Hằng năm, hàng ngàn hacker và các chuyên gia bảo mật lại tiến về Las Vegas để tham dự hội nghị bảo mật lớn nhất thế giới - Black Hat security conference. Mới đây một nhà nghiên cứu đã tìm ra một lỗ hổng trong thiết kế tiêu chuẩn USB có thể bị lợi dụng để cài các mã độc vào máy tính người dùng.
I. USB là gì?
Tôi chắc rằng nhiều người sẽ bỏ qua, ai mà chẳng biêt cái USB là gì. Tuy nhiên tôi muốn nói sâu hơn một chút để các bạn có thể hình dung được cách mà người ta cài mã độc thông qua một cái USB nghĩa là như thế nào.
Khi mở một thiết bị USB ra bạn sẽ thấy phần mainboard tương tự như sau:
Phần “dung lượng” mà bạn thấy sau khi kết nối USB vào máy tính chính là phần Mass storage, và chỉ duy nhất phần này là hiển thị đối với người dùng.
Khi người dùng cắm thiết bị USB vào máy tính, USB sẽ chạy bootloader của nó và sẽ thực hiện quá trình đăng ký với hệ điều hành các thong tin như interface class,address bus mà nó đang được cắm,serial number… sau đó hệ điều hành sẽ cài đặt một driver cơ bản của USB thông qua những thông tin trên. Sau quá trình này người dùng mới “nhận” được USB trên hệ thống.
II. Mã độc nhúng trong USB sẽ lây nhiễm như thế nào?
Vậy sẽ thế nào nếu firmware mà USB gửi đến hệ điều hành có chứa mã độc? Từ quan điểm chống mã độc, sẽ có vấn đề phát sinh nếu firmware của thiết bị bị ghi đè bởi một firmware khác có nguồn gốc không rõ ràng. Thật không may là các nhà nghiên cứu đã chỉ ra rằng hầu hết các chip nhớ firmware hiện nay đều là các chip nhớ programmable (có thể lập trình lại) mà không cần bất cứ sự thay đổi đặc biệt nào về phần cứng. Tuy nhiên việc tái lập trình các thiết bị như vậy cần một nguồn đầu tư đáng kể nên có lẽ sẽ khó có thể lây nhiễm malware bằng phương pháp này trong thời gian ngắn
Sau đây là một số cách để những firmware này lây nhiễm vào máy tính của người dùng:
_ Thiết bị USB của bạn có thể “biến hình” thành một bàn phím thông qua việc đăng ký một interface khác, và sau đó nó có thể gửi một tổ hợp các phím có chức năng tải về một mẫu virus khác. Trong thử nghiệm, mất gần 2 giây để thực hiện được điều này và cần phải thực hiện lúc người dùng đăng nhập vào hệ thống
_ Một cách tấn công khác là khi cắm thiết bị USB khi khởi động máy tính, nó sẽ tìm cách để hệ thống boot vào thiết bị đó, và sau đó nó sẽ có thể chiếm quyền điều khiển của cả hệ thống. Thử nghiệm chỉ thành công khi thứ tự boot cho USB cao hơn boot vào HDD, các nhà nghiên cứu cũng đã thử cách này với một bàn phím tuy nhiên chỉ thành công trên một số cấu hình máy tính nhất định. Vậy nên bạn có thể yên tâm rằng đây cũng không phải là một cách lây nhiễm quá nguy hiểm
_ Chúng ta biết rằng mọi thao tác truy cập vào thiết bị USB đều sẽ được ghi nhận, do đó một thiết bị có chứa mã độc có thể qua mặt các trình antivirus bằng cách gửi một vùng “sạch” khi có yêu cầu truy cập từ các trình antivirus và điều hướng đến vùng có chứa mã độc nếu nó nhận thấy yêu cầu truy cập từ người dùng
_Một viễn cảnh khác tinh vi và nguy hiểm hơn là thiết bị có thể giả mạo chính nó thành một card mạng kết nối thông qua cổng USB, và nó có thể tự trả lời các truy vấn DHCP, tự tải các mã độc,đầu độc DNS sao cho truy vấn đó sẽ đưa bạn đến một trang chứa mã độc. Nói một cách đơn giản thì nó giống như một cuộc tấn công Man-in-the-Middle
Về mặt thiết kế, cách để đọc/ghi dữ liệu từ USB phụ thuộc vào cách thiết kế firmware của hãng đó, nghĩa là trên thực tế chương trình antivirus không thể quét toàn bộ (nghĩa là bao gồm vùng firmware) thiết bị. Nên cách mà các nhà sản xuất khuyên bạn để tự bảo vệ mình là tránh update những firmware không rõ nguồn gốc, mà tốt nhất là bạn cũng không nên update firmware trừ khi bạn biết rõ mình đang làm gì
III. Những ai sẽ là nạn nhân của kỹ thuật tấn công này
Tôi không hy vọng bạn sẽ quẳng hết USB của bạn khi đọc bài viết này :D, bạn có thể yên tâm rằng sẽ không có một cuộc tấn công qui mô lớn nào thông qua kỹ thuật này trong tương lai gần. Người dùng gia đình sẽ không cần e ngại về việc này vì kỹ thuật lập trình firmware đòi hỏi một số điều kiện nhất định nên bạn không cần lo lắng khi ai đó cắm USB vào máy tính của bạn.
Đối với người dùng doanh nghiệp, tốt nhất là sử dụng các thiết bị USB sử dụng chip firmware non-writable hoặc có một cách nào đó để vertify firmware trước khi update
nguồn: ceh.vn
