USB以太网适配器经改动能窃取Windows和Mac凭证

  E安全9月8日讯 安全研究人员Rob Fuller发现了一种独特的攻击方法,能从Windows、Mac计算机(也可能是Linux,目前还未测试)窃取PC凭证。

  Fuller的攻击能有效针对用户登录的锁定计算机。

  研究人员使用USB以太网适配器。为了运行特殊的软件,研究人员修改了USB以太网适配器的固件代码。特殊软件将即插即用USB设备作为连接计算机的网关、DNS和WAPD服务器。

  攻击奏效,因为计算机信任PnP设备

  攻击存在可能性,因为大多数电脑将自动安装任何即插即用(PnP)USB设备。

  Fuller昨日在博文中写道,“为什么会奏效?因为USB为即插即用。这就意味着即使系统处于锁定状态,设备仍能安装。”

  “现在,我认为在新操作系统锁定状态下允许安装的设备类型有限(Win10/El Capitan),但以太网/LAN绝对在白名单上。”

  经改造的USB以太网适配器记录PC凭证

  当安装新(流氓)即插即用USB以太网适配器,计算机将分发必需的本地凭证安装该设备。

  Fuller改造的设备包括拦截这些凭证并保存至SQLite数据库的软件。此外,还包含LED,当记录凭证时会发亮。

  攻击平均运行时间为13秒

  攻击者需要物理访问设备插入流氓USB以太网适配器,但Fuller表示,平均攻击时间为13秒。此类攻击可能会窃取储存在目标设备上的各种信息。

  Fuller通过USB以太网软件狗(比如155美元的USB Armory和49.99美元的Hak5 Turtle)进行了测试。

  Fuller解释道,当目标设备试图通过适配器连接到网络时,以太网适配器需要装配来嗅探流量并捕获目标设备发送的凭证。

  这类攻击利用Laurent Gaffié的响应器获取凭证。Hak5 Turtle已有一个模块。对于USB Armory,可能使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。

  他表示,“基本上是通过Laurent Gaffié的响应器完成,因此你需要找到在设备上获取响应器的方式。Hak5 Turtle已有模块,第一次需要“启用”模块(插入互联网访问),从而下载所有相关性和数据包本身。对于USB Armory,你可以使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。”

  攻击在某些设备上可能会失败。无论如何,研究人员 在Windows 企业和家庭(除了Windows 8)等Windows系统,以及OS X El Capitan上做了测试,结果奏效。比如,当目标设备发现无线和有线网络,它将会连接至最快的网络,可能会出现攻击失败的情况。当然,为了发起攻击,有 必要物理访问目标设备。

  Fuller表示,这种攻击在Windows 98 SE、Windows 2000 SP4、 Windows XP SP3、Windows 7 SP1、Windows 10 (Enterprise and Home)、 OS X El Capitan、和OS X Mavericks上能成功实现。Fuller还计划测试Linux发行版。

第 1 /  10 页
点击查看余下全文