Hacking USB Devices Nhóm 9: Nguyễn Tấn Trọng - 08520426 Bùi Huy Hải - 08520108 Đinh Hoàng Việt - 08520464 I Lý thuyết Hacking USB Devices Có kiểu công USB phổ biến nay: 1.USB Attacks Electrical Attacks : kiểu cơng nhằm chống lại,nói cách khác phá hủy khoá USB cách tác động tới tính chất vật lí xung quanh nó.Mục đích nhằm thu thập liệu quan trọng mã hóa.Hiện USB ích mã hóa,đó thiếu sót quan trọng nhà sản xuất.Có thể thay đổi giá trị mật chí xóa chương trình USB chip nhớ gọi EEPROM Software Attacks :attacker quan sát cách thức truyền liệu USB máy tính,sau phân tích xác định password kĩ thuật brute-force.Bằng cách gửi gói tin lỗi tới USB,lúc khố USB bị lộ ra,chẳng hạn nội dung ,thông tin phần bảo vệ USB USB Attack on Windows :khai thác lỗi tràn đệm giúp attack chiếm quyền admin máy tính.Attacker cắm USB vào máy sau thực lệnh khai thác chỗ sơ hở máy tính load USB.Và cuối Attacker chiếm quyền điều khiển máy tính 2.Viruses and worms Mỗi virus có cách cơng khác vào máy tính sau cắm USB bị nhiễm phần mềm gây hại Một số ví dụ : - Virus:W32/Madang-Fam : virus chạy Windows.Virus lây nhiễm qua thiết bị di động USB,ổ cứng di động,dt Nó thay đổi ,phá hỏng file có *.EXE *.SCR tất driver chia sẻ mạng máy tính Virus thực đoạn mã độc mà tự động download thực thi ,nó diện nhiều website W32/Madang-Fam tự động copy chạy file setupx.exe updatex.exe thư mục Windows/System32 GVHD: Nguyễn Duy Hacking USB Devices - Worm: W32/Hasnot-A : W32/Hasnot-A loại "sâu " ,cũng giống virus cấu trúc đoạn mã,và chạy Windows,lây nhiễm qua thiết bị di động W32/Hasnot-A ẩn file folder ,thậm chí copy đè lên file Mỗi cài đặt,worm lan rộng,lây nhiễm vào tập tin chia sẻ mạng USB Tập tin autorun.inf bị thay đổi ,dẫn đến cài đặt bạn vơ tình cho - worm chạy W32/Fujack-AK : W32/Fujack-AK lây nhiễm qua mạng mà thiết bị di động Tự động copy file làGameSetup.exe setup.exe Sau copy đè lên file autorun.inf thực thi file setup.exe Tự động tạo file drivers\spoclsv.exe Và khoá key - dc thay đổi W32/Dzan-C : Tự động tạo file \inetinfo.exe \1021\services.exe tập tin services.exe chạy khởi động windows.Nhiều người lầm tưởng dịch vụ Windows nên không quan tâm - lắm.Và khóa registry dc tạo : HKLM\SYSTEM\CurrentControlSet\Services\services W32/SillyFD-AA Con copy đè lên file : \kerneldrive.exe \regedit.exe \pchealth\helpctr\Binaries\msconfig.exe \systeminit.exe \wininit.exe \winsystem.exe \cmd.exe \taskmgr.exe Tạo khoá registry : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit \userinit.exe,\systeminit.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwininit - \wininit.exe W32/SillyFDC-BK : Tự động copy file \krag.exe tạo khoá registry để chạy khởi động windows HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run GVHD: Nguyễn Duy Hacking USB Devices krag \krag.exe Ngồi cịn nhiều virus khác : • • • • W32/LiarVB-A W32/Hairy-A W32/QQRob-AND W32/VBAut-B Đều tạo hay copy đè lên file sẵn có HĐH chỉnh sửa khóa registry Cịn nhiều virus ,nhưng virus bị phần mềm diệt virus phát tiêu diệt dc,trên cách thức hoạt động virus,khi dc lập trình đoạn mã thực