[1] O documento discute ataques USB, como funcionam usando dispositivos HID/USB-HID para simular ações de teclado e executar payloads maliciosos. [2] Várias ferramentas e plataformas são apresentadas para realizar esses ataques, incluindo Rubber Ducky, Android, Arduino e placas de computação única como Raspberry Pi. [3] Algumas técnicas de proteção também são discutidas, como soluções de detecção e bloqueio de dispositivos HID.
2. $whoami
• Consultor de Segurança da Informação/Pentester – IBLISS Digital
Security
• Aplicações Web
• Infraestrutura
• Aplicativos Mobile
• 6 anos em TI (3 anos em segurança)
• Formado em Redes de Computadores
• Certificado CEH – EC-Council
3. Overview
• O que são ataques USB?
• Como funcionam?
• Conceitos
• Ferramentas
• Payloads
• Proteção
• Desafios
• Evolução
5. Conceitos - HID/HID-USB
• Human Interface Devices / Dispositivos de Interface Humana
• Fazem interação humana com o computador;
• Captura ações do usuário e retorna a saída para o mesmo;
• Padrão criado para facilitar o reconhecimento de dispositivos;
• Muitas vezes não precisa de drivers adicionais para funcionar.
Opa, eu sou um teclado
dfhasdfasmvnxcvuadfaça
Blz. O driver HID já está ok
6. Conceitos - Ataques HID
• Uso de hardwares que se comportam como dispositivos HID para a realização
de ataques
• Teensy - (2009)
• Placas de desenvolvimento de microcontroladores
• Rubber Ducky – Hak5 (2010)
• Dispositivos parecidos com pendrives USB convencionais
• Criado para atuar como dispositivo HID/USB-HID
• Geralmente realizando a função de teclado
• Configurado através de script (Duckyscript) que simula ações de um
teclado
7. Conceitos - Ataques HID
• BadUSB – SRLabs 2014
• Falha que permite a alteração do firmware de controle de
dispositivos USB
• Possível realizar ataques em computadores
• Modificar o firmware de outros dispositivos conectados ao
mesmo computador
8. Desafios
• Nem todo “pendrive” USB pode ser configurado como Rubber
Ducky =/
• É necessário que o dispositivo possua um chipset específico
compatível com HID
• É possível comprar um Rubber Ducky (Hak5) ou um pendrive com
chipset compatível
10. Android – Kali NetHunter
• Versão do Kali Linux compatível para Android
• Desenvolvido para dispositivos da linha Nexus
• Arsenal de ferramentas de invasão
• Módulo de ataques baseado em HID
11. Android – Rooted
• Android com Root
• Aplicativo Terminal instalado
• Driver que emula dispositivo HID (DroidDucky)
15. Arduino
• Plataforma para prototipagem e criação de projetos de eletrônica
• Necessita de um chipset com suporte HID (ATmega32u4 –
Leonardo/Pro Micro)
25. Proteção - Beamgun
• Solução para Windows
• Identifica dispositivos HID conectados
• Realiza ações baseadas nas configurações:
• Alerta a conexão de novo dispositivo;
• Tenta capturar todas as ações realizadas/armazena em log;
• Continuamente bloqueia o dispositivo para impedir avanço;
• Bloqueia a tela do computador.
30. WiFi
• Wi-Fi Ducky
• Arduino + placa ESP8266 (suporte Wireless)
• Cria um Access Point
• Web Server – execução remota de scripts
• On demand
• Upload ou script armazenado
31. WiFi
• Wi-Fi Ducky
• Arduino + placa ESP8266 (suporte Wireless)
• Cria um Access Point
• Web Server – execução remota de scripts
• On demand
• Upload ou script armazenado
• WHID Injector – Rubber ducky on Steroids
• Hardware dedicado - Cactus Micro Rev2
32. Single Boards
• Computadores construídos sob uma única placa
• Componentes essenciais inclusos
• Portabilidade
• Menor custo
• Raspberry Pi
• Orange Pi
• Banana Pi
• Entre outras.