Vraag:
Kan een USB-drive mijn pc met malware infecteren als ik autorun.inf niet laat draaien?
Jorge Luque
2015-11-26 17:06:13 UTC
view on stackexchange narkive permalink

Ervan uitgaande dat ik een vertrouwde USB-flashdrive gebruik (wat betekent dat het niet een apparaat is dat eruitziet als een USB-stick en waarvan het doel is om mijn pc te beschadigen) , is het mogelijk dat mijn pc geïnfecteerd raakt door malware die wordt opgepikt door de USB als ik een antivirusprogramma gebruik dat autorun.inf-bestanden niet toestaat vanaf de USB-drive? Ik heb twee pc's, één met Windows 10 en de andere met Windows 8.1.

Iirc, deze Defcon-lezing is een van de weinige die interessant zou kunnen zijn voor dit onderwerp: https://www.youtube.com/watch?v=NTrjBl6AW0s
Gerelateerd (misschien zelfs duplicaat?): Http://security.stackexchange.com/questions/102873/how-can-usb-sticks-be-dangerous
zodat u zeker weet dat het USB-apparaat dat u hebt aangesloten zich niet registreert als toetsenbord en belangrijke invoer naar uw computer verzendt: http://security.stackexchange.com/a/102874/2231
Drie antwoorden:
ThoriumBR
2015-11-26 17:49:29 UTC
view on stackexchange narkive permalink

Kort antwoord: JA

U kunt zelfs geïnfecteerd raken met een volledig gepatcht Windows-systeem en een bijgewerkt antivirusprogramma. Dit gebeurde eerder en kan opnieuw gebeuren.

Een paar jaar geleden werd de Stuxnet -worm speciaal ontworpen om de Iraanse nucleaire faciliteiten aan te vallen. Ze werden geraakt door geïnfecteerde USB-drives te gebruiken, zonder autorun.inf of iets met de hand uit te voeren.

Deze kwetsbaarheden worden zero day genoemd. De aanvaller weet het, maar de leverancier en antivirusbedrijven niet. Maar die kwetsbaarheden worden zeer gewaardeerd en zullen niet worden gebruikt op een laagwaardig doelwit, want zodra de aanval wordt gedetecteerd, is het geen zero-day meer.

Als je geen high-end doelwit bent. waarde doel, hoeft u zich meestal geen zorgen te maken dat u wordt geraakt door een zero-day. Meestal wordt u geraakt door een social engineering-aanval en zult u waarschijnlijk zelf in de val trappen, zoals het openen van een uitvoerbaar bestand met het pictogram van een pdf of een afbeelding ...

USB-sticks die op de parkeerplaats zijn gevallen, werken ook voor doelen met een lage waarde.
@MichaelHampton Maar zelfs als de USB-stick die in de parkeergarage is gevallen, wordt opgepakt en op de doelcomputer wordt aangesloten, is dat niet voldoende om het in gevaar te brengen. Het doelwit zou een ongepatchte kwetsbaarheid moeten hebben, of de USB-stick zou een zero day-kwetsbaarheid moeten gebruiken.
Kunt u een voorbeeld geven van het type zero-day dat een computer zou kunnen infecteren zonder dat er software wordt uitgevoerd?
Mike: Stuxnet is een voorbeeld dat in dit antwoord wordt vermeld. Ze gebruikten [een kwetsbaarheid met de weergave van snelkoppelingspictogrammen] (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2568) om hun payload te starten door simpelweg te kijken de inhoud van de schijf in Verkenner.
@mm201 Bedankt. Mijn punt was dat het simpelweg linken naar iets of het laten vallen van een naam mensen niet helpt die willen scannen op snelle informatie en niet echt kwalificeren als "opgenomen in het antwoord". Het [Helpcentrum] (https://security.stackexchange.com/help/how-to-answer) is duidelijk dat u alle relevante informatie moet opnemen, zodat uw antwoord op zichzelf staat.
Opmerking: dit is op dezelfde schaal van waarschijnlijkheid als uw kans om geïnfecteerd te raken door een webpagina te openen.
@kasperd het kan ook een USB-killer zijn (als je het niet weet: het is het ding dat je moederbord in seconden kan bakken).
@JanDvorak Let op het ** vetgedrukte ** woord in de vraag.
Dit is precies waar ik aan dacht toen ik de titel van deze vraag las. een goed begin is om te lezen "Countdown to Zero Day" gaat door de ontdekking van het Stuxnet en zijn ontwikkeling. Nog een ding om te onthouden is dat alleen AV kan detecteren wat het weet van kwaadwillende handtekeningen, maar er is nog steeds niet-detecteerbare elite-willekeurige code, daarom zijn er geen AV-handtekeningen om te detecteren. Stuxnet was zo'n goedgeschreven code.
Michael
2015-11-26 18:23:29 UTC
view on stackexchange narkive permalink

