La defensa del patrimonio tecnológico

frente a los ciberataques

10 y 11 de diciembre de 2014

www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

Desmitificando Bad USB

VIII JORNADAS STIC CCN-CERT

Josep@eset.es

Josep Albors Director de comunicación

ESET España

@JosepAlbors

Blogs.protegerse.com

VIII JORNADAS STIC CCN-CERT

Karsten Nohl <nohl@srlabs.de> Sascha Krißler <sascha@srlabs.de>

Jakob Lell <jakob@srlabs.de>

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

Anatomía de un pendrive

Firmware

Almacenamiento

VIII JORNADAS STIC CCN-CERT

Anatomía de un pendrive

CPU 8051 INTEL

BOOTLOADER

Controladora USB

Firmware Área de datos

Memoria Flash

Espacio visible

para el usuario

VIII JORNADAS STIC CCN-CERT

Identificando un pendrive Conectores y Hubs USB Sistema

Root

hub

Identificador

Ejemplos

Pendrive Webcam

Clase de Interfaz 8 - Almacenamiento 1 - Audio

14 - Vídeo

Permisos 0 - Control

1 – Transferencia de datos 0 – Control

2 – Transferencia de vídeo

3 – Transferencia de audio

4 – Micrófono

Nº de serie AA657450230000000701 0247A240

VIII JORNADAS STIC CCN-CERT

Vectores de

Ataque

VIII JORNADAS STIC CCN-CERT

Suplantación de firmware

…

VIII JORNADAS STIC CCN-CERT

12

VIII JORNADAS STIC CCN-CERT

13

DATOS

Partición

Oculta

Malware

Robo de datos

Control remoto …

Instalación de malware

VIII JORNADAS STIC CCN-CERT

Persistencia

VIII JORNADAS STIC CCN-CERT

Interceptación del tráfico de red

Falso eth0

DHCP -- > DNS Srv

No Gateway

VIII JORNADAS STIC CCN-CERT

Operaciones malicionas desde móvil Android

Emula Eth sobre USB Atacante desvía el tráfico Atacante emula teclado Atacante infecta equipo

VIII JORNADAS STIC CCN-CERT

Posibles impactos reales en sistemas

VIII JORNADAS STIC CCN-CERT

Fabricantes afectados

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

Ataques dirigidos

VIII JORNADAS STIC CCN-CERT

Mitigando ataques

VIII JORNADAS STIC CCN-CERT

Mitigando ataques

Listas blancas de

dispositivos USB

Bloqueo de clases críticas

/ todos dispositivos USB

Análisis firm. periféricos

buscando malware

Firma del código para

actualizaciones de firm.

Desactivar actualizaciones

del firmware

Sugerencias Limitaciones

• Disp. USB no siempre tienen S/N único

• SO no tienen aun mecanismos de listas blancas

• Problemas de usabilidad

• Se pueden abusar de clases de dispositivos muy

básicos

• El firmware De un disp. USB normalmente solo

puede leerse con ese mismo firmware. Un

firmware malicioso puede suplantar uno auténtico

• El firmware De un disp. USB normalmente solo

puede leerse con ese mismo firmware. Un

firmware malicioso puede suplantar uno auténtico

• Simple y efectivo pero limitado mayoritariamente a

los nuevos dispositivos

VIII JORNADAS STIC CCN-CERT

Phoenix Ovipositor - Desarrollo español

Emulación de teclado y memoria USB

Keyloger simple (interno y externo)

Keylogger interno con módulo de

comunicaciones (Wifi, BT, ZigBee…)

Exfiltración de datos

Ataque a dispositivos Android como

dispositivo OTG (teclado + memoria)

Ataque a Android como dispositivo de

depuración

Síguenos en Linked in

E-Mails

ccn-cert@cni.es

info@ccn-cert.cni.es

ccn@cni.es

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

carmen@ccn-cert.cni.es

organismo.certificacion@cni.es

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es