thi,có thể copy đè lên file hệ thống,hoặc tự động thay đổi khoa Registry.Vì khố Registry dc xem "trái tim" máy tính 3.USB Hacking Tools :Sử dụng cơng cụ có sẵn để nạn nhân cắm vào máy tính chạy chương trình phá hoại hay lấy thông tin nạn nhân - USB Dumper: tự động thực thi ứng dụng cách âm thầm cách lấy trộm liệu từ USB bỏ vào đường dẫn sẵn có máy(đường dẫn chỉnh sửa file dump.ini) - USB Switchblade: Công cụ lợi dụng lỗ hổng HĐH window Nó âm thầm lấy cắp thông tin người dùng cắm USB vào: Password hashes, LSA secrets, browser history, autofill information, ip information - USB Hacksaw: phát triển cộng đồng Hak5, phiên mở rộng USB Dumper Nó chạy background nạn nhân cắm USB vào máy tính Khi có liệu từ USBdumper, âm thầm kết nối vào mail có sẵn internet rùi tải liệu lên cho attacker II Mơ hình triển khai Nhóm tơi dùng cách thứ sử dụng cơng cụ USB Hacking Tools có tên AHUSB để lấy username/password lưu trình duyệt và thử xem lấy username/pass yahoo messenger hay không GVHD: Nguyễn Duy Hacking USB Devices Công cụ download tại: http://www.mediafire.com/?wnc0bg32cpnmdol Sau download, giải nén vào thư mục gốc USB Ta chỉnh sửa file autorun.inf cho phù hợp để cắm usb vào popup xác nhận yêu cầu Nếu dùng window XP hay window server 2003 có tính autorun khi cắm USB vào tự động popup ta xác nhận yêu cầu bị nhiễu virus(cách thứ 2) hay thực thi tự động chương tình đó(cách 3) Đối với win tính autorun bị disable nên không popup Khả cơng cụ: Xem pasword lưu yahoo messenger, Outlook Express, password lưu trình duyệt Firefox, Chrome, IE Các thành phần cơng cụ: - ChromePass.exe: xem username/pass word lưu trình duyệt google Chrome Iepv (IE PassView): xem username/password lưu trình duyệt IE Mailpv: xem username/password lưu trong: • Outlook Express • Microsoft Outlook 2000 (POP3 and SMTP Accounts only) • Microsoft Outlook 2002/2003/2007 (POP3, IMAP, HTTP and SMTP • • • Accounts) Windows Mail Yahoo! Mail - If the password is saved in Yahoo! Messenger application Hotmail/MSN mail - If the password is saved in MSN/Windows/Live • Messenger application Gmail - If the password is saved by Gmail Notifier application, Google - Desktop, or by Google Talk & etc Mspass(MessenPass): xem user/pass lưu • MSN Messenger • Windows Messenger (In Windows XP) • Windows Live Messenger (In Windows XP And Vista) • Yahoo Messenger (Versions 5.x and 6.x) • Google Talk PasswordFox: xem username/pass lưu trình duyệ firefox Pspv(Protected Storage PassView): xem user/pass lưu nơi bảo mật như: IE, - Outlook, MSN WebBrowserPassView: xem user/pass lưu trình duyệt - GVHD: Nguyễn Duy Hacking USB Devices III Triển khai công GVHD: Nguyễn Duy Hacking USB Devices Công cụ AHUSB sau extract vào thư mục gốc USB: Đây phần chỉnh sửa file autorun để tự động file lauch.bat người dùng click vào(trong demo chạy trực tiếp file launch.bat) GVHD: Nguyễn Duy Hacking USB Devices Phần chỉnh sửa file lauch.bat để sau công cụ thực xong lưu username/pass file text tương ứng GVHD: Nguyễn Duy Hacking USB Devices Xem user/password lưu trình duyệt: Thử đăng nhập vào yahoo