Blog Axur | Digital Risk Protection

Os perigos do Rubber Duck e outros crimes digitais pelo USB

Escrito por Ricardo Maganhati Junior | Aug 6, 2020 6:34:35 PM

Muitas pessoas acham que cibercriminosos têm sucesso nas suas investidas apenas quando utilizam meios remotos. Em parte isso é verdade, já que a maioria das notícias publicadas pela mídia tradicional são as que falam sobre os ataques realizados pela Internet, redes sem fio, redes locais, etc.

Porém, cibercriminosos experientes que possuem um forte objetivo ou que têm um alvo específico a ser atacado podem utilizar técnicas que fogem do convencional. Um grande exemplo disso é quando há a necessidade de ir pessoalmente até a empresa alvo para dar o “pontapé inicial” na sua campanha de ataque.

Dispositivos USB, pen drives ou USB Flash Drives (como preferir chamar), podem ser grandes aliados do atacante, indo desde um simples pen drive conectado no computador da vítima até um extensor entre o teclado e o computador que grava tudo o que vítima digitar.

O Rubber Duck, por exemplo, é um dispositivo USB malicioso que realiza ataques de injeção de comandos pré definidos. Esses comandos podem permitir o acesso remoto ao computador da vítima e outras ações. Além dele, existem vários outros dispositivos USB com fins maliciosos – e que veremos outros logo adiante.

Mas para entender sobre os ataques envolvendo esses dispositivos é necessário entendermos a estrutura de funcionamento de dispositivos USB em geral.

 

Conhecendo a estrutura de um dispositivo USB

Um pen drive é composto basicamente por processador, bootloader, RAM, firmware, controlador USB, LEDs e a área de armazenamento em massa dentro do dispositivo.

Vamos aos principais:

Bootloader

É utilizado para carregar e armazenar o firmware (software fixo do dispositivo) na RAM durante a execução.


Controlador USB

Utilizado para gerenciar as consultas de leitura e gravação de dados realizadas na unidade de armazenamento em massa.


Armazenamento em massa

Dispositivos USB possuem uma classe de armazenamento em massa (MSC, Mass Storage Class), com o objetivo de permitir o acesso ao armazenamento interno. Uma outra classe chamada USB Attached SCSI veio para resolver problemas de desempenho do seu antecessor, permitindo assim o enfileiramento de comandos e conclusões incompletas para os dispositivos USB de armazenamento em massa.

Agora que você já conhece um pouco mais sobre como os dispositivos USB funcionam, chegou a hora de dar uma olhada em como estes dispositivos podem ser reprogramados para fins maliciosos.

O perigo da reprogramação de dispositivos USB

 

Os Descritores de Dispositivos USB (USB Device Descriptors) possuem informações sobre a identificação do produto e do fornecedor. Essa identificação é representada por um código hexadecimal de 16 dígitos. Essas informações são utilizadas para definir os tipos de dispositivos USB, como teclado ou mouse, e que podem ser reprogramadas por meio do firmware.

Temos aí um problema de segurança, já que o firmware poderá ser reprogramado para ser identificado pelo sistema operacional como se fosse outro dispositivo – como um teclado, por exemplo. A reprogramação do firmware em muitos dispositivos USB é possível devido à falta de proteção contra gravação.

O sistema operacional confiará cegamente no dispositivo falsificado após ele ter sido conectado ao computador e ter instalado o driver, podendo assim executar ações maliciosas.

 

Rubber Duck e os principais ataques realizados por dispositivos maliciosos

 

Rubber Duck

O Rubber Duck é uma solução comercial de ataque por injeção de comandos/pressionamento de teclas lançada em 2010. Estando conectado no computador da vítima, o Rubber Duck se “passará” por um teclado, que injetará uma sequência de pressionamento de teclas pré-definida. A partir daí, a principal forma de ataque é pelo acesso remoto ao computador atingido para capturar dados, por exemplo.

 

Plataforma de ataque PHUKD / URFUKED

É similar ao Rubber Duck, mas permite que o invasor escolha o horário em que as teclas maliciosas serão pressionadas.


USBdriveby

Permite instalar rapidamente e de forma secreta backdoors e altera as configurações de DNS em um computador com o OS X desbloqueado em questão de segundos, emulando um teclado e um mouse USB.


Alterar o DNS por meio do firmware modificado

Pesquisadores modificaram o firmware de uma unidade flash USB e a usaram para emular um adaptador de rede ethernet USB, permitindo que sequestrassem o tráfego local.

Patch para burlar proteção por senha

Uma pequena modificação do firmware de um flash drive USB permite que atacantes burlem os dispositivos USB protegidos por senha.

Patch de partição oculta

Pesquisadores já demonstraram como uma unidade flash USB poderia ser reprogramada para agir como um drive normal, mas criando uma partição oculta que não pode ser formatada – permitindo a exfiltração de dados.

Infecção de smartphones em pontos de carregamento de energia

Existem casos em que pontos de carregamento (aqueles onde você conecta seu smartphone em um dos diversos cabos USB) alterados maliciosamente infectam smartphones ou coletam informações sigilosas dos dispositivos!

Virus do setor de boot

Aqui temos um déjà vu, pois os primeiros vírus  criados se disseminavam através dos antigos disquetes (3 ¼”, 5 ¼”, etc). Mas, falando sobre os dispositivos USB, pesquisadores utilizaram um flash drive USB para infectar um computador antes dele bootar (inicializar).

 

Backdoor USB em computadores Air-Gapped (isolados de qualquer rede)

Um ataque executado pelo malware Fanny, desenvolvido pelos hackers do Equation Group, utilizava um armazenamento USB oculto para armazenar comandos predefinidos que mapeavam computadores Air-Gapped. As informações coletadas eram salvas novamente no armazenamento oculto.

USB Killer

Danifica permanentemente os computadores ao inserir um dispositivo USB que inicia uma sobrecarga elétrica.

 

Como se proteger de ataques por USB

 

  • Garanta a segurança física de computadores desktop ou servidores, para que pessoal não autorizado não possa conectar dispositivos USB aleatórios nos computadores. Além disso, bloqueie fisicamente as portas USB não utilizadas nesses sistemas e evite a remoção de HIDs (dispositivo USB para identidade segura) que já estão conectados;
  • Não conecte pen drives desconhecidos em computadores críticos de uma organização. Essa é uma tática de engenharia social em que o invasor depende da curiosidade das pessoas para ter sucesso;
  • Treine funcionários para que estejam cientes dos diferentes tipos de ameaças, incluindo os dispositivos USB maliciosos (como no Incidente La La Land);
  • Não utilize o mesmo pen drive para computadores domésticos e da empresa. Fazer isso pode reduzir o risco de contaminação cruzada dos computadores;
  • Utilize unidades USB com chaves de proteção contra gravação de hardware;
  • Limite a quantidade de dados corporativos que podem ser armazenados em suas unidades USB;
  • Utilize ferramentas corporativas que permitem ou negam a utilização de determinadas portas USB; e
  • Mantenha seus computadores e smartphones/iPhones sempre atualizados.

 

Para saber mais:

Cyware: Understanding the threats and risk of USB Flash Drive