8:38
8/2/2011

Ataki USB Autorun na Linuksa

Poniżej zapis prezentacji, jaką Jon Larimer z IBM-owego teamu X-Force dał na konferencji ShmooCon 2011.

Autorun na Linuksie

Larimer wyjaśnia w jaki sposób atakujący mogą skorzystać z funkcji autorun w systemach Windows i Linux tak, aby przejąć kontrolę nad komputerem użytkownika. Dodatkowym bonusem prelekcji jest opis tego, jak ataki przy pomocy dysków USB mogą pomóc w omijaniu ASLR.

Wykład zaczyna się w ok. 2 minuty, a autorun pod Windowsem wyłącza się tak.

P.S. Nie zapominajmy, że będąc blisko opuszczonej stacji roboczej, często szybciej niż przez USB, maszynkę pwndniemy przez …FireWire :)

Przeczytaj także:


28 komentarzy

Dodaj komentarz
  1. Ten kto wymyślił autorun musiał być niezłym idiotą

  2. jovisch – calkowicie sie zgadzam.

  3. jovisch – Nie, nie, nie… idiotami są Ci którzy ten pomysł wykorzystali i powielili :D oraz Ci którzy nie wyłączyli go na swoim systemie :D

  4. Piotrek coś więcej o tym FireWire? ;) Bo zawsze był link a teraz nie ma :<

    • naresh: błąd.
      Hmm: Googlnij za firewire exploit, tl;dr: dostęp do pamięci.

  5. Wydaje mi się, że z tym FireWire to taka “kryptoakcja uświadamiająca”. FireWire jest szybszy od standardu USB (przynajmniej od standardów USB 2.0). USB 3.0 chyba właśnie dogoniło standard FireWire (po ilu latach? tego nie wiem)

  6. Autorun to wygodny wynalazek, ale jak większość takich uwygodnień jest niebezpieczny.
    Nie zawsze to działa i już parę razy złapałem jakieś paskudztwo, więc teraz mam wyłączonego.

  7. A mnie zabezpieczyło lenistwo (-;
    Do dziś nie skonfigurowalem Gentoo poprawnie, i gdy wkładam płytę/pendrive/etc. to dostaję w gnome komunikat “Nie można zamontować – brak uprawnień”.

  8. Na swoich pendrivach mam katalog autorun.inf z plikiem o nazwie z nielegalnymi znakami(info_’o+s) – podobno pomaga – jeśli nie pomaga to powiedzcie. Dzięki temu nie muszę uniemożliwiać korzystania z USB ani mapowania dysków

  9. A ja uzywam panda usb vaccine na winzgrozie i mam peny pozabezpieczane ;) zapisuje tak autorun ze nie mozna go zmodyfikowac ani nadpisac..

  10. Właśnie mój kolega ostatnio zarażony został i przez pendriva zrobił epidemie na osiedlu.
    Malware jedno a jak szybko się rozpszestrzenia poprzez głupote :)

  11. Ubuntu ma autorun domyślnie wyłączony, video mówi że można mimo to dokonać wykorzystując błąd w evince.

    Na forum Ubuntu piszą, że błąd już jest poprawiony:

    evince (2.32.0-0ubuntu1.1) maverick-security; urgency=low

    * SECURITY UPDATE: arbitrary code execution via multiple dvi backend
    overflows
    – debian/patches/02_CVE-2010-264x.patch: add bounds checking in
    backend/dvi/mdvi-lib/{afmparse,dviread,pk,tfmfile,vf}.c.
    – CVE-2010-2640
    – CVE-2010-2641
    – CVE-2010-2642
    – CVE-2010-2643
    — Marc Deslauriers Mon, 03 Jan 2011 11:38:25 -0500

    Czy jestem już bezpieczny?

  12. O nie, czyżby zaczynała się era częstszych ataków i O ZGROZO wirusów na linuxy?

  13. @blad, Nieusuwalny katalog autorun.inf zabezpieczy cię przed złapaniem wirusa na twoje pendrivy ale weź jeszcze pod uwagę to, że czasem wsadzasz do komputera obce nośniki.

  14. @freeze, ja używam AutorunProtector (pewne źródło: http://raylin.wordpress.com/downloads/autorun-protector), który jest o tyle skuteczniejszy od Pandy, że pozwala zabezpieczać również dyski twarde.

  15. te wasze nieusuwalne pliki są z łatwością usuwane spod linuksa. Aż sie prosi o multisystemowego expl..

