O arsenal de técnicas e formas de trabalho dos cibercriminosos para agilizar e facilitar golpes cresce de forma exponencial. Muitos acreditam que esses atores utilizam apenas meios remotos para obter sucesso, e embora isso aconteça na maioria dos casos, não é a verdade absoluta.

Neste artigo, iremos trazer uma análise sobre o Rubber Ducky USB, abordando o que ele é, como funciona, quais os riscos e como evitar incidentes dessa mesma natureza.

O que é o Rubber Duck?

O Rubber Duck é um dispositivo USB malicioso que realiza ataques de injeção de comandos pré-definidos. Esses comandos podem permitir o acesso remoto ao computador da vítima e outras ações. 

Além dele existem vários outros dispositivos utilizados para fins maliciosos e com grande relevância para criminosos.

Dispositivos USB: como podem apresentar grandes ameaças? 

Dispositivos USB, pen drives ou até USB Flash Drives, podem ser grandes aliados do atacante, indo desde um simples pen drive conectado no computador da vítima até um extensor entre o teclado e o computador que grava tudo o que vítima digitar.

Um exemplo prático de uso seriam os ataques em que há a necessidade de ir pessoalmente até a empresa alvo para dar o “pontapé inicial” ao crime.

Mas para entendermos mais sobre os ataques envolvendo esses dispositivos é necessário entendermos a estrutura de funcionamento de dispositivos USB em geral.

A estrutura de um dispositivo USB

A composição de um pen drive basicamente se resume a: processador, bootloader, RAM, firmware, controlador USB, LEDs e a área de armazenamento em massa dentro do dispositivo.

Vamos analisar as principais partes a seguir:

Bootloader

O bootloader é o programa que inicia o funcionamento de um dispositivo USB. Em ferramentas como o Rubber Ducky, ele permite que o pendrive simule um teclado e execute comandos automaticamente ao ser conectado.

Controlador USB

Utilizado para gerenciar as consultas de leitura e gravação de dados realizadas na unidade de armazenamento em massa.

Armazenamento em massa

Dispositivos USB possuem uma classe de armazenamento em massa (MSC, Mass Storage Class), com o objetivo de permitir o acesso ao armazenamento interno. 

Uma outra classe chamada USB Attached SCSI veio para resolver problemas de desempenho do seu antecessor, permitindo assim o enfileiramento de comandos e conclusões incompletas para os dispositivos USB de armazenamento em massa.

Agora, como esses dispositivos podem ser reprogramados para fins maliciosos?

A reprogramação de dispositivos USB e riscos associados

Os Descritores de Dispositivos USB (USB Device Descriptors) possuem informações sobre a identificação do produto e do fornecedor. Essa identificação é representada por um código hexadecimal de 16 dígitos. Essas informações são utilizadas para definir os tipos de dispositivos USB, como teclado ou mouse, e que podem ser reprogramadas por meio do firmware.

Aqui já notamos uma falha de segurança, uma vez que o firmware pode ser reprogramado para ser identificado pelo sistema operacional como se fosse outro dispositivo – como um teclado, por exemplo. A reprogramação do firmware em muitos dispositivos USB é possível devido à falta de proteção contra gravação.

O sistema operacional “confia” cegamente no dispositivo falsificado após ele ter sido conectado ao computador e ter instalado o driver, podendo assim executar as atividades ilícitas..

10 Principais formas de ataques por dispositivos USB

Rubber Duck

O Rubber Duck, como vimos anteriormente, é uma solução comercial de ataque por injeção de comandos/pressionamento de teclas lançada em 2010. Estando conectado no computador da vítima, o Rubber Duck se “passará” por um teclado, que injetará uma sequência de pressionamento de teclas pré-definida. A partir daí, a principal forma de ataque é pelo acesso remoto ao computador para capturar dados, por exemplo.

Plataforma de ataque PHUKD / URFUKED

Semelhante ao Rubber Ducky, essa plataforma permite programar o envio de comandos maliciosos para ocorrerem em horários específicos, dificultando a detecção e aumentando a eficácia do ataque.

USBdriveby

Permite instalar rapidamente e de forma secreta backdoors e altera as configurações de DNS em um computador com o OS X desbloqueado em questão de segundos, emulando um teclado e um mouse USB.

Alterar o DNS por meio do firmware modificado

Pesquisadores já atuaram modificando o firmware de uma unidade flash USB e a usaram para emular um adaptador de rede ethernet USB, permitindo que sequestrassem o tráfego local.

Patch para burlar proteção por senha

Uma pequena modificação do firmware de um flash drive USB permite que atacantes burlem os dispositivos USB protegidos por senha.

Patch de partição oculta

Especialistas já demonstraram como uma unidade flash USB poderia ser reprogramada para agir como um drive normal, mas criando uma partição oculta que não pode ser formatada – permitindo a exfiltração de dados.

Infecção de smartphones em pontos de carregamento de energia

Existem casos em que pontos de carregamento alterados maliciosamente podem infectar smartphones ou coletar informações sigilosas dos dispositivos.

Virus do setor de boot

Aqui temos um déjà vu, pois os primeiros vírus criados se disseminavam através dos antigos disquetes (3 ¼”, 5 ¼”, etc). Mas, falando sobre os dispositivos USB, pesquisadores utilizaram um flash drive USB para infectar um computador antes dele bootar (iniciar).

Backdoor USB em computadores Air-Gapped (isolados de qualquer rede)

Um ataque executado pelo malware Fanny, desenvolvido pelos hackers do Equation Group, utilizava um armazenamento USB oculto para armazenar comandos predefinidos que mapeavam computadores Air-Gapped. As informações coletadas eram salvas novamente no armazenamento oculto.

USB Killer

O USB killer danifica permanentemente os computadores ao inserir um dispositivo USB que inicia uma sobrecarga elétrica.

Como se proteger de ataques por dispositivos USB

1. Garanta a segurança física de computadores desktop ou servidores, para que pessoal não autorizado não possa conectar dispositivos USB aleatórios nos computadores. Além disso, bloqueie fisicamente as portas USB não utilizadas nesses sistemas e evite a remoção de HIDs (dispositivo USB para identidade segura) que já estão conectados;
2. Não conecte pen drives desconhecidos em computadores críticos de uma organização. Essa é uma tática de engenharia social em que o invasor depende da curiosidade das pessoas para ter sucesso;
3. Treine funcionários para que estejam cientes dos diferentes tipos de ameaças, incluindo os dispositivos USB maliciosos (como no Incidente La La Land);
4. Não utilize o mesmo pen drive para computadores domésticos e da empresa. Fazer isso pode reduzir o risco de contaminação cruzada dos computadores;
5. Utilize unidades USB com chaves de proteção contra gravação de hardware;
6. Limite a quantidade de dados corporativos que podem ser armazenados em suas unidades USB;
7. Utilize ferramentas corporativas que permitem ou negam a utilização de determinadas portas USB;
8. Mantenha seus computadores e smartphones/iPhones sempre atualizados.
   
   

Quer saber mais sobre o tema? Selecionamos alguns artigos e pesquisas úteis para te guiar:

• • Security Research Labs: On Accessories That Turn Evil
  • O Analista: Seu smartphone pode estar sendo hackeado enquanto estiver sendo carregado via USB
  • Threat Vector: USB Devices Gone Rogue
  • Bleeping Computer: Here’s a List of 29 Different Types of USB Attacks
  • Cyware: Understanding the threats and risk of USB Flash Drive