Une souris USB possède-t-elle une mémoire qui pourrait être utilisée pour stocker des logiciels malveillants?

13

Je crains que cela ne soit signalé comme trop large, mais voici:

Dernièrement, j'ai pensé à la possibilité de charger des données sur des périphériques. L'un des périphériques les plus utilisés est la souris. Je me rends compte qu'il existe 101 façons de construire une souris. Pour affiner ma question en plusieurs, je pose ces questions:

  1. Est-il possible de construire une souris sans mémoire? Si c'est le cas, est-il généralement constaté qu'il n'y a pas de mémoire sur une souris?
  2. Supposons que la souris ait de la mémoire (si ce n'est pas une hypothèse réaliste, veuillez le souligner), est-il typique de voir uniquement les types de mémoire ROM? La mémoire peut-elle être flashée comme la mémoire CMOS?
  3. Quelqu'un a-t-il vu une attaque informatique / une attaque de malware à partir de la mémoire d'une souris?

Je pose la question numéro trois, car ce à quoi j'ai pensé récemment est la généralisation des attaques effectuées par diverses menaces avancées avancées.

StackExchangeUser0xff00
la source
Quant à 3, je peux penser à accrocher une mémoire flash USB avec un virus à l'intérieur de la souris, à la câbler au connecteur, et le tour est joué!
Eugene Sh.
1
@EugeneSh. yeesh, intégrez simplement la mémoire flash sur le plateau d'une souris. C'est pour la plupart une chose non évidente à faire car elle est hors de vue et hors de l'esprit. Merci d'avoir partagé.
StackExchangeUser0xff00
2
Peut-être un meilleur titre pour votre question serait: "Une souris USB a-t-elle une mémoire qui pourrait être utilisée pour stocker des logiciels malveillants?". Je peux le modifier pour vous si vous le souhaitez.
Adam Haun
3
Il y a en fait un code de preuve de concept pour infecter les périphériques USB de votre PC publié sur github: github.com/adamcaudill/Psychson
slebetman
2
Peu importe ce que les souris normales contiennent, un attaquant (avec des ressources suffisantes) peut toujours juste faire une souris qui ne contiennent ce dont ils ont besoin.
Cascabel

Réponses:

12

De nombreux périphériques USB incluent des microcontrôleurs basés sur flash. Bien que les microcontrôleurs basés sur masque-ROM soient moins chers, l'utilisation d'un microcontrôleur basé sur flash peut permettre à un fabricant d'avoir une carte pouvant aller dans une variété de produits OEM, chacun indiquant le nom sous lequel il est vendu. Certains périphériques incluent un firmware qui leur permet d'être reprogrammés à partir du port USB; les avoir configurés de cette façon permettrait à un fabricant de préprogrammer des pièces d'une manière adaptée à son client le plus gros volume et de les reprogrammer à la demande pour d'autres clients.

Si une souris comprend un microcontrôleur flash, il peut être possible pour une personne malveillante de le reprogrammer pour se comporter comme un dispositif d'infection par un logiciel malveillant. Étant donné que la plupart des souris ne sont pas susceptibles d'utiliser des microcontrôleurs particulièrement gros, il peut ne pas y avoir de place pour les logiciels malveillants si la souris doit être utilisable comme souris. D'un autre côté, il pourrait être possible pour certains logiciels malveillants d'identifier une souris vulnérable et de la reprogrammer de telle sorte qu'elle ne fonctionnerait plus comme une souris, mais agirait comme un agent du mal lorsqu'elle est connectée à une machine non infectée [sur la théorie que quelqu'un dont la souris cesse de fonctionner pourrait le tester sur un autre ordinateur].