Ja,

  1. BadUSB verandert goedaardige (USB-) apparaten in kwaadaardige monsters door de controllerchips herprogrammeren. Dit is op een veel lager niveau dan de 'autorun'-functie waar je het over hebt.
  2. USB Rubber Ducky is een andere, vergelijkbare bedreiging.
  3. Like ThoriumBR zei dat elke hostcomputer kan worden misbruikt door een onbekende zero-day-kwetsbaarheid.

Er zijn niet veel praktische manieren om bescherming tegen dit [BadUSB] type aanval. De meeste hebben een grote invloed op de gebruiksvriendelijkheid:

  • Blacklist USB-apparaten
  • Voorkom automatische installatie van USB-apparaten
  • Schakel inactieve USB-poorten uit
Er zijn zeker gastheren met voldoende bescherming. Ik betwijfel of iemand bijvoorbeeld een kernkop direct kan roeien om te ontploffen.
BadUSB kan bijna elke USB-stick beïnvloeden, toch? Maar is Rubber Ducky geen apparaat dat eruitziet als een USB-stick? (wat betekent dat het niet zou kunnen infecteren wat ik als een vertrouwde USB-stick zou beschouwen in de bovenstaande vraagbeschrijving)
@JorgeLuque, Rubber Ducky is eigenlijk een toetsenbord, dat eruitziet als een USB. BadUSB is inderdaad erger, aangezien elke USB een BadUSB kan zijn.
Helpt het draaien van Linux op enigerlei wijze tegen deze problemen?
@GuiImamura kort antwoord: ja. Er is geen reden om aan te nemen dat een bepaald besturingssysteem immuun is voor dit soort aanvallen.
@Clearer Uw korte antwoord is "ja", maar uw lange antwoord klonk alsof het "nee" was. Zijn deze malware in elk geval altijd gericht op een specifiek besturingssysteem, of kunnen sommige van hen elke machine infecteren, ongeacht het besturingssysteem?
@Michael: Niet elk apparaat kan een "BadUSB" zijn, alleen apparaten die in-band programmering hebben, wat veel apparaten niet hebben, plus dat zelfs het herprogrammeren van de controller je misschien niet veel goed doet, aangezien veel controllers in feite verheerlijkte USARTS zijn.
@GuiImamura Mijn lange antwoord zou als een "nee" moeten klinken. Elk specifiek USB-apparaat kan gericht zijn op een bepaald systeem, of dat nu is gebaseerd op Linux, Windows, Mac OS of een ander besturingssysteem. Het is allemaal een kwestie van een zwakke plek identificeren en deze uitbuiten. Het korte antwoord had een "nee" moeten zijn. Mijn fout.
rferguson
2015-11-26 17:31:49 UTC
view on stackexchange narkive permalink

Zolang u het geïnfecteerde bestand niet handmatig vindt en uitvoert, zou het in orde moeten zijn, op voorwaarde dat uw antivirusprogramma zijn werk doet.

Zoals een ander antwoord vermeldt, is het volledig mogelijk, maar zeer onwaarschijnlijk in in uw geval kunt u niets meer doen omdat u al de voorzorgsmaatregelen neemt voor deze specifieke dreiging.

Niet waar. Veel soorten malware kunnen antivirusoplossingen omzeilen en antivirussoftware detecteert 0-dagen niet. Er is ook nog _iets meer_ dat u kunt doen - helemaal geen flashdrive aansluiten of deze eerst op een andere machine testen. Zie [BadUSB] (https://srlabs.de/badusb/) voor enkele voorbeelden.


Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...