mail trình duyệt IE với Gmail trình duyệt Chrome(chọn chế độ lưu password) Bậy giời chạy file lauch.bat xem kết quả: Ta thấy username password file: - ChromePass.txt GVHD: Nguyễn Duy Hacking USB Devices - Iepv.txt - Pspv.txt 10 GVHD: Nguyễn Duy Hacking USB Devices - WebBrowserPassView.txt Bây giời dung ccleaner làm cookies, history, … đặc biệt phải check vào Saved passwords để xóa lng password chạy file lauch.bat usb password lưu trình duyệt bị xóa hết ta xem password 11 GVHD: Nguyễn Duy Hacking USB Devices Xem user/password lưu yahoo messenger: Đăng nhập vào yahoo messenger chay file lauch.bat USB phần mspass.txt ta khơng thấy password yahoo messenger đâu đăng nhập vào pidgin dùng giao thức yahoo messenger ta xem username/pass 12 GVHD: Nguyễn Duy Hacking USB Devices 13 GVHD: Nguyễn Duy Hacking USB Devices IV Nhận xét giải pháp phòng chống Đây cách thay đổi file autorun.inf usb để chạy phần mềm attacker Cách hữu dụng HĐH nạn nhân HĐH window có chế chạy autorun usb, thường HĐH Windwo XP hay Window server 2003 Hạn chế phần mềm: - Nếu máy tính nạn nhân HĐH win khơng có chế autorun phải attacker phải - cắm usb trực tiếp vào máy tính nạn nhân rùi chạy file launch.bat Vì phần mềm nạy chạy ứng dụng dò password command line nên command line lên khoảng tí khơng có chế chạy background USB dumper nên nạn nhân tinh ý thấy dòng này(dù file chứa password để chế độ ẩn) Cách phòng chống: Một giải đơn giản cho vấn đề tạo file chạy autorun mặc định trước cho USB với khả không bị đánh bật loại virus xâm nhập tự tạo file chạy riêng Bước 1: Với hệ ổ flash USB có dung lượng lớn chuyển sang định dạng NTFS thay cho mặc định FAT/FAT32 Với định dạng NTFS, hệ thống USB bảo mật chặt chẽ hơn, với việc chia quyền truy cập cấp cao Chọn Start vào Run sau gõ: Convert : /FS:NTFS Ví dụ ổ USB bạn ổ D gõ sau: Convert D: /FS:NTFS Cách áp dụng cho ổ cứng Một cách đơn giản click chuột phải vào biểu tượng USB My Computer, chọn Format, phần định dạng ổ chuyển sang NTFS với thao tác liệu bạn bị xóa hết lưu quan trọng trước làm Bước 2: Tạo file autorun.inf bất kỳ, nhớ cần đặt tên file vậy, nội dung bạn bỏ khơng Tiếp click chuột phải vào file vừa tạo chọn thuộc tính read-only để sửa đổi nội dung file Bước 3: Để tăng tính bảo mật file autorun.inf vừa tạo ra, cấm quyền truy xuất đến tập tin cách vào Run thực hiện:cacls \autorun.inf /D Everyone Ví dụ USB bạn ổ D, ta có: cacls D: \autorun.inf/D Everyone Rồi sau chọn chế độhidden cho file chạy 14 GVHD: Nguyễn Duy ... user/pass lưu trình duyệt - GVHD: Nguyễn Duy Hacking USB Devices III Triển khai công GVHD: Nguyễn Duy Hacking USB Devices Công cụ AHUSB sau extract vào thư mục gốc USB: Đây phần chỉnh sửa file autorun.. .Hacking USB Devices Có kiểu cơng USB phổ biến nay: 1 .USB Attacks Electrical Attacks : kiểu cơng nhằm chống lại,nói cách khác phá hủy khố USB cách tác động tới tính chất vật lí xung quanh... - ChromePass.txt GVHD: Nguyễn Duy Hacking USB Devices - Iepv.txt - Pspv.txt 10 GVHD: Nguyễn Duy Hacking USB Devices - WebBrowserPassView.txt Bây giời dung ccleaner làm cookies, history, … đặc