Una temible amenaza permite que un USB controle tu PC sin que lo sepas

0

Algo tan aparantemente inocuo como un USB puede ser una verdadera arma diabólica

Si no habéis deshabilitado la opción de “Autoplay” (ejecución automática) en vuestro PC, es concebible que vuestro sistema quede infectado si se inserta una unidad USB que contenga malware. Sin embargo, durante la conferencia Black Hat de este año hemos descubierto que una unidad USB podría, de hecho, hacerse pasar por cualquier dispositivo de sistema.

El hecho de aprovechar la característica Autoplay de Windows para instalar malware no es algo nuevo. Ya lo aprendieron “por las malas” los ingenieros iraníes de una planta de purificación de Uranio, allá por 2012 (Stuxnet). Sin embargo, ahora sabemos que no es necesario haber activado la característica de ejecución automática para resultar infectado. Dos investigadores berlineses de SRLabs han revelado una técnica que permite modificar el controlador interno de la unidad USB, para de esta forma hacer creer al sistema que se trata, por ejemplo, de un teclado, ratón o similar.

El USB como arma temible

Jacob Kell ha mostrado una demo del problema. Conectando una unidad de disco USB en un ordenador Windows, ha mostrado su evolución. Al principio, el sistema reconoce la unidad como un disco de almacenamiento USB estandar, com cabría espera. Pero un poco después, se modificaba a si misma como un teclado USB, enviando un comando que además descargaba un Troyano de acceso remoto.

Debe quedar claro que no hablamos de un disco que contiene virus. La técnica funciona con un disco vacío. Podríamos incluso reformatear la unidad y seguiría funcionando. No es una vulnerabilidad de Windows que pueda arreglarse con un parche.

Control sobre el controlador

El controlador interno de una unidad USB (presente en el 99% de casos) no es algo que el usuario ni el sistema operativo pueda ver ni modificar. Pero es una pieza clave, porque da instrucciones directas al USB.

Presentación de SRLabs

Este chip USB identifica el tipo de dispositivo conectado al ordenador, pudiendo repetir el proceso en cualquier momento. El hecho de que una unidad USB muestre varias entradas no tiene por qué ser sospechoso. Por ejemplo, las cámaras web pueden mostrar dos dispositivos: uno asociado a la lente de la cámara y el segundo al micrófono. Identificar dispositivos USB es complicado, ya que el número de serie que incluyen es opcional y no tiene un formato estandarizado.

Aplicando ingeniería inversa

El segundo de los ingenieros mostró como se puede tomar el control sobre el USB para reprogramar el firmware del controlador.

  1. Se escucha el proceso de actualización de firmware
  2. Se realiza ingeniería inversa sobre el proceso anterior (se “deshace” la acción para aprender su funcionamiento)
  3. Se crea, partiendo de lo anterior, un nuvo firmware modificado a su antojo y se instala en el chip controlador.

La prueba se realizó sobre dos populares chips controladores USB. En el primer caso se tardó cerca de 2 meses. En el segundo caso se necesitó un mes para conseguirlo. No es un proceso precisamente rápido, pero ofrece ingentes beneficios a los atacantes, ya que la dispersión vía USB es muy alta.

Auto-replicación

Se realizó una segunda prueba que nos deja aún más estupefactos. Al insertar una nueva unidad USB -repetimos, “nueva”- en el PC infectado, este reprogramó rápidamente la nueva unidad, instalando el malware “embebido” en su controlador. 

Lo que hizo justo después el investigador fué conectar dicha unidad USB en un portátil con Linux, observando como la unidad enviaba al sistema comandos que intentaban cargar código malicioso. Esto arrancó los aplausos del público. No es para menos.

Robo de contraseñas

Para el siguiente ejemplo de su investigación, se reprogramaron otras 3 unidades USB, asignándoles un tipo de dispositivo más dificil de detectar por el usuario. Muy difícil.

De hecho, nadie pudo darse cuenta del leve parpadeo momentáneo del icono de red. Sin embargo, justo después de haber conectado la unidad USB infectada, se mostró una nueva conexión de red. Noll explicó que la nueva unidad estaba ahroa emulando una conexión Ethernet que redirigía la función “DNS lookup” del PC.

Esto acabaría, por ejemplo, de la siguiente forma: si un usuario visitase ahora la web de PayPal, sería redirigido de forma invisible a una web dedicada al robo de credenciales.

La confianza “rota” en el USB

Siguiendo con su explicación, Noll describió los motivos por los que el USB se ha hecho dueño del mundo: “es fácil de transportar, barato y aparentemente confiable, pues todo el mundo sabe como analizarlo con su antivirus“. Prosiguió hablando de una vía sumamente fácil de infección: un terminal Android.


Vamos a conectar ahora un teléfono Android estandar el ordenador y ver que pasa. Oh, de repente aparece un nuvo dispositivo de red. Vayamos a PayPal a iniciar sesión. No hay mensaje de error ni advertencia, nada. Pero hemos capturado el nombre de usuario y contraseña“. El aplauso y asombro del público fueron igual de grandes.


La mayoría de software de prevención o control de datos no será capaz de reconocer estos cambios, probablemente nosotros tampoco.

El regreso del virus de sector de arranque

La BIOS realiza una enumeración de dispositivos USB diferente a la que hace el Sistema Operativo“, comentó Noll. “Podemos aprovecharnos de ello con un dispositivo que emule dos unidades y un teclado. El sistema operativo solo será capaz de visualizar un dispositivo, mientras el segundo apacerá solo en BIOS, arrancando desde ella configurado para ello“.

Noll continuó apuntando a que este rootkit se cargará siempre antes que el sistema operativo, pudiendo a su vez infectar otras unidades USB. “Es el perfecto despliegue para un virus, ya está ejecutándose cuando el sistema arranca, antes de que entre en juego cualquier antivirus“. Es el retorno del virus de sector de arranque.

Después de conocer estas alarmantes noticias, el futuro cercano es oscuro. Una de las formas de poder solucionar el problema sin desterrar los dispositivos USB de nuestras vidas, sería realizar un Whitelisting (permitir) de aquellos dispositivos realmente confiables. Pero para ello antes es preciso que la industria del USB estandarice los identificadores de unidad.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR