fbpx

Explorando sistemas com USB U3

Uma das maneiras mais fáceis de entrar em um sistema que você tem acesso físico é utilizando uma unidade flash USB que implemente o padrão U3.

O sistema U3 é uma partição secundária incluída em unidade flash USB feitas pela SanDisk e pela Memorex. Essa partição U3 é armazenada no dispositivo como somente para leitura e, frequentemente, contém softwares maliciosos de execução remota quando essa partição é inserida em determinados computadores.

Uma invasão de U3 funciona sempre tirando proveito do recurso de execução automática em um sistema como, por exemplo, o Windows. Entrando em detalhes de funcionamento, quando inserida em um computador, a unidade flash USB é enumerada e dois dispositivos separados são montados: a partição U3 e o dispositivo de armazenamento flash normal.

A partição U3 executa imediatamente o programa configurado no arquivo autorun.ini na partição, qualquer que ele seja. Cada fabricante fornece uma ferramenta para substituir a partição U3 por um arquivo ISO personalizado, para a marcação ou exclusão da partição.

A partição pode ser sobrescrita com a ferramenta do fabricante para incluir o programa ou software malicioso de execução remota como dito anteriormente no começo deste artigo.

Esses softwares maliciosos podem lerem hashes de senha do arquivo local de senhas e que são geralmente enviadas para o e-mail do Hacker ou posteriormente ser utilizada para ataques offline, como também pode haver instalação de Trojans ou Backdoors que deem acesso remoto para o atacante.

Uma ferramenta baseada em unidade flash USB como essa pode ser construída com alguns passos simples. O exemplo que se dará neste artigo será como construir um software malicioso que lê hashs de senhas de arquivos locais.

Bom, primeiramente, deve-se criar um script de execução automática(autorun) personalizado para ativar um script de comando quando for inserido o dispositivo USB no computador, como mostrado no exemplo a seguir:

[autorun] open = go.cmd
icon=autorun.ico

O segundo passo é criar um script para executar programas, instalar ferramentas ou executar outras ações quando for chamado o go.cmd:

@echo off
if not exist \LOG\%nomecomputador% md \WIP\%nomecomputador% > nul
cd \WIP\CMD\ > nul
.\fgdump.exe

O terceiro e ultimo passo agora é copiar os arquivos na pasta U3CUSTOM fornecido pelo fabricante do dispositivo U3 ou utilizar uma ferramenta como o Universal_Customizer(hak5.org/packages/files/Universal_Customizer.zip).

O ISOCreate.cmd incluído com o Universal_Customizer pode empacotar programas de execução automática, executáveis e scripts no diretório U3CUSTOM na forma de ISO para ser sobrescrito no dispositivo U3.

Bingo! A memória já esta pronta para o uso e qualquer computador que habilite a execução automática habilita ativará programa fgdump.exe e gravará os hashes de senhas.

Lembrando que USB U3 funciona em sistemas com segurança mais fraca, para sistemas com segurança mais forte, recomendamos o uso de RubberDucky.

Por Cadu Maltego




Menu