PDF de programación - Desmitificando Bad USB

La defensa del patrimonio tecnológico
frente a los ciberataques

10 y 11 de diciembre de 2014

Desmitificando Bad USB

© 2014 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID

www.ccn-cert.cni.es

VIII JORNADAS STIC CCN-CERT


Josep Albors
Director de comunicación
ESET España



[email protected]

@JosepAlbors

Blogs.protegerse.com

VIII JORNADAS STIC CCN-CERT

Karsten Nohl <[email protected]>
Sascha Krißler <[email protected]>
Jakob Lell <[email protected]>

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

Anatomía de un pendrive

VIII JORNADAS STIC CCN-CERT

Firmware

Almacenamiento

Anatomía de un pendrive

VIII JORNADAS STIC CCN-CERT

Controladora USB

Memoria Flash

CPU 8051 INTEL

BOOTLOADER

Firmware

Área de datos

Espacio visible
para el usuario

Identificando un pendrive

Conectores y Hubs USB

Sistema

VIII JORNADAS STIC CCN-CERT

Identificador

Ejemplos

Pendrive

Clase de Interfaz

8 - Almacenamiento

Permisos

0 - Control
1 – Transferencia de datos

Nº de serie

AA657450230000000701

Root
hub

Webcam

1 - Audio

14 - Vídeo

0 – Control
2 – Transferencia de vídeo
3 – Transferencia de audio

4 – Micrófono

0247A240

VIII JORNADAS STIC CCN-CERT

Vectores de
Ataque

Suplantación de firmware

VIII JORNADAS STIC CCN-CERT

…

VIII JORNADAS STIC CCN-CERT

12

Instalación de malware

VIII JORNADAS STIC CCN-CERT

DATOS

Partición

Oculta

Malware
Robo de datos
Control remoto …

13

Persistencia

VIII JORNADAS STIC CCN-CERT

Interceptación del tráfico de red

VIII JORNADAS STIC CCN-CERT

DHCP -- > DNS Srv
No Gateway


Falso eth0

Operaciones malicionas desde móvil Android

VIII JORNADAS STIC CCN-CERT

Emula Eth sobre USB

Atacante desvía el tráfico

Atacante emula teclado

Atacante infecta equipo


Posibles impactos reales en sistemas

VIII JORNADAS STIC CCN-CERT

Fabricantes afectados

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

Ataques dirigidos

Mitigando ataques

VIII JORNADAS STIC CCN-CERT

VIII JORNADAS STIC CCN-CERT

Mitigando ataques

Sugerencias

Limitaciones

Listas blancas de
dispositivos USB

Bloqueo de clases críticas
/ todos dispositivos USB

Análisis firm. periféricos

buscando malware

Firma del código para
actualizaciones de firm.

• Disp. USB no siempre tienen S/N único
• SO no tienen aun mecanismos de listas blancas



• Problemas de usabilidad
• Se pueden abusar de clases de dispositivos muy

básicos



• El firmware De un disp. USB normalmente solo

puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico

• El firmware De un disp. USB normalmente solo

puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico



Desactivar actualizaciones

• Simple y efectivo pero limitado mayoritariamente a

del firmware

los nuevos dispositivos



VIII JORNADAS STIC CCN-CERT

Phoenix Ovipositor - Desarrollo español

Emulación de teclado y memoria USB

Exfiltración de datos

Keyloger simple (interno y externo)

Ataque a dispositivos Android como
dispositivo OTG (teclado + memoria)

Keylogger interno con módulo de

comunicaciones (Wifi, BT, ZigBee…)

Ataque a Android como dispositivo de

depuración

E-Mails

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es



Síguenos en Linked in