional y no tiene un formato fijo.

Lell analizó los pasos precisos tomados por el equipo para reprogramar el firmware en un tipo específico de controlador USB. Brevemente, tuvieron que espiar el proceso de actualización del firmware, aplicar ingeniería inversa al firmware y luego crear una versión modificada del firmware que contenga su código malicioso. “No nos rompimos todo sobre USB “, señaló Noll.” Realizamos ingeniería inversa de dos chips controladores muy populares. El primero tomó tal vez dos meses, el segundo un mes “.

Autorreplicación
Para la segunda demostración, Lell insertó una nueva unidad USB en blanco en la PC infectada de la primera demostración. La PC infectada reprogramó el firmware de la unidad USB en blanco, replicando así. Oh querido.

A continuación, conectó la unidad recién infectada a una computadora portátil Linux, donde emitió visiblemente comandos de teclado para cargar código malicioso. Una vez más, la demostración provocó el aplauso de la audiencia.

¿Busca ofertas en la última tecnología?

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja en cualquier momento.

Robar contraseñas
“Ese fue un segundo ejemplo en el que un USB se hace eco de otro tipo de dispositivo”, dijo Noll, “pero esto es solo la punta del iceberg. Para nuestra próxima demostración, reprogramamos una unidad USB 3 para que sea un tipo de dispositivo más difícil de detectar. Míralo de cerca, es casi imposible de ver “.

De hecho, no pude detectar el parpadeo del icono de red, pero después de enchufar la unidad USB, apareció una nueva red. Noll explicó que la unidad ahora emulaba una conexión Ethernet, redirigiendo la búsqueda de DNS de la computadora. Específicamente, si el usuario visita el sitio web de PayPal, será redirigido de manera invisible a un sitio de robo de contraseñas. Por desgracia, los demonios de demostración reclamaron este; no funcionó.

Confía en USB
“Discutamos por un momento la confianza que depositamos en USB”, dijo Noll. “Es popular porque es fácil de usar. Intercambiar archivos a través de USB es mejor que usar el correo electrónico no cifrado o el almacenamiento en la nube. USB ha conquistado el mundo. Sabemos cómo escanear virus en una unidad USB. Confiamos aún más en un teclado USB. Esta investigación rompe esa confianza “.

“No es solo la situación en la que alguien te da un USB”, continuó. “Solo conectar el dispositivo a su computadora podría infectarlo. Para una última demostración, usaremos el atacante USB más fácil, un teléfono Android”.

“Conectemos este teléfono Android estándar a la computadora”, dijo Lell, “y veamos qué sucede. Oh, de repente hay un dispositivo de red adicional. Vayamos a PayPal e inicie sesión. No hay mensaje de error, nada. Pero capturamos el nombre de usuario y la contraseña! ” Esta vez, el aplauso fue atronador.

“¿Detectará que el teléfono Android se convirtió en un dispositivo Ethernet?” preguntó Noll. “¿El software de prevención de pérdida de datos o de control de su dispositivo lo detecta? En nuestra experiencia, la mayoría no lo hace. Y la mayoría se enfoca solo en el almacenamiento USB, no en otros tipos de dispositivos”.

El regreso del infectador del sector del arranque
“El BIOS realiza un tipo de enumeración USB diferente al del sistema operativo”, dijo Noll. “Podemos aprovechar eso con un dispositivo que emula dos unidades y un teclado. El sistema operativo solo verá una unidad. La segunda solo aparece en el BIOS, que arrancará desde ella si está configurada para hacerlo. Si no es así , podemos enviar cualquier pulsación de tecla, tal vez F12, para permitir el arranque desde el dispositivo “.

Noll señaló que el código de rootkit se carga antes que el sistema operativo y que puede infectar otras unidades USB. “Es la implementación perfecta para un virus”, dijo. “Ya se está ejecutando en la computadora antes de que se cargue cualquier antivirus. Es el regreso del virus del sector de arranque”.

¿Qué se puede hacer?
Noll señaló que sería extremadamente difícil eliminar un virus que reside en el firmware USB. Sáquelo de la unidad flash USB, podría reinfectarse desde su teclado USB. Incluso los dispositivos USB integrados en su PC podrían estar infectados.

“Desafortunadamente, no existe una solución simple. Casi todas nuestras ideas de protección interferirían con la utilidad del USB”, dijo Noll. “¿Podría incluir en la lista blanca los dispositivos USB confiables? Bueno, podría hacerlo si los dispositivos USB fueran identificables de forma única, pero no lo son”.

“Podría bloquear el USB por completo, pero eso afecta la usabilidad”, continuó. “Se pueden bloquear tipos de dispositivos críticos, pero incluso se puede abusar de las clases muy básicas. Elimínelas y no quedará mucho. ¿Qué hay de la búsqueda de malware? Desafortunadamente, para leer el firmware debe confiar en las funciones del propio firmware, por lo que un firmware malintencionado podría suplantar a uno legítimo “.

“En otras situaciones, los proveedores bloquean las actualizaciones de firmware maliciosas mediante firmas digitales”, dijo Noll. “Pero la criptografía segura es difícil de implementar en controladores pequeños. En cualquier caso, miles de millones de dispositivos existentes siguen siendo vulnerables”.

“La única idea viable que se nos ocurrió fue deshabilitar las actualizaciones de firmware en la fábrica”, dijo Noll. “El último paso, lo hace para que el firmware no se pueda reprogramar. Incluso podría arreglarlo en el software. Grabe una nueva actualización de firmware que bloquee todas las actualizaciones posteriores. Podríamos reconquistar un poco de la esfera de los dispositivos USB confiables . “

Noll concluyó señalando algunos usos positivos de la técnica de modificación del controlador descrita aquí. “Hay razones para que la gente juegue con esto”, dijo, “pero no en entornos de confianza”. Yo, por mi parte, nunca miraré ningún dispositivo USB como solía hacerlo.

Acerca de Neil J. Rubenking

Neil Rubenking se desempeñó como vicepresidente y presidente del Grupo de usuarios de PC de San Francisco durante tres años cuando la PC de IBM era nueva. Estuvo presente en la formación de la Asociación de Profesionales de Shareware y formó parte de su junta directiva. En 1986, PC Magazine incorporó a Neil para manejar el torrente de sugerencias de Turbo Pascal enviadas por los lectores. En 1990, se había convertido en editor técnico de PC Magazine y en un teletrabajador de costa a costa. Su columna “Usuario a Usuario” brindó a los lectores consejos y soluciones sobre el uso de DOS y Windows, sus columnas técnicas aclararon puntos finos en programación y sistemas operativos, y sus artículos de utilidad (más de cuarenta de ellos) proporcionaron programas útiles y ejemplos de programación en Pascal, Visual Basic y Delphi. El Sr. Rubenking también ha escrito siete libros sobre programación DOS, Windows y Pascal / Delphi, incluyendo PC Magazine DOS Batch File Lab Notes y el popular Delphi Programming for Dummies. En su puesto actual como analista principal de PC Magazine, evalúa e informa sobre soluciones de seguridad como firewalls, antivirus, antispyware, protección contra ransomware y suites de seguridad completas. El Sr. Rubenking es miembro de la Junta Asesora de Anti-Malware Testing Standards Organisation, un grupo internacional sin fines de lucro dedicado a coordinar y mejorar las pruebas de soluciones anti-malware.

Más de Neil J. Rubenking