Ataques mediante memorias USB
(…Y antes deshabilitábamos las disqueteras)
Juan Manuel Canelada [email protected]
Conferencia FIST Mayo/Madrid 2008 @
Sponsored by:
Índice
• Presentación• Introducción• Tecnología U3• Payloads• Problemas en nuestro Entorno• Soluciones• Agradecimientos• Preguntas
Introducción
• Evolución imparable– USB 1.1 .. USB 2.0 .. U3 .. Papps
– 12Mbit/s (1.5MB/s) .. 480Mbit/s (60MB/s)– 256Mb .. ¿8Gb?
• Ubicuidad: ¿Quién no tiene uno?– Relojes, coches, perritos, bailarinas ….
• Promiscuidad: ¿Quién no ha ?
Introducción II
http://www.nopuedocreer.com/quelohayaninventado/1356/memoria-usb-perrito-caliente/
Tecnología U3
• Sandisk + M-Systems. 2005• Propietario• Almacenar software portable
– No instalación
– Pueden modificar el Registro– La normativa obliga a borrar pero …
Tecnología U3 (II)
• Componentes– LaunchU3.exe– LaunchPad.zip– Autorun.inf
• Resultado– Unidad de CD
(iso9660)– Unidad FAT
• SYSTEM oculta• Contiene las
aplicaciones
– El autorun hace el resto
Tecnología U3 (III)
• Hasta aquí todo bien pero …
• ¡¡ DEMO !!
• ¿Qué pasa si somos malos?– USBDumper
Payloads
• http://wiki.hak5.org/wiki/USB_Switchblade• Gonzor SwitchBlade
(http://gonzor228.com/)– http://wiki.gonzor228.com/index.php/Main_Pa
ge– SBConfig
• EnAble-Abel Switchblade Addition
– Crea una cuenta de administrador con acceso remoto (IUSR_ADMIN: password)
– Permite la conexión de Cain– ¡¡Funciona en Vista!!
Payloads (II)
• Universal
Customizer
– Permite modificar el payload
– Imágenes ISO– Copia de seguridad
del launcher original
http://www.u3community.com/viewtopic.php?t=434
Payloads (III)
Payloads (IV)
¡¡ Demo !!
Problemas Derivados
• Universidad
– Ordenadores de profesores• Login como administradores• Notas, exámenes, trabajos de investigación ….
– Entrega de prácticas en USB• promiscuidad
– Ordenadores de Aulas• Múltiples visitas
• A veces también profesores
• Comercios
• Oficinas Bancarias
• Juzgados
http://www.diarioinformacion.com/secciones/noticia.jsp?pRef=2008051700_13_755586__Elche-virus-tiene-paralizados-juzgados-ordenadores-limpiaran
Soluciones
• Desactivar autorunHKEY_LOCAL_MACHINE\SYSTEM\CurrentCo
ntrolSet\Services\Cdrom\AutoRun
• Deshabilitar los dispositivos USBHKEY_LOCAL_MACHINE\SYSTEM\CurrentCo
ntrolSet\Services\usbstor\Start 3�4
Denegar Full Control al grupo System
Soluciones (II)
• Windows SteadyStatehttp://www.microsoft.com/windows/products/win
family/sharedaccess/default.mspx– Gratuito
• GFI EndPointSecurityhttp://www.gfi.com/endpointsecurity/
• CenterTools DriveLockhttp://www.ubm-
global.com/drivelock/dlmain.htm
Windows SteadyState
Agradecimientos
Rafael Calzada PradasÁrea de Seguridad UC3M
¿Preguntas?
Muchas Gracias por su atención
Creative Commons
Attribution-NoDerivs
2.0
Attribution. You must give the original author credit.
For any reuse or distribution, you must make clear to others the license terms of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
You are free:
•to copy, distribute, display, and perform this work
Under the following conditions:
No Derivative Works. You may not alter, transform, or build upon this work.
Top Related