Investigadores de la Universidad Ben-Gurion del Negev en Israel han identificado 29 maneras en que los atacantes podrían usar dispositivos USB para comprometer las computadoras de los usuarios.
El equipo de investigación ha clasificado estos 29 métodos de explotación en cuatro categorías diferentes, según la forma en que se lleve a cabo el ataque.
Ataques reprogramable microcontrolador USB
- Rubber Ducky una plataforma de ataque de inyección de teclado comercial lanzada en 2010. Una vez conectado a una computadora host, el Rubber Ducky se presenta como un teclado e inyecta una secuencia de pulsaciones de teclas precargadas.
- Plataformas de ataque PHUKD / URFUKED: similar a Rubber Ducky, pero permite a un atacante seleccionar el momento en que inyecta las teclas maliciosas.
- USBdriveby: proporciona una instalación encubierta rápida de puertas traseras y anula la configuración de DNS en un host OS X desbloqueado a través de USB en cuestión de segundos mediante la emulación de un teclado y mouse USB.
- Evilduino: similar a PHUKD / URFUKED, pero utiliza microcontroladores Arduino en lugar de Teensy. También funciona emulando un teclado / mouse y puede enviar movimientos de teclas / cursor del mouse al host de acuerdo con un script precargado.
- Canal USB no deseado: un troyano de hardware USB de prueba de concepto (POC) que exfiltra datos basados en canales USB no deseados (como el uso de altavoces USB para filtrar datos).
- TURNIPSCHOOL (COTTONMOUTH-1) : un implante de hardware oculto dentro de un cable USB. Desarrollado por la NSA.
- Ataque RIT a través del almacenamiento masivo USB : ataque descrito en un documento de investigación. Se basa en cambiar el contenido de los archivos mientras el dispositivo de almacenamiento masivo USB está conectado a la computadora de la víctima.
- Ataques a dongles USB inalámbricos: una categoría de ataques que Samy Kamkar exploró por primera vez con el lanzamiento de la plataforma de ataque KeySweeper , una herramienta que registra y descifra secretamente las pulsaciones de tecla de muchos teclados inalámbricos RF de Microsoft.
- Anulación de puerta de enlace predeterminada: un ataque que utiliza un microcontrolador para falsificar un adaptador USB de Ethernet para anular la configuración de DHCP y secuestrar el tráfico local.
Ataques de firmware de periféricos USB mal reprogramados
- Ataques HID basados en teléfonos inteligentes: descritos por primera vez en un trabajo de investigación para el cual los investigadores crearon controladores de dispositivos Android personalizados para sobrescribir cómo interactuaba Android con dispositivos USB. El controlador malicioso interactuó con la API de gadgets USB de Android para simular el teclado USB y los dispositivos de mouse conectados al teléfono.
- Anulación de DNS por firmware USB modificado: los investigadores modificaron el firmware de una unidad flash USB y lo usaron para emular un adaptador USB-ethernet, lo que les permitió secuestrar el tráfico local.
- Emulación de teclado por firmware USB modificado: varios investigadores mostraron cómo el envenenamiento del firmware de las unidades flash USB, un atacante podría inyectar golpes de teclado
- Parche de partición oculto: los investigadores demostraron cómo una unidad flash USB podría reprogramarse para actuar como un disco normal, creando una partición oculta que no se puede formatear, lo que permite la exfiltración encubierta de datos.
- Patch de omisión de protección de contraseña: una pequeña modificación del firmware de una unidad flash USB permite a los atacantes evitar las unidades flash USB protegidas con contraseña.
- Virtual Machine Break-Out: los investigadores utilizaron el firmware USB para salir de los entornos de máquinas virtuales.
- Boot Sector Virus: los investigadores utilizaron una unidad flash USB para infectar la computadora antes de que arranque
- iSeeYou: programa POC que reprograma el firmware de una clase de cámaras web iSight internas de Apple para que un atacante pueda capturar video de forma encubierta sin la advertencia del indicador LED.
Ataques basados en dispositivos USB no programados
- CVE-2010-2568 .LNK exploit utilizado por Stuxnet y Fanny malware
- USB Backdoor en Air-Gapped Hosts ataque utilizado por el malware Fanny , desarrollado por Equation Group (nombre en clave para el NSA). Attack utiliza almacenamiento oculto USB para almacenar comandos preestablecidos que mapean las computadoras en redes aisladas. La información en las redes se guarda nuevamente en el almacenamiento oculto de la unidad flash USB.
- Ocultación de datos en dispositivos de almacenamiento masivo USB: una gran colección de trucos para esconder malware o datos robados dentro de una unidad flash USB (por ej .: almacenar datos fuera de las particiones normales, ocultar el archivo dentro de una carpeta invisible haciendo el icono de esa carpeta y nombre transparente, etc.).
- AutoRun Exploits: dependiendo de cómo se configuraron las computadoras host, algunas PC ejecutan automáticamente los archivos predeterminados ubicados en el almacenamiento de un dispositivo USB. Hay una categoría completa de malware dedicada a este malware llamado autorun.
- Cold Boot Attacks: también conocido como el ataque de volcado de RAM . Los atacantes pueden almacenar un volcado de memoria en una unidad flash USB y extraer los datos sobrantes de la RAM al arrancar desde un dispositivo USB.
- Ataques basados en desbordamiento de búfer: varios ataques que se basan en la explotación de desbordamientos de búfer del sistema operativo cuando se inserta un dispositivo USB en una computadora. Esto sucede porque los sistemas operativos enumerarán los dispositivos y las funciones (ejecutarán ciertas operaciones predeterminadas) cuando se inserte un dispositivo USB.
- Driver Update: ataque muy complejo que se basa en la obtención de un certificado de organización de clase 3 de VeriSign y el envío de controladores a Microsoft que se entregan e instalan automáticamente en las PC del usuario cuando se inserta un determinado dispositivo SUB. Este ataque es posible, pero muy difícil de lograr en el mundo real.
- Actualización del firmware del dispositivo (DFU): los atacantes pueden usar la actualización del firmware del dispositivo (DFU) , un proceso legítimo compatible con el estándar USB, para actualizar el firmware legítimo local a una versión maliciosa.
- USB Thief: un software de robo de datos basado en una unidad flash USB que ESET descubrió recientemente.
- Ataques a teléfonos inteligentes a través del puerto USB: los atacantes pueden esconder y entregar malware (malicioso) a través de cargadores de teléfonos USB.
- Ataque USBee: haga que el bus de datos de un conector USB emita emisiones electromagnéticas que puedan usarse para filtrar datos.
Ataques eléctricos
- USB Killer: destruye dispositivos de forma permanente al insertar un dispositivo USB que activa un recargo eléctrico.
