Un ataque de BadUSB consiste básicamente en reprogramar un dispositivo USB de uso común (normalmente un pendrive basado en algún microcontrolador reprogramable cuya arquitectura sea conocida) para que actúe de forma maliciosa.
Usar dispositivos USB para actividades maliciosas ya era una técnica ampliamente conocida, como fue comentado en charlas, por ejemplo:
- Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
- Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.
Todos estos ataques implican por si solos un riesgo para los equipos, pero existen ya múltiples medidas de seguridad para evitarlos.
El propio hecho de reprogramar un dispositivo USB legítimo para que actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.
Pero extender esta técnica a cualquier dispositivo USB cuyo firmware cuente con capacidad para ser actualizado, es lo que empieza a convertir esta idea en peligrosa.
Y lo que acaba convirtiendo a un ataque BadUSB en algo realmente temible es la posibilidad de utilizar de forma combinada estas técnicas y reprogramar varios dispositivos USB legítimos aparentemente inocuos para convertirlos en un ataque combinado.
Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:
- La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
- Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
- La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.
Combinando esta técnica con distintos tipos de dispositivos, podemos encontrar escenarios de ataque bastante serios, como por ejemplo utilizar un pendrive como el vector de entrada inicial para una infección y utilizar algún dispositivo que esté conectado de forma permanente al equipo (por ejemplo una webcam o una impresora) como vector de permanencia de la infección. Por ejemplo: haciendo que el dispositivo detecte cuando el equipo está arrancando para convertirse en un pendrive bootable que cargue una versión modificada del sistema operativo.
Se podría incluso hacer que trabajen en modo anti-forense, si el microcontrolador lo permite, el dispositivo podría pasar a funcionar en su estado original o borrarse a sí mismo una vez conseguida la infección.
Es por tanto probable que en poco tiempo empecemos a ver casos reales del uso combinado de varios dispositivos infectados de este tipo funcionando como implantes, al estilo de los sugeridos en el catálogo ANT de la NSA.
Fuente: S21sec assessment
________________________________________________________________
Tomado de:http://blog.segu-info.com.ar/2014/10/el-verdadero-peligro-de-badusb.html#el-verdadero-peligro-de-badusb
Se respetan derechos de autor.