Técnicas de ataque mediante dispositivos USB

Anteriormente he publicado post sobre seguridad en dispositivos USB como auditarlos y como bloquearlos, en este post voy a exponer dos técnicas de ataque con dispositivos USB para mostrar algunos de los riesgos que suponen estos dispositivos.

La primera técnica: el ataque proviene del dispositivo USB y afecta al sistema.

Consiste en una aplicación, USB Switchblade, guardada en USB, este USB se introduce en la maquina victima y se ejecuta mediante la reproducción automática de dispositivos. Esta aplicación recoge información de la maquina victima: secretos LSA, contraseñas de Windows, dirección IP, puertos abiertos, contraseñas de correo, historiales de navegación, contraseñas guardadas en el navegador, serials de aplicaciones instaladas… Además crea una cuenta con privilegios de administración y un servicio oculto VNC para poder controlar dicha maquina.

El funcionamiento de esta aplicación se basa fundamentalmente en una vulnerabilidad de Windows en dispositivos con tecnología U3. La tecnología U3 admite la ejecución de aplicaciones directamente desde el dispositivo de almacenamiento USB y sin dejar rastro alguno. Esta tecnología cuenta con dos particiones: la primera es para el sistema operativo, un medio de almacenamiento extraíble; la otra, una partición muy pequeña, se considera como una unidad de CD-ROM virtual. Windows XP con SP2 tiene una función de ejecución automática habilitada por defecto, por lo que el solo hecho de insertar este dispositivo USB, y sin ningún tipo de intervención por parte del usuario, lanzará un menú. A través de este menú se carga USB Switchblade que se encarga romper los secretos LSA y romper los Windows LM hashes que contiene las contraseñas de los usuarios de Windows. Además esta aplicación esta sometida todos los meses a pruebas de morphing para evadir los antivirus.

La mejor forma de prevenir esta técnica es deshabilitar la ejecución automática, de estas dos formas:


Ir a inicio, ejecutar y escribir, gpedit.msc, y en la ventana que se abra seleccionar en Directiva Equipo Local > Plantillas de administración >sistema > desactivar reproducción automática >clic derecho > propiedades, después marcar en habilitada y debajo seleccionar todas las unidades y aceptar los cambios, que sólo tendrán efecto cuando se reinicie el sistema.
O modificar la siguiente clave de registro: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbstor\start

La segunda técnica: el infectado es el sistema y la victima el dispositivo USB.

Se trata de una aplicación llamada USB Dumper que instalada en un sistema Windows, se dedica a copiar toda las información de los dispositivos USB que se insertan en dicho sistema, sin que el usuario se entere. Existe una modificación actual de esta aplicación llamada USB Hacksaw que además de capturar la información del dispositivo la envía vía SMTP a una cuenta que se le configure, además de incluir la opción de cargar datos en el dispositivo USB para infectar sistemas.

Más información y descarga de USB Switchblade:
http://www.usbhacks.com/2006/10/07/usb-switchblade/

Más información y descarga de USB Dumper:
http://www.usbhacks.com/2006/10/06/usb-dumper/

Más información y descarga de USB Hacksaw:
http://www.usbhacks.com/2006/10/07/usb-hacksaw/

Auditar uso de dispositivos USB, FireWire y PCMCIA:
http://vtroger.blogspot.com/2006/09/audita...itivos-usb.html

Ver todos los dispositivos USB que fueron conectados en Windows:
http://vtroger.blogspot.com/2008/03/ver-to...os-usb-que.html

Seguridad de documentos en dispositivos USB:
http://vtroger.blogspot.com/2006/05/seguri...umentos-en.html

Bloquear dispositivos USB en Windows XP/2000/2003:
http://vtroger.blogspot.com/2006/05/bloque...en-windows.html

Fuente:
http://seguinfo.blogspot.com/2008/04/tcnic...spositivos.html
http://vtroger.blogspot.com/2008/04/tcnica...spositivos.html