视频演示:USB以太网适配器经改动能窃取Windows和Mac系统凭证
E安全9月8日讯 安全研究人员Rob Fuller发现了一种独特的攻击方法,能从Windows、Mac计算机(也可能是Linux,目前还未测试)窃取PC凭证。
Fuller的攻击能有效针对用户登录的锁定计算机。
研究人员使用USB以太网适配器。为了运行特殊的软件,研究人员修改了USB以太网适配器的固件代码。特殊软件将即插即用USB设备作为连接计算机的网关、DNS和WAPD服务器。
攻击奏效,因为计算机信任PnP设备
攻击存在可能性,因为大多数电脑将自动安装任何即插即用(PnP)USB设备。
Fuller昨日在博文中写道,“为什么会奏效?因为USB为即插即用。这就意味着即使系统处于锁定状态,设备仍能安装。”
“现在,我认为在新操作系统锁定状态下允许安装的设备类型有限(Win10/El Capitan),但以太网/LAN绝对在白名单上。”
经改造的USB以太网适配器记录PC凭证
当安装新(流氓)即插即用USB以太网适配器,计算机将分发必需的本地凭证安装该设备。
Fuller改造的设备包括拦截这些凭证并保存至SQLite数据库的软件。此外,还包含LED,当记录凭证时会发亮。
攻击平均运行时间为13秒
攻击者需要物理访问设备插入流氓USB以太网适配器,但Fuller表示,平均攻击时间为13秒。此类攻击可能会窃取储存在目标设备上的各种信息。
Fuller通过USB以太网软件狗(比如155美元的USB Armory和49.99美元的Hak5 Turtle)进行了测试。
Fuller解释道,当目标设备试图通过适配器连接到网络时,以太网适配器需要装配来嗅探流量并捕获目标设备发送的凭证。
这类攻击利用Laurent Gaffié的响应器获取凭证。Hak5 Turtle已有一个模块。对于USB Armory,可能使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。
他表示,“基本上是通过Laurent Gaffié的响应器完成,因此你需要找到在设备上获取响应器的方式。Hak5 Turtle已有模块,第一次需要“启用”模块(插入互联网访问),从而下载所有相关性和数据包本身。对于USB Armory,你可以使用SCP、互联网连接共享、USB主机/客户端适配器获取凭证。”
攻击在某些设备上可能会失败。无论如何,研究人员在Windows 企业和家庭(除了Windows 8)等Windows系统,以及OS X El Capitan上做了测试,结果奏效。比如,当目标设备发现无线和有线网络,它将会连接至最快的网络,可能会出现攻击失败的情况。当然,为了发起攻击,有必要物理访问目标设备。
https://v.qq.com/txp/iframe/player.html?vid=l0326ori9wf&width=500&height=375&auto=0
Fuller表示,这种攻击在Windows 98 SE、Windows 2000 SP4、 Windows XP SP3、Windows 7 SP1、Windows 10 (Enterprise and Home)、 OS X El Capitan、和OS X Mavericks上能成功实现。Fuller还计划测试Linux发行版。
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。