  16. Ja się tylko zastanawiam, po co kombinujecie z tymi autorun.inf – nie wystarczy mieć antywira, głowę na karku i trochę myśleć ?

  17. Autorun jako otwarcie katalogu ma sens. Autorun jako odpalenie app – NIE.

    Ponadto: nie wiem skad to sianie FUDu. Autorun w *nixach jest malo szkodliwy nawet, jesli odpala appy, bo moze sobie najwyzej naszkodzic w /home, /tmp …
    W windowsie to zupelnie inna bajka. Nie lubie “zastraszajacych uogolnien” i wprowadzania cichaczem przerazenia.
    Logiczna zasadnosc takiego zabiego jest mi nieznana, a przypomina forma cos takiego:

    “W wyniku badan stwierdzono, ze jazda samochodem jest niebezpieczna z powodu wysokich predkosci. Jazda rowerem rowniez jest niebezpieczna.”

  18. @Heinrich:
    nie wiem skad to sianie FUDu. Autorun w *nixach jest malo szkodliwy nawet, jesli odpala appy, bo moze sobie najwyzej naszkodzic w /home, /tmp …

    Najwrażliwsze z punktu widzenia użytkownika zasoby znajdują się w ~/. Kradzież haseł np. z przeglądarek lub klientów poczty, instalacja szkodliwych rozszerzeń czy nawet samodzielnego malwareu będzie zazwyczaj opierać się na dostępie do katalogu domowego. Czy dla użytkownika istnieje coś cenniejszego niż jego (prywatne/poufne) informacje? Jeżeli GNU/Linux ma być systemem dla kogoś więcej garstki geeków z nadmiarem wolnego czasu to nie jest to bynajmniej FUD…

  19. @morsik 2011.02.08 11:54 | #
    Ja mam to samo, też Gentoo i też brak autorunu – ale autorunu nawet nie chciałem skonfigurować ;-)

  20. @Heinrich
    Slyszales o ptrace i podmienianiu parametrow sys_execve gdy uruchamiasz su/sudo? ;)

  21. @Heinrich: Tak,tak…Strata haseł zapisanych w przeglądarce to absolutnie żadna strata, bo te dane oczywiście nie są zapisywane w /home/ i nic im nie grozi, bo każdy stosuje hasło główne, którego złamanie to zawsze długo, zwłaszcza gdy ktoś ma botnet składający się z kilkuset komputer.

    A dym z np.http://www.androidal.pl/exploit-czyta-dane-z-karty-sd/13737 to nic.
    PS. Tutaj nie masz większych uprawnień i z tego komputera nie możesz sobie zrobić zombi łączącego się na wysokich portach, ani innych takich działań(dysk sieciowy itd.). http://www.eweek.com/c/a/Security/The-First-Linux-Botnet-626424/to pikuś

    haha

  22. @Ihuarraquax, Zen Vantalye – fakt, macie racje. Spojrzalem na to raczej z serwerowego punktu widzenia [caly OS], ale dla uzytkownikow faktycznie ma to duze znaczenie. Inna rzecz, ze nie myslalem koniecznize o Linuksie, bo w Linuksie i tak panuje dosc duzy bajzel.

    @Lukasz – nie slyszalem, ale zainteresuje sie. Dzieki za sugestie.

  23. @Lukasz – widze, ze problem tyczy sie Linuksa, a wiec sytuacja opisywana przez prelegenta rzeczywiscie moglaby miec zastosowanie w Linuksiel

  24. @Ihuarraquax
    Ważne dla użytkownika dane(muzyka, filmy, fotki, kopie prac/źródeł, itd), można z powodzeniem przetrzymywać w katalogach, gdzie tylko root ma uprawnienia do czegokolwiek oprócz czytania.

  25. @zzz1986
    Szczególnie jeżeli chodzi o profile przeglądarek, klientów poczty, komunikatorów…

  26. […] 2 lata temu, US-CERT poinformował o zagrożeniu zwiazanym z funkcją autorun w systemach Windows. Od jakiegoś czasu Microsoft opisywał jak blokować autorun, ale dopiero […]

  27. Widzę, że podlinkowano tu sposób na wyłączenie autouruchamiania pod windą za pomocą zmieniania zasad grupy. A ja od kiedy pamiętam wyłączałem po prostu usługę “wykrywanie sprzętu powłoki” i byłem pewien, że to najprostsze i skuteczne rozwiązanie. Może ktoś potwierdzić lub zaprzeczyć?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: