Video: Christmas Special | Vir the robot boy | Action Cartoon Video | Kids Cartoons | Wow Cartoons (Ekim 2024)
Bilgisayarınızda USB otomatik oynatmayı kapatmadıysanız, virüslü bir USB sürücüye takmanın sisteminize kötü amaçlı yazılım yükleyebileceği düşünülebilir. Uranyum temizleyici santrifüjleri Stuxnet tarafından havaya uçuruldu mühendisleri zor yoldan öğrendi. Yine de, otomatik olarak oynatılan kötü amaçlı yazılımların, USB cihazlarının silahlandırılmasının tek yolu olmadığı ortaya çıktı. Black Hat 2014 konferansında, Berlin merkezli SRLabs'dan iki araştırmacı, bir USB aygıtının denetleyici yongasını değiştirmeye yönelik bir teknik ortaya koymuş, böylece bir bilgisayarın kontrolünü ele geçirmek, verileri silmek veya kullanıcıyı gözetlemek için diğer çeşitli aygıt türlerini taklit edebiliyordu. ." Bu kulağa kötü geliyor, ama aslında, gerçekten de çok korkunç.
Karanlık tarafa dön
Araştırmacı Karsten Noll, paketlenmiş bir odaya konuşan, "Genelde gömülü güvenliğe odaklanan bir bilgisayar laboratuvarıyız" dedi. “Bu, ilk defa bir bilgisayar güvenliğine gömülü bir açıyla bakıyoruz. USB, kötü niyetli yöntemlerle nasıl yeniden konumlandırılabilir?”
Araştırmacı Jakob Lell bir gösteriye girdi. Bir USB sürücüsünü bir Windows bilgisayarına taktı; Tıpkı beklediğiniz gibi bir sürücü olarak ortaya çıktı. Ancak kısa bir süre sonra, kendisini bir USB klavye olarak yeniden tanımladı ve uzaktan erişim Trojanını indiren bir komut verdi. Bu alkış aldı!
Noll, "USB depolama alanındaki virüslerden bahsetmeyeceğiz" dedi. "Tekniğimiz boş bir diskle çalışıyor. Onu bile yeniden biçimlendirebilirsiniz. Bu, eklenebilir bir Windows güvenlik açığı değildir. Trojan'a değil konuşlandırmaya odaklandık."
Denetleyiciyi Kontrol Etme
Noll, "USB çok popüler" dedi. "Çoğu (tümü değilse) USB cihazlarının denetleyici yongası vardır. Asla yongayla etkileşimde bulunmazsınız, işletim sistemi de görmez. Ancak bu denetleyici" USB konuşur ".
USB yongası, aygıt türünü bilgisayara tanımlar ve bu işlemi herhangi bir zamanda tekrarlayabilir. Noll, bir aygıtın kendisini video için bir sürücüye, diğerine bağlı mikrofona sahip bir web kamerası gibi birden fazla olarak göstermesinin geçerli nedenlerinin bulunduğunu belirtti. Ve USB sürücülerin gerçekten tanımlanması zordur, çünkü seri numarası isteğe bağlıdır ve sabit bir formatı yoktur.
Lell, belirli bir USB denetleyicideki bellenimi yeniden programlamak için ekip tarafından atılan kesin adımların üzerinden geçti. Kısaca, donanım yazılımı güncelleme işlemini gözetlemek, donanım yazılımını tersine mühendislik yapmak ve ardından kötü amaçlı kodlarını içeren donanım yazılımının değiştirilmiş bir sürümünü oluşturmak zorunda kaldılar. Noll, "USB ile ilgili her şeyi bozmadık" dedi. "İki popüler denetleyici yongasını tersine mühendislikle yaptık. Birincisi iki ay, ikincisi bir ay aldı."
Kendinden Çoğaltma
İkinci demo için, Lell ilk demodan virüslü PC'ye yepyeni bir boş USB sürücü yerleştirdi. Virüslü PC boş USB sürücünün bellenimini yeniden programladı, böylece kendini kopyaladı. Ah hayatım.
Ardından, virüs bulaşmış sürücüyü bir Linux dizüstü bilgisayara bağladı ve kötü amaçlı kod yüklemek için görünürde klavye komutları verdi. Bir kez daha, demo izleyicilerden alkış aldı.
Şifreleri Çalmak
"Bu, bir USB'nin başka bir cihaz tipini yankıladığı ikinci bir örnekti, " dedi Noll, "ama bu buzdağının sadece görünen kısmı. Bir sonraki demonuzda, algılaması zor olan bir cihaz türü olacak şekilde bir USB 3 sürücüsünü yeniden programladık. Yakından izleyin, görmek neredeyse imkansız. "
Aslında, ağ simgesinin titremesini algılayamadım, ancak USB sürücüsü takıldıktan sonra yeni bir ağ ortaya çıktı. Noll, sürücünün şimdi bir Ethernet bağlantısı taklit ettiğini ve bilgisayarın DNS aramasını yeniden yönlendirdiğini açıkladı. Özellikle, kullanıcı PayPal web sitesini ziyaret ederse, görünmez bir şekilde bir şifre çalma sitesine yönlendirilirler. Ne yazık ki, demo iblisleri bunu iddia etti; işe yaramadı.
