BadUSB: ''Nevidljivi'' malver u firmwareu USB uređaja

Vesti, 04.08.2014, 09:50 AM

Većina USB uređaja se može iskoristiti za infekciju kompjutera malverom na način koji ne može lako biti sprečen niti otkriven, upozorili su istraživači iz nemačke Security Research Labs čije je sedište u Berlinu.

Problem sa većinom USB fleš drajvova, a verovatno i sa drugim USB uređajima koji su u ovom trenutku dostupni na tržištu, leži u nezaštićenom firmwareu, softveru koji kontroliše osnovne funkcije USB uređaja.

To znači da firmware na USB memorijskom stiku može biti zamenjen zlonamernim programom koji u potpunosti može biti nevidiljiv za konvencionalne sigurnosne alate i operativni sistem.

Reprogramiranje USB uređaja može dovesti do toga da se inače bezopasan USB uređaj počne ponašati zlonamerno.

Reprogramirani uređaj, na primer, može oponašati tastaturu i kucanje na njoj i tako davati komande koje mogu, recimo, izvlačiti fajlove sa računara ili instalirati malver sa određene lokacije. Malver bi tako mogao da reprogramira i druge USB stikove koji se povežu sa kompjuterom, i na taj način delovati kao samoreplicirajući virus, upozorili su istraživači iz nemačke laboratorije.

Reprogramirani USB uređaj mogao bi oponašati mrežnu karticu i promeniti DNS podešavanja kompjutera da bi presumerio saobraćaj.

Izmenjeni USB fleš drajv ili eksterni hard disk bi, kada opazi da se kompjuter uključuje, mogao instalirati malver na računaru pre pokretanja operativnog sistema.

Da bi dokazali da je ovako nešto moguće, dvojica istraživača iz SR Labs, Karsten Nol i Jakob Lel, napisali su proof-of-concept kod koji su nazvali “BadUSB”, za koji tvrde da bezopasni USB uređaj može preobratiti u zlonamerni. Istraživači su razvili nekoliko proof-of-concept napada koje će prezentovati ove nedelje na konferenciji Black Hat koja se održava u Las Vegasu.

Istraživači kažu da nema efikasne zaštite od ovakve vrste pretnje zato što antivirusni proizvodi nemaju pristup firmwareu USB uređaja.

Oni ističu i da je detekcija ponašanja takođe ćorskokak, jer kada se maliciozni USB uređaj reprogramira tako da se ponaša kao uređaj druge vrste, mehnizam za monitoring sistema će samo zabeležiti da je novi USB uređaj priključen na računar.

Istraživači kažu i da je čišćenje nakon infekcije veoma teško. Jednostavno reinstaliranje operativnog sistema, što je uobičajeno za incidente sa neiskorenjivim malverima, ne rešava problem infekcije sa BadUSB. USB stik, sa kojim je operativni sistem reinstaliran, može biti već zaražen, kao i web kamera ili druga USB komponenta unutar računara. BadUSB može čak zameniti BIOS, kažu istraživači.

To praktično znači da kada se BadUSB jednom otkrije, sve USB uređaje koji su povezani sa računarom trebalo bi smatrati zaraženim.

Rešenje problema bi možda moglo biti u tome da USB mikrokontroleri zahtevaju da izmene firmwarea budu digitalno potpisane ili da se primeni neka vrsta hardveskog mehanizma za zaključavanje koji bi sprečavao prepisivanje firmwarea onda kada uređaj napusti fabriku u kojoj se proizvodi. Međutim, istraživači kažu da oni nisu videli takve zaštite ni u jednom USB stiku koji su testirali.

Trebalo bi podsetiti da se Stuxnet, malver koji je ciljao infrastrukturu iranskog postrojenja za obogaćivanje uranijuma Natanz, širio preko USB stikova koristeći 0-day ranjivost u Windowsu.

Takođe, prema dokumentima koje je medijima dostavio Edvard Snouden, američka obaveštajna agencija NSA koristila je Cottonmouth, uređaj za špijuniranje koji je bio maskiran u USB priključak i koji je mogao krišom instalirati malver na ciljanom računaru. Iako nema dokaza da je Cottonmouth primenjivao taktiku koji koristi BadUSB, takva mogućnost ipak postoji.

Pretnje kao što je BadUSB nisu samo potencijalan problem za kompjutere i laptopove. Mnogi elektronski uređaji se povezuju preko USB ili koriste USB za punjenje baterije. To znači da bi se ovakva vrsta napada mogla koristiti protiv svih takvih uređaja, uključujući i smart telefone.