Arsenal Red Team – Episode 7 : Le HUB USB malveillant

Arsenal Red Team – Episode 7 : Le HUB USB malveillant

Avez-vous déjà branché à votre poste la souris et le ventilateur USB que vous avez reçu en goodies au FIC en Janvier ou chargé votre lampe USB de vélo (achetée à bas prix sur un site hors d’Europe) au boulot car votre batterie était à plat ?

Si oui, avant ça, les avez-vous démonté afin de vérifier qu’aucune charge malveillante n’avait été embarquée à l’intérieur ?

Non ?
C’est bien dommage car les attaques HID (Human interface device) représentent un risque de plus en plus important, en particulier pour des attaques ciblées. Grâce à leur coût dérisoire, comme nous l’avons vu dans l’épisode 4 il est possible pour 2$ de créer des périphériques chargés, à déposer n’importe où. De plus elles permettent de passer à travers de nombreux équipements de sécurité (IDS, IPS, pare-feu, antispam et antivirus en particuliers).

Dans l’épisode 5, nous découvrions le Rubber Ducky wifi.

Et s’il était possible d’embarquer un Rubber Ducky wifi dans un HUB USB ?

Pourquoi le HUB USB ? 

  • Il y a de la place à l’intérieur pour y ajouter facilement des composants additionnels
  • Il est possible de le piéger tout en conservant son fonctionnement originel (pour rester discret), et sans avoir besoin de réaliser de la rétro-ingénierie du circuit (un multimètre suffit)
  • Il est alimenté en 5V et relié au poste ciblé : tout ce dont nous avons besoin pour le Rubber Ducky Wifi 

Après quelques vérifications de tension au multimètre, nous soudons directement le Rubber Ducky Wifi sur le HUB USB via ses ports GPIO:

 

Nous refermons et nous obtenons un périphérique parfaitement normal d’aspect extérieur, avec possibilité de délivrer des charges malveillantes au branchement du hub, ou à la demande via un hotspot wifi caché, démarré lors du branchement :

Image

Quelques exemples de scénarios possibles avec ce gadget :

  • Le distribuer en cadeau
  • Le déposer à terre dans les couloirs, ou sur des bureaux, à portée des cibles choisies
  • L’envoyer par courrier à une personne ciblée
  • Le vendre à bas prix sur tout site marchand, dans le cas d’une attaque non ciblée ou si l’on cherche à lancer une campagne d’infection de botnet par exemple (scénario déjà utilisé depuis au moins 2014 )

Pour l’équipe blueteam, il existe malheureusement peu de solutions viables et peu coûteuse, à part la surveillance du poste utilisateur :

  • Le blocage par les identifiants VID (Identifiant vendeur) et PID (Identifiant produit)
  • La détection d’installation de pilotes USB
  • La détection des charges malveillantes

Sachant que ces méthodes peuvent être contournées si l’attaquant est déterminé, en utilisant des noms de périphériques autorisés (claviers USB régulièrement utilisés dans l’entreprise) et en modifiant la charge malveillante (encodage, chiffrement, imitation du comportement « normal » de l’utilisateur ciblé, utilisation de composants officiels Microsoft…).

Dans l’idéal il faudrait contrôler au niveau hardware et software tous les périphériques achetés et branchés aux postes utilisateur, ce qui n’est malheureusement pas réalisable dans toute entreprise.

Prochaine étape : l’implémentation d’un pont 4G pour contrôler notre outil depuis n’importe quelle distance :)

 

Jérémy L, Auditeur Sécurité, Advens