Muitas pessoas acham que cibercriminosos têm sucesso nas suas investidas apenas quando utilizam meios remotos. Em parte isso é verdade, já que a maioria das notícias publicadas pela mídia tradicional são as que falam sobre os ataques realizados pela Internet, redes sem fio, redes locais, etc.
Porém, cibercriminosos experientes que possuem um forte objetivo ou que têm um alvo específico a ser atacado podem utilizar técnicas que fogem do convencional. Um grande exemplo disso é quando há a necessidade de ir pessoalmente até a empresa alvo para dar o “pontapé inicial” na sua campanha de ataque.
Dispositivos USB, pen drives ou USB Flash Drives (como preferir chamar), podem ser grandes aliados do atacante, indo desde um simples pen drive conectado no computador da vítima até um extensor entre o teclado e o computador que grava tudo o que vítima digitar.
O Rubber Duck, por exemplo, é um dispositivo USB malicioso que realiza ataques de injeção de comandos pré definidos. Esses comandos podem permitir o acesso remoto ao computador da vítima e outras ações. Além dele, existem vários outros dispositivos USB com fins maliciosos – e que veremos outros logo adiante.
Mas para entender sobre os ataques envolvendo esses dispositivos é necessário entendermos a estrutura de funcionamento de dispositivos USB em geral.
Conhecendo a estrutura de um dispositivo USB
Um pen drive é composto basicamente por processador, bootloader, RAM, firmware, controlador USB, LEDs e a área de armazenamento em massa dentro do dispositivo.
Vamos aos principais:
Bootloader
É utilizado para carregar e armazenar o firmware (software fixo do dispositivo) na RAM durante a execução.
Controlador USB
Utilizado para gerenciar as consultas de leitura e gravação de dados realizadas na unidade de armazenamento em massa.
Armazenamento em massa
Dispositivos USB possuem uma classe de armazenamento em massa (MSC, Mass Storage Class), com o objetivo de permitir o acesso ao armazenamento interno. Uma outra classe chamada USB Attached SCSI veio para resolver problemas de desempenho do seu antecessor, permitindo assim o enfileiramento de comandos e conclusões incompletas para os dispositivos USB de armazenamento em massa.
Agora que você já conhece um pouco mais sobre como os dispositivos USB funcionam, chegou a hora de dar uma olhada em como estes dispositivos podem ser reprogramados para fins maliciosos.
O perigo da reprogramação de dispositivos USB
Os Descritores de Dispositivos USB (USB Device Descriptors) possuem informações sobre a identificação do produto e do fornecedor. Essa identificação é representada por um código hexadecimal de 16 dígitos. Essas informações são utilizadas para definir os tipos de dispositivos USB, como teclado ou mouse, e que podem ser reprogramadas por meio do firmware.
Temos aí um problema de segurança, já que o firmware poderá ser reprogramado para ser identificado pelo sistema operacional como se fosse outro dispositivo – como um teclado, por exemplo. A reprogramação do firmware em muitos dispositivos USB é possível devido à falta de proteção contra gravação.
O sistema operacional confiará cegamente no dispositivo falsificado após ele ter sido conectado ao computador e ter instalado o driver, podendo assim executar ações maliciosas.
Rubber Duck e os principais ataques realizados por dispositivos maliciosos
Rubber Duck
O Rubber Duck é uma solução comercial de ataque por injeção de comandos/pressionamento de teclas lançada em 2010. Estando conectado no computador da vítima, o Rubber Duck se “passará” por um teclado, que injetará uma sequência de pressionamento de teclas pré-definida. A partir daí, a principal forma de ataque é pelo acesso remoto ao computador atingido para capturar dados, por exemplo.
Plataforma de ataque PHUKD / URFUKED
É similar ao Rubber Duck, mas permite que o invasor escolha o horário em que as teclas maliciosas serão pressionadas.
USBdriveby
Permite instalar rapidamente e de forma secreta backdoors e altera as configurações de DNS em um computador com o OS X desbloqueado em questão de segundos, emulando um teclado e um mouse USB.
Alterar o DNS por meio do firmware modificado
Pesquisadores modificaram o firmware de uma unidade flash USB e a usaram para emular um adaptador de rede ethernet USB, permitindo que sequestrassem o tráfego local.
Patch para burlar proteção por senha
Uma pequena modificação do firmware de um flash drive USB permite que atacantes burlem os dispositivos USB protegidos por senha.
Patch de partição oculta
Pesquisadores já demonstraram como uma unidade flash USB poderia ser reprogramada para agir como um drive normal, mas criando uma partição oculta que não pode ser formatada – permitindo a exfiltração de dados.
Infecção de smartphones em pontos de carregamento de energia
Existem casos em que pontos de carregamento (aqueles onde você conecta seu smartphone em um dos diversos cabos USB) alterados maliciosamente infectam smartphones ou coletam informações sigilosas dos dispositivos!
Virus do setor de boot
Aqui temos um déjà vu, pois os primeiros vírus criados se disseminavam através dos antigos disquetes (3 ¼”, 5 ¼”, etc). Mas, falando sobre os dispositivos USB, pesquisadores utilizaram um flash drive USB para infectar um computador antes dele bootar (inicializar).
Backdoor USB em computadores Air-Gapped (isolados de qualquer rede)
Um ataque executado pelo malware Fanny, desenvolvido pelos hackers do Equation Group, utilizava um armazenamento USB oculto para armazenar comandos predefinidos que mapeavam computadores Air-Gapped. As informações coletadas eram salvas novamente no armazenamento oculto.
USB Killer
Danifica permanentemente os computadores ao inserir um dispositivo USB que inicia uma sobrecarga elétrica.
Como se proteger de ataques por USB
- Garanta a segurança física de computadores desktop ou servidores, para que pessoal não autorizado não possa conectar dispositivos USB aleatórios nos computadores. Além disso, bloqueie fisicamente as portas USB não utilizadas nesses sistemas e evite a remoção de HIDs (dispositivo USB para identidade segura) que já estão conectados;
- Não conecte pen drives desconhecidos em computadores críticos de uma organização. Essa é uma tática de engenharia social em que o invasor depende da curiosidade das pessoas para ter sucesso;
- Treine funcionários para que estejam cientes dos diferentes tipos de ameaças, incluindo os dispositivos USB maliciosos (como no Incidente La La Land);
- Não utilize o mesmo pen drive para computadores domésticos e da empresa. Fazer isso pode reduzir o risco de contaminação cruzada dos computadores;
- Utilize unidades USB com chaves de proteção contra gravação de hardware;
- Limite a quantidade de dados corporativos que podem ser armazenados em suas unidades USB;
- Utilize ferramentas corporativas que permitem ou negam a utilização de determinadas portas USB; e
- Mantenha seus computadores e smartphones/iPhones sempre atualizados.
Para saber mais:
- Security Research Labs: On Accessories That Turn Evil
- O Analista: Seu smartphone pode estar sendo hackeado enquanto estiver sendo carregado via USB
- Threat Vector: USB Devices Gone Rogue
- Bleeping Computer: Here’s a List of 29 Different Types of USB Attacks
Cyware: Understanding the threats and risk of USB Flash Drive
Profissional de Ethical Hacking e Cybersecurity formado pela UNICIV, com experiência em Pentest, resposta a incidentes, segurança digital e conscientização em segurança da informação. Além disso, gosto de escrever e repassar meu conhecimento para as outras pessoas. O conhecimento deve ser livre!