En général, il ne serait pas difficile de concevoir un périphérique USB de telle manière qu'une fois le micrologiciel final chargé, il ne pourrait pas être rechargé à partir du port USB, mais il n'existe aucun moyen général de distinguer les appareils qui sont immunisés contre la reprogrammation des appareils qui ne sont pas 't. Il serait également possible de concevoir un "concentrateur USB intelligent" avec un écran et des boutons qui, lorsqu'un appareil était branché, indiqueraient ce que l'appareil prétend être, en demandant une confirmation avant que l'ordinateur ne puisse voir l'appareil, et restreindre les communications de l'appareil à celles qui ont été approuvées pour son type, mais je ne sais pas si de tels appareils Smart-Hub sont disponibles.

supercat
la source
Il n'y a pas de tels concentrateurs intelligents, car vous pouvez bloquer les périphériques USB au niveau du système d'exploitation. Aucun matériel supplémentaire requis. Les problèmes commencent lorsque vous souhaitez remplacer votre souris ou votre clavier cassé ...
Turbo J
@TurboJ: Le fait est que d'ici là, il est probablement trop tard. Imaginez une souris USB spécialement conçue qui est en fait un concentrateur micro USB connecté au matériel de la souris et une clé USB cachée à l'intérieur de la souris (en fait, vous n'avez pas à imaginer car des démonstrations de preuve de concept ont déjà été montrées au public). La clé USB cachée se monte et inclut le fichier AUTOEXEC.BAT qui installe certains logiciels. Ensuite, vous ouvrez le panneau de configuration et le bloquez, mais le logiciel malveillant a déjà été installé.
slebetman
2
Un hack plus sophistiqué est la récente découverte que certains contrôleurs USB sont piratables - leur firmware est stocké en flash plutôt qu'en ROM. Cette forme d'attaque contourne complètement le système d'exploitation et installe des logiciels malveillants sur la puce USB soudée sur votre carte mère.
slebetman
3
Les périphériques USB ne peuvent pas contourner le système d'exploitation, ils ont toujours besoin d'un pilote en premier et cette étape peut être bloquée (sous Linux avec le script udev, win peut avoir besoin d'un logiciel tiers). Les périphériques PCIE peuvent contourner le système d'exploitation via DMA.
Turbo J
9

Les claviers USB peuvent être utilisés pour faire des choses intéressantes sur un PC / Mac. Et vous pouvez combiner un clavier USB avec une souris en un seul HID, en utilisant un microcontrôleur par exemple.

Les souris USB bon marché devraient toujours utiliser des ASIC qui ne sont pas reprogrammables à mon humble avis, car la ROM masquée coûte moins cher que le flash.

Turbo J
la source
4

Oui, il est certainement possible d'utiliser des souris (et des périphériques USB en général) dans les cyberattaques.

Quel que soit le type de mémoire dont disposent les souris bon marché, il est généralement impossible de la modifier via l'interface USB, donc l'attaquant devra accéder physiquement à la souris qui sera utilisée pour l'attaque. En conséquence, il est généralement plus facile de créer un appareil personnalisé qui imite une souris et a beaucoup de mémoire (et peut-être certains émetteurs-récepteurs sans fil) plutôt que de réutiliser une vraie souris qui aura peu de mémoire, une petite puissance de traitement et aucune interface sans fil.

Il existe des appareils qui conviennent beaucoup mieux à ces fins. Par exemple, la plupart des cartes SD ont des contrôleurs assez puissants et le firmware est généralement évolutif, protégé par un code d'accès quelconque. De tels codes d'accès sont largement connus des équipes de développement et de test et ne sont pas censés être sécurisés cryptographiquement. Souvent, des phrases leetspeak comme DEADBEEF ou 600DCOFFEE sont utilisées. Et une fois que vous avez le contrôle sur une carte SD, il n'y a aucun effort supplémentaire pour obtenir des données sensibles, tout ce que vous avez à faire est de les filtrer. De même, les claviers USB sont des candidats naturels pour le vol de mot de passe. Convaincre l'ordinateur d'envoyer un fichier ou un mot de passe à la souris est beaucoup plus difficile.

Dmitry Grigoryev
la source
2

C'est certainement possible avec des souris qui stockent des données de configuration sur leur propre matériel. Considérez les souris gamer un peu chères - elles viennent souvent avec un logiciel qui vous permet de modifier les configurations intégrées afin que vous puissiez les changer avec un bouton spécial quelque part sur la souris. Certaines souris ont une capacité d'installation automatique, comme vous le voyez sur les clés USB Internet mobile. A partir de là, cela dépend des paramètres de sécurité de l'ordinateur cible. Si l'exécution automatique est activée, une souris compromise peut installer silencieusement des logiciels malveillants, etc.

user1306322
la source