Computer hacking via USB en AutoRun
USB apparaten zijn niet alleen gevaarlijk omdat je er heel veel vertrouwelijke documenten op kunt plaatsen die je dan weer kwijt kunt raken, als een aanvaller een gebruiker zover weet te krijgen om zijn USB apparaat aan te sluiten, kan de aanvaller de machine overnemen.
Een USB stick of iPod zou bijvoorbeeld van een script voorzien kunnen worden dat eenmaal aangesloten naar documenten zoekt, die naar het apparaat kopieert en ze dan verbergt als "verwijderde" bestanden. De aanvaller moet het USB apparaat wel weer in handen krijgen, maar een iPod of Mp3-speler als aanvalsvector is helemaal niet zo onwaarschijnlijk, zo laat Simon Garfinkel weten.
Deze auditors verspreidde bewust allerlei USB sticks binnen het bedrijf dat gecontroleerd moest worden. Het personeel vond de sticks en, zoals verwacht, werden ze aangesloten. Op deze manier wisten de auditors allerlei logins te verzamelen.
Het probleem kan voorkomen als de Windows AutoRun functie is uitgeschakeld. Standaard worden CD's en USB sticks door het Microsoft besturingssysteem gestart. Nu zijn er tal van manieren om dit te stoppen, door bijvoorbeeld de shift knop ingedrukt te houden.
In de jaren '90 had het Macintosh besturingssysteem ook z'n optie, die verwijderd werd nadat er een virus gebruik van had gemaakt. Volgens Bruce Schneier doet Microsoft er dan ook verstandig aan om het voorbeeld van Apple te volgen en de feature te verwijderen.
Het probleem kan voorkomen als de Windows AutoRun functie is
uitgeschakeld. Standaard worden CD's en USB sticks door het
Microsoft besturingssysteem gestart.
--
Ik geloof er nix van, er zijn wel USB sticks die zich
voordoen als een CD. Maar die van mij doet dat niet en dat
vind ik wel jammer. Dus niet alle USB sticks kunnen zomaar
een autorun.inf of iets dergelijks bevatten. Ik heb nog
geprobeerd om die drive bit o.i.d nog om te kunnen flashen,
maar dat was met niet gelukt..
Dit ter informatie
Dit werkt overigens niet alleen met CD's en USB sticks.. Ook network drives en fixed drives (Ja, inderdaad, je interne harddisk(en)) autorunnen.. Is al een jaar of 7-8 bekend..
http://msdn.microsoft.com/library/en-us/shellcc/platform/shell/programmersguide/shell_basics/shell_basics_extending/autorun/autoplay_cmds.asp
devices. Standaard wordt een memory-stick (of een externe
harddisk, of een i-pod) als 'writable device' gezien.
Hierdoor zal Windows, ook al staat autorun enabled, geen
autorun starten. Van een read-only device kan wel een
autorun worden gestart. Het probleem is dat Windows aan de
hand van een identifier die het USB-device zelf mee geeft.
Hierdoor kan je een (writable) USB-device zich voor laten
doen als een read-only device, en zo autorun mogelijk maken.
Er zijn USB-sticks op de markt die uit een deel bestaan dat
als 'read-only' wordt herkend en een deel dat writable is.
Hierdoor kan je een autorun van deze sticks doeen, en
vervolgens data op de stick laten zetten. Zelf gebruik ik
zo'n stick van Hagiwara (UD-RW), maar er zullen vast meerde
leveranciers zijn.
Het is mij ook nooit gelukt om een programma op een USB
stick automatisch te laten opstarten. Het zal vast wel om
een programma gegaan zijn de foto.jpg.exe of zo heette.
de simpele gebruiker vind het fantastisch; die hoeft niets meer te
doen.
Laten we eerlijk zijn, dit zijn de features waar microsoft groot mee
is geworden : gebruikers dom houden. en dat is helaas ook echt
wat ze zelf willen.
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun
Type Bit
DRIVE_UNKNOWN 0
DRIVE_NO_ROOT_DIR 1
DRIVE_REMOVABLE 2
DRIVE_FIXED 3
DRIVE_REMOTE 4
DRIVE_CDROM 5
DRIVE_RAMDISK 6
Een bitje op 1 betekent dat AutoRun uit staat..
Ik heb een externe USB harddisk.. Die is toch echt
read/write en start toch echt de autorun feature als ik 'm
inprik..
Wat versta je dan onder autorun? Een USB-harddisk geeft op
Windows idd een pop-up met de vraag of je bestanden wilt
openen, foto's bekijken enz. Maar een autorun.ini, van
waaruit je zonder tussenkomst van de gebruiker executables
kunt starten, wordt niet aangesproken vanaf een R/W-device.
je kan idd in je registry aangeven dat ook van R/W-devices
autorun mogelijk is, maar dat is geen default instelling, en
dus niet bruikbaar voor een in dit artikel besproken 'hack'.
heel veel vertrouwelijke documenten op kunt plaatsen die je
dan weer kwijt kunt raken...
Waar slaat dat nou weer op??
als je weet dat je kwijt zal raken dan zet je toch geen
"heel veel vertrouwelijke documenten" in? mischien is een
usb stick dan geen middel om je vertrouwde info te bewaren.
Dat betekent dus niet dat de usb apparaten gevaarlijk zijn.
in stoppen en hem dan kwijt raken.
heel veel vertrouwelijke documenten op kunt plaatsen die je
dan weer kwijt kunt raken...
Waar slaat dat nou weer op??
als je weet dat je kwijt zal raken dan zet je toch geen
"heel veel vertrouwelijke documenten" in? mischien is een
usb stick dan geen middel om je vertrouwde info te bewaren.
Dat betekent dus niet dat de usb apparaten gevaarlijk zijn.
Er gaat vrij veel data op, makkelijk in het gebruik, relatief goedkoop, klein, je laat ze makkelijk slingeren, ze vallen uit je zak/tas.. Misschien moet je de data versleutelen? Dan is het niet zo heel erg als je ze verliest..
Zet er vervolgens een AutoRun "phone home" programma op en je weet wie 'm gevonden heeft ;)
Dat kunnen ze dus wel.. Het is "gewoon" een mass-storage device.. Net
als een externe USB harddisk.. Ook die auto-runt als je 'm inprikt.. Heeft
niets met CD's (of het ISO9660 filesystem) te maken.
Dit werkt overigens niet alleen met CD's en USB sticks.. Ook network
drives en fixed drives (Ja, inderdaad, je interne harddisk(en)) autorunnen..
Is al een jaar of 7-8 bekend..
http://msdn.microsoft.com/library/en-us/shellcc/platform/shell/programmersguide/shell_basics/shell_basics_extending/autorun/autoplay_cmds.asp
Klopt helemaal. Ik weet wel dat Steganos een functie in de software had,
om deze autorun voor CD-roms uit te schakelen.
mogelijk om met een Ipod de gehele my documents leeg te 'slurpen' De
enige voorwaarde is dat op de PC in ingelogd binnen het
besturingssysteem. Veel bedrijven zien de gevaren niet van dit soort
apparatuur niet terwijl het aantal IPod gebruikers alleen maar toeneemt. Ik
zag ergens dat er een gratis 'tool' beschikbaar is om in kaart te brengen
welke apparaten zijn aangesloten. Safend Auditor volgens mij. Iemand
ervaring hiermee?
[url=http://www.microsoft.com/whdc/system/pnppwr/wmi/default.mspx]WMI[/url]
executable op de USB stick te zetten in de vorm van
ontzettend-lekker-wijf.jpg.exe
2e laag van social engineering dus ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
