desmitificando bad usb - the-eye.eu · conectores y hubs usb sistema root hub identificador...
Post on 11-Aug-2020
6 Views
Preview:
TRANSCRIPT
La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
Desmitificando Bad USB
VIII JORNADAS STIC CCN-CERT
Josep@eset.es
Josep Albors Director de comunicación
ESET España
@JosepAlbors
Blogs.protegerse.com
VIII JORNADAS STIC CCN-CERT
Karsten Nohl <nohl@srlabs.de> Sascha Krißler <sascha@srlabs.de>
Jakob Lell <jakob@srlabs.de>
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
Anatomía de un pendrive
Firmware
Almacenamiento
VIII JORNADAS STIC CCN-CERT
Anatomía de un pendrive
CPU 8051 INTEL
BOOTLOADER
Controladora USB
Firmware Área de datos
Memoria Flash
Espacio visible
para el usuario
VIII JORNADAS STIC CCN-CERT
Identificando un pendrive Conectores y Hubs USB Sistema
Root
hub
Identificador
Ejemplos
Pendrive Webcam
Clase de Interfaz 8 - Almacenamiento 1 - Audio
14 - Vídeo
Permisos 0 - Control
1 – Transferencia de datos 0 – Control
2 – Transferencia de vídeo
3 – Transferencia de audio
4 – Micrófono
Nº de serie AA657450230000000701 0247A240
VIII JORNADAS STIC CCN-CERT
Vectores de
Ataque
VIII JORNADAS STIC CCN-CERT
Suplantación de firmware
…
VIII JORNADAS STIC CCN-CERT
12
VIII JORNADAS STIC CCN-CERT
13
DATOS
Partición
Oculta
Malware
Robo de datos
Control remoto …
Instalación de malware
VIII JORNADAS STIC CCN-CERT
Persistencia
VIII JORNADAS STIC CCN-CERT
Interceptación del tráfico de red
Falso eth0
DHCP -- > DNS Srv
No Gateway
VIII JORNADAS STIC CCN-CERT
Operaciones malicionas desde móvil Android
Emula Eth sobre USB Atacante desvía el tráfico Atacante emula teclado Atacante infecta equipo
VIII JORNADAS STIC CCN-CERT
Posibles impactos reales en sistemas
VIII JORNADAS STIC CCN-CERT
Fabricantes afectados
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
Ataques dirigidos
VIII JORNADAS STIC CCN-CERT
Mitigando ataques
VIII JORNADAS STIC CCN-CERT
Mitigando ataques
Listas blancas de
dispositivos USB
Bloqueo de clases críticas
/ todos dispositivos USB
Análisis firm. periféricos
buscando malware
Firma del código para
actualizaciones de firm.
Desactivar actualizaciones
del firmware
Sugerencias Limitaciones
• Disp. USB no siempre tienen S/N único
• SO no tienen aun mecanismos de listas blancas
• Problemas de usabilidad
• Se pueden abusar de clases de dispositivos muy
básicos
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
• Simple y efectivo pero limitado mayoritariamente a
los nuevos dispositivos
VIII JORNADAS STIC CCN-CERT
Phoenix Ovipositor - Desarrollo español
Emulación de teclado y memoria USB
Keyloger simple (interno y externo)
Keylogger interno con módulo de
comunicaciones (Wifi, BT, ZigBee…)
Exfiltración de datos
Ataque a dispositivos Android como
dispositivo OTG (teclado + memoria)
Ataque a Android como dispositivo de
depuración
Síguenos en Linked in
E-Mails
ccn-cert@cni.es
info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
carmen@ccn-cert.cni.es
organismo.certificacion@cni.es
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
top related