desmitificando bad usb - the-eye.eu · conectores y hubs usb sistema root hub identificador...
TRANSCRIPT
![Page 1: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/1.jpg)
La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
Desmitificando Bad USB
![Page 2: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/2.jpg)
VIII JORNADAS STIC CCN-CERT
Josep Albors Director de comunicación
ESET España
@JosepAlbors
Blogs.protegerse.com
![Page 3: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/3.jpg)
VIII JORNADAS STIC CCN-CERT
Karsten Nohl <[email protected]> Sascha Krißler <[email protected]>
Jakob Lell <[email protected]>
![Page 4: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/4.jpg)
VIII JORNADAS STIC CCN-CERT
![Page 5: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/5.jpg)
VIII JORNADAS STIC CCN-CERT
![Page 6: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/6.jpg)
VIII JORNADAS STIC CCN-CERT
![Page 7: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/7.jpg)
VIII JORNADAS STIC CCN-CERT
Anatomía de un pendrive
Firmware
Almacenamiento
![Page 8: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/8.jpg)
VIII JORNADAS STIC CCN-CERT
Anatomía de un pendrive
CPU 8051 INTEL
BOOTLOADER
Controladora USB
Firmware Área de datos
Memoria Flash
Espacio visible
para el usuario
![Page 9: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/9.jpg)
VIII JORNADAS STIC CCN-CERT
Identificando un pendrive Conectores y Hubs USB Sistema
Root
hub
Identificador
Ejemplos
Pendrive Webcam
Clase de Interfaz 8 - Almacenamiento 1 - Audio
14 - Vídeo
Permisos 0 - Control
1 – Transferencia de datos 0 – Control
2 – Transferencia de vídeo
3 – Transferencia de audio
4 – Micrófono
Nº de serie AA657450230000000701 0247A240
![Page 10: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/10.jpg)
VIII JORNADAS STIC CCN-CERT
Vectores de
Ataque
![Page 11: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/11.jpg)
VIII JORNADAS STIC CCN-CERT
Suplantación de firmware
…
![Page 12: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/12.jpg)
VIII JORNADAS STIC CCN-CERT
12
![Page 13: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/13.jpg)
VIII JORNADAS STIC CCN-CERT
13
DATOS
Partición
Oculta
Malware
Robo de datos
Control remoto …
Instalación de malware
![Page 14: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/14.jpg)
VIII JORNADAS STIC CCN-CERT
Persistencia
![Page 15: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/15.jpg)
VIII JORNADAS STIC CCN-CERT
Interceptación del tráfico de red
Falso eth0
DHCP -- > DNS Srv
No Gateway
![Page 16: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/16.jpg)
VIII JORNADAS STIC CCN-CERT
Operaciones malicionas desde móvil Android
Emula Eth sobre USB Atacante desvía el tráfico Atacante emula teclado Atacante infecta equipo
![Page 17: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/17.jpg)
VIII JORNADAS STIC CCN-CERT
Posibles impactos reales en sistemas
![Page 18: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/18.jpg)
VIII JORNADAS STIC CCN-CERT
Fabricantes afectados
![Page 19: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/19.jpg)
VIII JORNADAS STIC CCN-CERT
![Page 20: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/20.jpg)
VIII JORNADAS STIC CCN-CERT
Ataques dirigidos
![Page 21: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/21.jpg)
VIII JORNADAS STIC CCN-CERT
Mitigando ataques
![Page 22: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/22.jpg)
VIII JORNADAS STIC CCN-CERT
Mitigando ataques
Listas blancas de
dispositivos USB
Bloqueo de clases críticas
/ todos dispositivos USB
Análisis firm. periféricos
buscando malware
Firma del código para
actualizaciones de firm.
Desactivar actualizaciones
del firmware
Sugerencias Limitaciones
• Disp. USB no siempre tienen S/N único
• SO no tienen aun mecanismos de listas blancas
• Problemas de usabilidad
• Se pueden abusar de clases de dispositivos muy
básicos
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
• El firmware De un disp. USB normalmente solo
puede leerse con ese mismo firmware. Un
firmware malicioso puede suplantar uno auténtico
• Simple y efectivo pero limitado mayoritariamente a
los nuevos dispositivos
![Page 23: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/23.jpg)
VIII JORNADAS STIC CCN-CERT
Phoenix Ovipositor - Desarrollo español
Emulación de teclado y memoria USB
Keyloger simple (interno y externo)
Keylogger interno con módulo de
comunicaciones (Wifi, BT, ZigBee…)
Exfiltración de datos
Ataque a dispositivos Android como
dispositivo OTG (teclado + memoria)
Ataque a Android como dispositivo de
depuración
![Page 24: Desmitificando Bad USB - the-eye.eu · Conectores y Hubs USB Sistema Root hub Identificador Ejemplos Pendrive Webcam Clase de Interfaz 8 - Almacenamiento 1 - Audio 14 - Vídeo Permisos](https://reader034.vdocuments.pub/reader034/viewer/2022042622/5fa9dc85e8f3d978af115d83/html5/thumbnails/24.jpg)
Síguenos en Linked in
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es