BadUSB, en algún momento, debes de haber escuchado de esta nueva amenaza. Su nombre nos dice que es algo malo, relacionado con los USB, pero dime, ¿acaso los USB, no son los portadores de virus?
Supongo que por tal motivo, no le debes de haber tomado más importancia, debido a que sabes que las memorias USB, son las principales fuentes de infección en este mundo de compartir archivos. Sabes que desde esos virus Recycler, como los que te esconden tus archivos de la USB, así como aquellos que instalan malware mas fuerte, como puede ser un troyano, o un backdoor, debido a las opciones de autoplay.
¿Qué pasa con BadUSB?
Jueves. 9:00 am. Llegas como siempre a tu trabajo, lees tus correos, ves las reuniones programas, empiezas a trabajar…
Llegan las 2 de la tarda, la hora de la comida, y como todos los días, vas a la fonda(restaurante) de la esquina, donde comes felizmente, como cualquier otro día.
Sin embargo, este no es cualquier día. Regresando, encuentras en el suelo un USB, una memoria, y casualmente, esta tiene grabado o impreso el nombre y logo de tu empresa. Extrañado lo recoges, lo revisas, y encuentras una etiqueta que reza: RRHH. Bueno, ya sabes que pertenece a tus amigos de recursos humanos, de seguro, al nuevo, que se ve algo descuidado.
Sin embargo, no se lo entregas en el momento a recursos humanos, tienes una ligera curiosidad, acerca de que puede contener. Así que, mientras todos descansan de la comida, platicando y sin hacer mucho, metes la memoria a tu pc, y la abras, sin embargo, no encuentras más que algunos documentos de Word, otros de Excel, pero nada interesante.
Decepcionado, llevas la memoria a recursos humanos. La entregas, y ahí termina todo, no vuelves a saber de esa memoria. Ahí termina tu día. Te vas a casa y haces algo para distraerte.
Muchos pensaran: Bueno y ¿qué fue lo especial de este día?
Bueno, esa USB que encontraste, no era una USB cualquiera, es un USB modificada.
¿Cómo funciona una BadUSB?
Cuando conectas una USB, dentro tiene un firmware, que es un programa, que indica a la pc que tipo de dispositivo es, en este caso una memoria extraíble. Sin embargo, ese mismo firmware puede ser modificado, para hacerla parecer un teclado, un ratón, o cualquier otro dispositivo USB.
¿Qué pasa al conectar una BadUSB?
En un primer momento, salto el cuadro de dialogo, diciéndote que un nuevo dispositivo había sido conectado. Tú viste por un momento salir y cerrar una pantalla de cmd, y después de unos segundos, el dispositivo apareció como una memoria USB.
Lo anormal en esta situación, es esa pantalla de cmd.
Visto desde la parte del usuario, no pasó nada, pero detrás del telón, estaban ocurriendo cosas muy interesantes.
Cuando la memoria se conectó, se identificó como un teclado genérico USB, sin requerir más controladores, por lo cual el tiempo de carga del dispositivo fue prácticamente nulo. Después de identificarse como teclado, lo primero que hizo fue hacer una llamada de atajo de teclado, Windows + r, lo cual abrió rápidamente una ventana para la ejecución de programas, en esa ventana, el dispositivo mando las señales que mandaría un teclado para escribir, cmd, seguido de la tecla entre. De ese modo, pudo abrir una ventana de cmd, ahí uso otra serie de comandos, y después la cerro, o simplemente, ejecuto un copy paste de un archivo en memoria, o algún comando con mucha imaginación.
La ventana se cierra, y el enemigo, está en casa.
Después, le dice al sistema que es una memoria USB, y que puede abrir el dialogo de autoplay del sistema.
Esa es una opción, la otra, es que diga ser un concentrador USB, y muestre 2 dispositivos conectados, uno es un teclado USB, el otro una memoria.
Como se puede ver, los usos del BadUSB son múltiples.
Ahora, veamos la parte del atacante.
Este ataque, lo he planificado desde hace algunas semanas. He observado en la distancia a todos los empleados, viendo las posibles maneras de colarme en esta empresa.
