En la última
BlackHat USA
se presentó una técnica de ataque llamada
BadUSB que está dando mucho
que hablar y que aunque no es totalmente nueva si ha sacado a la luz
pública
unos riesgos muy importantes para el mundo de la seguridad en relación a los dispositivos USB.
Un ataque de
BadUSB consiste básicamente en reprogramar un dispositivo
USB de uso común (normalmente un pendrive basado en algún
microcontrolador reprogramable cuya arquitectura sea conocida) para que
actúe de forma maliciosa.
Usar dispositivos USB para actividades maliciosas ya era una técnica
ampliamente conocida, como fue comentado en la propia charla, por
ejemplo:
- Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
- Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.
Los creadores de
BadUSB proponen además de estas, otras tácticas
bastante interesantes. Por ejemplo configurar un dispositivo USB para
que se comporte como una tarjeta de red Ethernet y asigne por DHCP una
nueva puerta de enlace o un nuevo servidor DNS para el equipo y así
poder interceptar su tráfico posteriormente.
Todos estos ataques implican por si solos un riesgo para los equipos,
pero existen ya múltiples medidas de seguridad para evitarlos.
El propio hecho de reprogramar un dispositivo USB legítimo para que
actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una
técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.
Pero extender esta técnica a cualquier dispositivo USB cuyo firmware
cuente con capacidad para ser actualizado, es lo que empieza a
convertir esta idea en peligrosa.
Y lo que acaba convirtiendo a un ataque
BadUSB en algo realmente
temible es la posibilidad de utilizar de forma combinada estas técnicas
y reprogramar varios dispositivos USB legítimos aparentemente inocuos
para convertirlos en un ataque combinado.
Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:
- La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
- Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
- La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.
Algunos dispositivos USB son incluso internos al PC (p.e. la mayoría de
webcams, lectores de SD, lectores de smartcard, biométricos que van
en los portátiles) y por tanto es más fácil conseguir la persistencia
en ellos porque están fijos.
Combinando esta técnica con distintos tipos de dispositivos, podemos
encontrar escenarios de ataque bastante serios, como por ejemplo
utilizar un pendrive como el vector de entrada inicial para una
infección y utilizar algún dispositivo que esté conectado de forma
permanente al equipo (por ejemplo una webcam o una impresora) como
vector de permanencia de la infección. Por ejemplo: haciendo que el
dispositivo detecte cuando el equipo está arrancando para convertirse
en un pendrive bootable que cargue una versión modificada del sistema
operativo.
Se podría incluso hacer que trabajen en modo anti-forense, si el
microcontrolador lo permite, el dispositivo podría pasar a funcionar en
su estado original o borrarse a sí mismo una vez conseguida la
infección.
Es por tanto probable que en poco tiempo empecemos a ver casos reales
del uso combinado de varios dispositivos infectados de este tipo
funcionando como implantes, al estilo de los sugeridos en el catálogo
ANT de la NSA.
Fuente:
S21sec assessment