La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
Desmitificando Bad USB
© 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
www.ccn-cert.cni.es
VIII JORNADAS STIC CCN-CERT
Josep Albors
Director de comunicación
ESET España
[email protected]
@JosepAlbors
Blogs.protegerse.com
VIII JORNADAS STIC CCN-CERT
Karsten Nohl <
[email protected]>
Sascha Krißler <
[email protected]>
Jakob Lell <
[email protected]>
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
Anatomía de un pendrive
VIII JORNADAS STIC CCN-CERT
Firmware
Almacenamiento
Anatomía de un pendrive
VIII JORNADAS STIC CCN-CERT
Controladora USB
Memoria Flash
CPU 8051 INTEL
BOOTLOADER
Firmware
Área de datos
Espacio visible
para el usuario
Identificando un pendrive
Conectores y Hubs USB
Sistema
VIII JORNADAS STIC CCN-CERT
Identificador
Ejemplos
Pendrive
Clase de Interfaz
8 - Almacenamiento
Permisos
0 - Control
1 – Transferencia de datos
Nº de serie
AA657450230000000701
Root
hub
Webcam
1 - Audio
14 - Vídeo
0 – Control
2 – Transferencia de vídeo
3 – Transferencia de audio
4 – Micrófono
0247A240
VIII JORNADAS STIC CCN-CERT
Vectores de
Ataque
Suplantación de firmware
VIII JORNADAS STIC CCN-CERT
…
VIII JORNADAS STIC CCN-CERT
12
Instalación de malware
VIII JORNADAS STIC CCN-CERT
DATOS
Partición
Oculta
Malware
Robo de datos
Control remoto …
13
Persistencia
VIII JORNADAS STIC CCN-CERT
Interceptación del tráfico de red
VIII JORNADAS STIC CCN-CERT
DHCP -- > DNS Srv
No Gateway
Falso eth0
Operaciones malicionas desde móvil Android
VIII JORNADAS STIC CCN-CERT
Emula Eth sobre USB
Atacante desvía el tráfico
Atacante emula teclado
Atacante infecta equipo
Posibles impactos reales en sistemas
VIII JORNADAS STIC CCN-CERT
Fabricantes afectados
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
Ataques dirigidos
Mitigando ataques
VIII JORNADAS STIC CCN-CERT
VIII JORNADAS STIC CCN-CERT
Mitigando ataques
Sugerencias
Limitaciones
Listas blancas de
dispositivos USB
Bloqueo de clases críticas
/ todos dispositivos USB
Análisis firm. periféricos
buscando malware
Firma del código para
actualizaciones de firm.
• Disp. USB no siempre tienen S/N único
• SO no tienen aun mecanismos de listas blancas
• Problemas de usabilidad
• Se pueden abusar de clases de dispositivos muy
básicos
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
Desactivar actualizaciones
• Simple y efectivo pero limitado mayoritariamente a
del firmware
los nuevos dispositivos
VIII JORNADAS STIC CCN-CERT
Phoenix Ovipositor - Desarrollo español
Emulación de teclado y memoria USB
Exfiltración de datos
Keyloger simple (interno y externo)
Ataque a dispositivos Android como
dispositivo OTG (teclado + memoria)
Keylogger interno con módulo de
comunicaciones (Wifi, BT, ZigBee…)
Ataque a Android como dispositivo de
depuración
E-Mails
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
Síguenos en Linked in
Comentarios de: Desmitificando Bad USB (0)
No hay comentarios