Mi primer acercamiento, fue tratar de usar algo de ingeniería social, cosas como colarme después de la comida, justo cuando las personas están más relajadas. Sin embargo, después de dos días de observación, me doy cuenta de que no es posible, cada empleado tiene que pasar su tarjeta por un lector RFID, seguido de pasar por un puesto de control, por decirlo de una manera, donde siempre hay un guardia. Probablemente podría engañar al guardia, haciéndole creer que soy alguien nuevo, de otra sucursal. Pero no podría pasar el lector RFID. He visto que llegan algunas personas de otras sucursales, pero todas tienen una tarjeta igual, que pasa automáticamente en el lector. Podría clonar una tarjeta, pero me revelaría automáticamente la pantalla del guardia, donde aparece la información del empleado en cuestión.
Así que una entrada usando ingeniería social, está descartado.
Después pensé en mandar un correo con phishing, pero, todo el tráfico de la compañía está muy controlado, y ni siquiera sé a quién debo apuntar.
Mi última opción, es usar una especie de Hail Mary, dejar un medio portable en algún lugar por el que pasen algunos empleados. Dado que un CD llamaría la atención demasiado, y está prohibido usar esos medios en la mayoría de la empresas, tengo que usar una USB.
He visto como algunos empleados, llevan, junto a su identificación, una USB.
Llevo 5 días de vigilancia, y por fin ayer, pude hacerle una foto clara a una empleada, y con ello a la USB que porta, junto a su identificación.
La USB, no lleva ninguna etiqueta de marca, pero en cambio, veo que lleva el logo de la empresa xerografiado, junto con una etiqueta de papel que indica a que departamento pertenece.
Parece que encontré la manera de entrar. El problema, es que las USB que he visto, no son en nada parecidas a las que se venden en mi región. Hare algunas búsquedas en google, para ver que puedo encontrar de la empresa.
Día 9 de la vigilancia, he encontrado la marca y modelo de las memorias usadas, solo se venden en el país donde surgió la empresa. Sin embargo, una compra rápida al fabricante, y tengo mí pedido en menos de 2 días. Tengo que trabajar en el firmware de la memoria, para hacer el BadUSB.
Día 12, tengo la memoria, y ya trabaje en el firmware, ya lo he probado, y funciona a la perfección.
Sé que la empresa usa Windows 7, que a pesar de ser un sistema relativamente seguro bien configurado, no se puede defender de un ataque del propio usuario.
Así que el ataque va como sigue, he encontrado a un empleado no muy social, que siempre va a una fonda en la esquina, donde casi nadie más de la empresa va. Sigue el mismo camino cada día, por lo cual, puedo dejar la USB en un punto donde él se separa de sus compañeros, así el no sospechara de encontrar una memoria en ese punto.
Le entrara curiosidad al ver que dice RRHH, lo conectara, y ahí es donde el BadUSB, hará su trabajo.
Primero que nada, desactivar cualquier antivirus que tenga, después, cambiar la lista DNS, para que apunten a un server que me ayudara. Cambiar los derechos de algunos archivos, conectar a un server, descargar una versión “mejorada” de los mismos, cambiarlos, cambiar el registro. Después, reactivar el antivirus, y dejar que la magia de mis nuevos archivos haga el resto.
Día 16. Todo ha funcionado a la perfección, deje la memoria en ese lugar, en la recogió, y a los 30 minutos, se conectó a mi server y descargo los archivos.
Ahora cuento con acceso a todo el segmento de red, en el que está esta persona. Ciertamente, pensaba que al comer solo, seria algún directivo, o algo similar, que me daría acceso a datos muy valiosos, pero mira como han resultado las cosas. Esta persona trabaja, en el área de sistemas, así que tengo una vista envidiable de todo.
Seguiré haciendo un seguimiento, para ver qué datos más puedo encontrar.
Bueno como pueden ver, lo que parecía no ser nada más que una simple memoria, paso a ser la punta de lanza de un ataque que llego a involucrar a toda la empresa, dado que, después de ver que no contenía gran cosa, el empleado, la regreso a recursos humanos, donde la volvieron a conectar, llevando a tener 2 máquinas infectadas.
Conclusión.
Este tipo de ataques, ya se había visto antes, pero dada la nueva efectividad de los antivirus, ha ido cayendo en desuso. Sin embargo, esta nueva vulnerabilidad, no es algo que un antivirus, pueda mitigar fácilmente, dado que el ordenador pensara que es el usuario el que está haciendo el proceso. Y dado que la mayoría de las PC´s del mundo cuentan con un puerto USB al menos, es algo que afecta a todos por igual.
Lo único que podemos hacer ahora, es tener cuidado con lo que pasa después de conectar una memoria a nuestra PC.
Abajo, les dejo un poco mas de esta vulnerabilidad.
Link: Wikipedia, BadUSB.
