Al een jaar of zeven geleden stonden de kranten vol met waarschuwingen voor de Conficker-worm. Deze worm verspreidde zich via USB-datasticks en was daarin zeer succesvol vanwege de autoplay-functie die op verreweg de meeste PC’s staat ingeschakeld. Met de autoplay-functie krijgt de gebruiker enkele seconden na het insteken van een USB-stick een pop-up te zien, waarin de keuze wordt gegeven wat er met de USB-stick moet gebeuren (bijvoorbeeld: mappen openen).

Conficker moet door de gebruiker worden geactiveerd. Om dit voor elkaar te krijgen, maakte de worm gebruik van zogenaamde social engineering. Bij social engineering maakt een misdadiger of oplichter gebruik van de natuurlijke eigenschappen van de mens, zoals nieuwsgierigheid of gemakzucht. Het scherm dat een gebruiker te zien krijgt wanneer een met een Conficker geïnfecteerde USB-stick wordt ingeplugd, ziet er als volgt uit:

Op het eerste gezicht lijkt hier niets vreemd aan de hand. Bij nauwkeurige bestudering valt echter op dat de optie “Open folder to view files” tweemaal voorkomt. De eerste optie heeft een onbekende uitgever, terwijl de tweede optie aangeeft dat de navigatie zal geschieden met Windows Explorer. Wie op de eerste optie klikt, maakt de verkeerde keuze en installeert daarmee Conficker op zijn PC.

Bescherming tegen Conficker

Om het gevaar van Conficker te lijf te gaan, ontwikkelden de meeste anti-virusoplossingen modules waarbij de data op een USB-datastick werden gecontroleerd op malware alvorens de autoplay-functie te laten starten. Een prima manier om Conficker voor te zijn.

Echter, naar nu blijkt, zijn er twee essentiële zaken over het hoofd gezien bij het ontwikkelen van deze modules. Ten eerste werd de controle alleen toegepast op USB-datasticks, niet op andere USB-apparaten, zoals printers, koptelefoons, toetsenborden, muizen, webcams, … Dat leek niet nodig omdat op die apparaten geen data kunnen worden opgeslagen, en dus ook geen malware, zo dacht men. De tweede fout is precies die laatste gedachtengang.

Ook op USB-apparaten staat code, de zogenaamde firmware. Deze firmware laat ten eerste weten aan de PC wat voor apparaat hij is, bijvoorbeeld een webcam. Daarnaast laat de firmware het apparaat zijn functies uitoefenen.

Firmware-manipulatie

De onderzoekers van SRLabs hebben nu getoond dat het mogelijk is om firmware van USB-sticks te manipuleren. Hiermee wordt het bijvoorbeeld mogelijk voor een USB-datastick om zich naar de PC toe voor te doen als een toetsenbord. Nu vallen USB-datasticks en USB-toestenborden in verschillende categorieën als het om risico voor de PC gaat. Door Conficker is duidelijk dat USB-datasticks een groot risico vormen.

Naast de controle die inmiddels door anti-virusproducten wordt uitgevoerd op malware op de data-opslag, is er nog een beveiligingsmaatregel toegepast: de PC geeft een USB-datastick zeer weinig mogelijkheden op het systeem. De toegang tot het systeem is zeer beperkt en een datastick kan geen wijzigingen aan het systeem aanbrengen. Bij een toetsenbord ligt dit anders.

Een USB-toetsenbord wordt gezien als een dom apparaat, zonder data-opslagmogelijkheid en dus ook zonder de mogelijkheid om kwaadaardige code te bevatten, dus deze wordt niet gecontroleerd. Tegelijk krijgt het apparaat gelijk zeer uitgebreide toegang tot het systeem.

Bovendien kan met een toetsenbord (zelfs met een neptoetsenbord) code worden ingegeven. Zo kan een neptoetsenbord Powershell oproepen. Powershell is een command line interface waarin commando’s kunnen worden ingegeven, bedoeld voor het maken van scripts om bepaalde processen te kunnen automatiseren, maar het biedt cyber-criminelen ook de mogelijkheid om met het ingeven van de juiste commando’s de controle over de computer volledig over te nemen.

Nieuwe beveiliging nodig

Deze aanval is nog niet waargenomen buiten het lab van de Berlijnse onderzoekers, maar over het algemeen geldt: als onderzoekers het kunnen ontdekken, kunnen de betere cyber-criminelen het ook (vroeg of laat) ontdekken en misbruiken. Daarom was het sinds de onthullingen van SRLabs heel belangrijk voor de security-industrie om een oplossing voor dit gevaar te ontwikkelen.

Sinds kort is een tool beschikbaar die de reeds omschreven mogelijke aanval met een niet bestaand toetsenbord aanpakt. De software geeft een waarschuwing wanneer het waarneemt dat de firmware van een USB-toetsenbord wordt ingeplugd. Dat betekent dus dat er een pop-up zal komen wanneer een toetsenbord in de PC wordt gestoken, maar ook wanneer een USB-datastick wordt ingeplugd waarvan de firmware is gemanipuleerd.

Het is aan de gebruiker om na de pop-up al dan niet akkoord te geven aan het apparaat om de toegang tot het systeem te krijgen die een toetsenbord nodig heeft. Dus wanneer slechts een USB-datastick is ingestoken, dient die toestemming niet te worden gegeven en moet de USB-stick per ommegaande vernietigd.

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Zellik)).

Meer info: 070/350.129 .