martes, mayo 25, 2010

Ataques USB con tecnología U3
por Rafael Montero

Uno de los alumnos del Master Universitario de Seguridad en Tecnologías de la Información y las Comunicaciones de la UEM de este año ha hecho un trabajo sobre los ataques USB. Así que, como ha sido aplicado, y se ha currado bien la parte de U3, os lo dejo aquí publicado.

Saludos Malignos!

Introducción

A continuación se describen los diversos ataques que se pueden llevar a cabo mediante dispositivos de almacenamiento USB U3. Estos ataques consisten en la mayoría de casos, en el robo de información del ordenador donde se conecta el dispositivo USB, pero también es posible la instalación de puertas traseras con la finalidad de tomar un mayor control sobre el ordenador.

La vulnerabilidad

El ataque es posible realizarlo debido a la opción Autorun que hasta Windows XP SP3 permanecía activada por defecto. Dicha opción habilita al Sistema Operativo a ejecutar sentencias y programas automáticamente una vez se ha introducido el CD/DVD en el ordenador. El Sistema Operativo lee el fichero Autorun.inf contenido en el directorio raíz del CD/DVD donde se especifica qué ejecutar. De esta manera, por ejemplo, sería posible instalar programas que registren las pulsaciones introducidas en el ordenador y posteriormente enviarlas por correo electrónico.

El ataque

Los dispositivos con tecnología U3 contienen una partición que simula ser una unidad de CD-ROM virtual. Este tipo de dispositivos permiten la ejecución de programas directamente desde el dispositivo, sin necesidad de instalación en el equipo al que se conecta. Así pues, además de contener la unidad de CD-ROM virtual que normalmente suele ser bastante pequeña en tamaño, contiene una partición mayor donde se almacenan las aplicaciones a ejecutar.

Dicho esto, la característica que se va a aprovechar es la de auto ejecución al insertar un CD-ROM, que en nuestro caso se tratará del dispositivo USB con la unidad virtual. Como se ha explicado antes, esta opción se encuentra activada por defecto en las versiones del Sistema Operativo Windows anteriores a la versión XP SP2 y permite la ejecución de las sentencias que se especifiquen en el fichero Autorun.inf, cosa que hará innecesaria la actuación del usuario para la ejecución de cualquier sentencia o programa en el equipo.

Herramientas disponibles

Para llevar a cabo el ataque, lo primero que se debe hacer es modificar el contenido de la unidad de CD-ROM virtual con la finalidad de que ejecute lo que nosotros queramos. Esto se puede llevar a cabo mediante una serie de herramientas disponibles las cuales se describirán a continuación:

- Universal U3 LaunchPad Hacker: Esta herramienta nos permite reemplazar el contenido de la unidad de CD-ROM virtual por una imagen ISO personalizada por nosotros con aplicaciones destinadas al Slurping o robo de información. Cabe destacar que en la otra partición del disco duro, en la que es posible la escritura, se crea de manera oculta un directorio con los datos del programa.

Las aplicaciones que se incluyen son SwitchBlade y Hacksaw, cabe destacar que algunas funcionalidades incluidas en estos payloads requieren permiso de administración para su correcta ejecución.

- SwitchBlade: Utiliza herramientas conocidas como pwdump, mailpassview entre otras para el robo de información.

Una vez es conectado el dispositivo USB a un equipo típico con Windows XP SP2 o anterior, en aproximadamente 30 segundos el programa habrá copiado al dispositivo datos sensibles del sistema como por ejemplo claves de registro de productos de Microsoft, lista de parches de seguridad instalados, hashes de contraseñas SAM, contraseñas almacenadas en la caché del equipo, contraseñas almacenadas en navegadores web, historial de navegación, etc.

- Hacksaw: Este payload es similar al anterior pero añade algunas funciones más interesantes como:

a) Instala en el sistema un programa que se inicia automáticamente al iniciar el Sistema Operativo el cual se encarga de recopilar datos sensibles como contraseñas, caché, historiales, etc., comprimirla y enviarla a un dirección de correo electrónico configurada por el atacante.

b) Instala una herramienta de escritorio remoto llamada VNC, que permite al atacante administrar remotamente el equipo.

c) Ejecuta un escaneo de la red local a la que el equipo está conectado obteniendo un mapa de red que se enviará por correo electrónico al atacante.

Ejemplo

A continuación se describe el proceso de configuración del dispositivo USB con la herramienta GonZors SwitchBlade y la realización del ataque.

1. Descargar Universal Customizer y GonZors SwitchBlade y se extraen.

2. Mediante la herramienta Universal Customizer se modifica la imagen de la unidad CD-ROM virtual del dispositivo USB. Para ello se copia el fichero U3CUSTOM.ISO del directorio GonZors al directorio BIN de Universal Customizer y se ejecuta el programa Universal Customizer.

3. Se copia el fichero SBConfig.exe (ver Figura 1) del directorio GonZors a la partición USB de escritura del dispositivo USB. Una vez hecho esto se ejecuta y se guarda la configuración del payload.


Figura 1: SBConfig.exe

Una vez se han realizado los pasos descritos anteriormente, se introduce el dispositivo USB en un equipo víctima. Aparecerán las unidades de disco siguientes:


Figura 2: Unidad U3

En el contenido de la unidad I: se encuentran los programas que extraerán la información sensible del sistema. A continuación se muestran los ficheros y carpetas de ésta:


Figura 3: Programas creados necesarios para el ataque

El fichero Autorun.inf es el ejecutado al reproducirse automáticamente el dispositivo, éste a su vez ejecuta GO.VBS el cual finalmente ejecuta las aplicaciones contenidas en el directorio SYSTEM.


Figura 4: Log de datos recogido

Una vez se ha ejecutado el payload, el fichero creado en la unidad J: posee el aspecto siguiente:


Figura 5: Datos extraidos


Donde se encuentran almacenada distinta información sensible como hashes de contraseñas, números de serie de productos, etc...

6 comentarios:

Anónimo dijo...

Este año no hay post informativo sobre los resultados de las pre-quals del CTF de la DefCon?
saludos

Anónimo dijo...

Y los antivirus no entran en def con dos???

Alejandro Ramos dijo...

¡Genial! Buen artículo Rafa, enhorabuena.

Rafael dijo...

Thx dab! ;)

H dijo...

Muy bien Rafael Modesto! al final ha quedado bastante curioso

pero al final no conseguiste sacarme nada de mi pc...

pta: el go.vbs me hace daño a la vista

pta2: dab no le alabes los artículos que luego viene crecido a clase y no hay quién le aguante!

Anónimo dijo...

Hola, hice todo lo del Gonzors y el otro programita en un U3, pero no encuentro el log .txt. ¿ Donde se almacena ?, ¿ como lo puedo ver ?.

Eleven Paths Blog

Seguridad Apple

Entradas populares