Bezpečnostní tým shledá škodlivý software, který zneužívá USB čipové karty

Tým výzkumníků vytvořil malware prokazující koncept, který může útočníkům umožnit kontrolu nad čtečkami čipových karet USB připojenými k infikovanému počítači se systémem Windows přes internet.

Malware instaluje na infikovaném počítači speciální ovladač, který umožňuje, aby se zařízení USB připojená k internetu sdílela s počítačem útočníka.

V případě čteček čipových karet USB útočník může používat middlewarový software poskytovaný výrobcem čipových karet, aby mohl provádět operace s kartou oběti, jako kdyby byl připojen k vlastnímu počítači, řekl Paul Rascagneres, konzultant bezpečnosti IT v lucemburském bezpečnostním auditu g a konzultační firmou Itrust Consulting, minulý týden. Rascagneres je také zakladatelem a vedoucím antivirového analytického a inženýrského projektu nazvaného malware.lu, jehož tým vytvořil tento malware pro sdílení pomocí rozhraní USB.

Již byly zdokumentovány případů malwaru, které zneužívají zařízení smart card v místním počítači a používají je prostřednictvím API (aplikačního programovacího rozhraní) poskytovaného výrobcem.

Avšak malware důkazu o koncepci vyvinutý týmem malware.lu bere tento útok dokonce dále a sdílí zařízení USB přes TCP / IP v "surovém" formuláři, řekl Rascagneres. Dalším ovladačem instalovaným na počítači útočníka se zdá, že se zdá, že je zařízení připojeno lokálně.

Rascagneres plánuje ukázat, jak útok funguje na konferenci MalCon Security v novém Dillí, Indie, 24. listopadu.

bezpečnostní karty

Smart karty se používají pro různé účely, ale nejčastěji pro digitální ověřování a podepisování dokumentů. Některé banky poskytují svým zákazníkům čipové karty a čtečky pro bezpečné autentizaci pomocí svých systémů online bankovnictví. Některé společnosti používají čipové karty k vzdálené autentizaci zaměstnanců ve svých podnikových sítích. Některé země také zavedly elektronické průkazy totožnosti, které mohou občané použít k ověřování a provádění různých operací na vládních webových stránkách.

Rascagneres a tým malware.lu testovali svůj prototyp malware na národní elektronické identifikační kartě (eID) Belgie a některé smart karty používané belgickými bankami. Belgický eID umožňuje občanům podávat své daně online, podepisovat digitální dokumenty, podávat stížnosti policií atd.

Teoreticky by malware mal fungovat s jakýmkoli typem čipové karty a čtečky čipových karet USB, říká výzkumník.

Ve většině případů se čipové karty používají společně s PIN nebo heslem. Protokol malwaru navržený týmem malware.lu má keyloggerovou součást, která tyto informace zadrží, když je uživatel zadává prostřednictvím klávesnice.

Pokud čtečka čipových karet obsahuje fyzickou klávesnici pro zadání kódu PIN, pak tento typ "

Ovladače vytvořené výzkumnými pracovníky nejsou digitálně podepsány s platným certifikátem, takže nemohou být nainstalovány ve verzích Windows, které vyžadují podepsání nainstalovaných ovladačů, jako 64bitové verze Windows 7. Ovšem skutečný útočník by mohl před spuštěním takového malware podepsat ovladače s ukradenými certifikáty.

Je známo, že malware jako TDL4 je schopen zakázat zásady podepisování ovladače na 64bitových verzích systému Windows 7 pomocí pomocí spouštěcí složky rootkit-bootkit, která běží před načtením operačního systému.

Útok je téměř úplně transparentní pro uživatele, protože jim nebrání používat inteligentní kartu jako obvykle, řekl Rascagneres. Jediným příběhem může být blikající aktivita vedená čtečkou čipových karet, když je karet přístupná útočníkovi, řekl.