USB'ye güven
Noll, "Bir anlığına USB'ye verdiğimiz güven hakkında konuşalım" dedi. "Kullanımı kolay çünkü kullanımı kolay. Dosyaları USB üzerinden değiştirmek, şifrelenmemiş e-posta veya bulut depolama alanlarından daha iyidir. USB dünyayı fethetti. USB sürücüsünün virüs taramasını nasıl yapacağımızı biliyoruz. USB klavyeye daha fazla güveniyoruz. Bu araştırma Bu güveni yıkıyor. "
“Bu sadece birinin size bir USB verdiği durum değil” diye devam etti. "Aygıtı bilgisayarınıza bağlamanız virüs bulaşmasına neden olabilir. Son bir demo için en kolay USB saldırganı olan bir Android telefonu kullanacağız."
"Bu standart Android telefonu bilgisayara bağlayalım, " dedi Lell, "ve ne olduğunu görelim. Oh, aniden ek bir ağ cihazı var. PayPal'a gidip giriş yapalım. Hata mesajı yok, hiçbir şey yok. Ama yakaladık kullanıcı adı ve şifre! " Bu sefer, alkış gök gürültülü oldu.
"Android telefonun bir Ethernet cihazına dönüştüğünü tespit edecek misiniz?" diye sordu Noll. “Cihazınız kontrol ediyor mu veya veri kaybı önleme yazılımı bunu algılıyor mu? Deneyimlerimize göre çoğu yok.
Önyükleme Sektörünün İadesi
Noll, "BIOS, işletim sisteminden farklı bir USB numaralandırma türü yapıyor" dedi. "Bundan iki sürücü ve bir klavye taklit eden bir cihazla bundan faydalanabiliriz. İşletim sistemi yalnızca bir sürücü görecek. İkincisi, BIOS için görünür, ancak yapılandırması durumunda önyükleme yapacak. "Aygıttan önyüklemeyi etkinleştirmek için ne olursa olsun, belki de F12 tuşlarına basabiliriz."
Noll, rootkit kodunun işletim sisteminden önce yüklendiğini ve diğer USB sürücülerine bulaşabileceğini belirtti. “Bu bir virüs için mükemmel bir dağıtım” dedi. “Herhangi bir virüsten koruma yazılımı yüklenmeden önce bilgisayarda zaten çalışıyor. Önyükleme kesimi virüsünün geri dönüşü.”
Ne yapılabilir?
Noll, USB bellenimde bulunan bir virüsü temizlemenin oldukça zor olacağını belirtti. USB flash sürücüden çıkarın, USB klavyenizden yeniden geçebilir. Bilgisayarınızda yerleşik olan USB aygıtları bile virüslü olabilir.
Noll, “Maalesef basit bir çözüm yok. Neredeyse tüm koruma konusundaki fikirlerimiz USB'nin yararına müdahale eder” dedi. “Güvenilir USB aygıtlarını beyaz listeye ekleyebilir misiniz? Peki, USB aygıtlarının benzersiz şekilde tanımlanabildiğini söyleyebilirdiniz, ancak değiller.”
“USB'yi tamamen engelleyebilirsiniz, ancak bu kullanılabilirliği etkiler” diye devam etti. “Kritik cihaz türlerini engelleyebilirsiniz, ancak çok temel sınıflar bile kötüye kullanılabilir. Bunları kaldırın ve fazla bir şey kalmadı. Kötü amaçlı yazılım taraması yapılıyor mu? Ne yazık ki, bellenimi okumak için bellenimin kendisinin işlevlerine güvenmeniz gerekir, yani Kötü niyetli bir ürün yazılımı meşru olanı taklit edebilir. "
Noll, "Diğer durumlarda, satıcılar dijital imzaları kullanarak kötü amaçlı yazılım güncellemelerini engelliyor" dedi. "Ancak güvenli şifreleme, küçük denetleyicilerde uygulamak zordur. Her durumda, milyarlarca mevcut cihaz savunmasız kalmaktadır."
Noll, “Çalıştığımız uygulanabilir bir fikir fabrikada ürün yazılımı güncellemelerini devre dışı bırakmaktı” dedi. “Son adım, yazılımın yeniden programlanamamasını sağlayın. Yazılımda bile düzeltebilirsiniz. Daha fazla güncellemeyi engelleyen yeni bir ürün yazılımı yükseltmesi yapın. Güvenilir USB aygıtlarının bir kısmını geri alabiliriz. ."
Noll, burada açıklanan denetleyici modifikasyon tekniği için bazı olumlu kullanımlara işaret ederek tamamladı. “Bununla uğraşanlar için yapılacak bir durum var” dedi ve “güvenilir ortamlarda değil” dedi. Birincisi, hiçbir zaman eskisi gibi herhangi bir USB cihazına bakmayacağım.
