SlideShare a Scribd company logo

USB napadi

Download as PPTX, PDF
K
KristinaDjuric5

Prezentacija predstavlja pregled USB napada. U prvom delu prezentacije predstavljena je mapa modela pretnji. Nakon toga, opisan je targetni modul koji cine ljudski, aplikacioni, transportni i fizicki sloj. Za svaki sloj dato je objasnjenje najznacajnijih napada i njihovih mitigacija, kao i najbolje resenje. Na kraju prezentacije je istaknut future work i sacinjena je rekapitulacija celokupnog istrazivanja. Sve informacije su dobijene anailzom naučnih radova na temu USB napada, čije reference se mogu naći na kraju prezentacije.

Technology
1 of 81
USB napadi
Mi smo tim 2 Kristina Đurić E2 92/2021 Marija Milanović E2 98/2021 Maja Dragojlović E2 95/2021 kristinadj980 Maja18 marijamilanovi c
Uvod Targetni modul Naše rešenje Future work Zaključak Ljudski sloj Aplikacioni sloj Transportni sloj Fizički sloj
NAPADAČI TARGETNI MODUL RESURSI MITIGACIJE NAPADI PRETNJE Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Signal injection USB baiting Stuxnet worm Crosstalk leakage attacks USBKiller Sniffing attack Juice jacking Keystroke injection attacks BadUSB attacks Enkripcija podataka Disable-ovanje usb portova Security training Antivirus USBFilter ProvUSB USB condom DeviceVeil Enkripcija USB protokola LC i LDO za razdvajanje vodova Cinch USBlock Malboard SandUSB UScramBle Računari bez drajvera Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Ljudski sloj Aplikacioni sloj Transportni sloj Fizicki sloj GoodUSB FirmUSB USBFuzz
[2] Targetni modul
Injektovanje malicioynog koda Keystroke injection Krađa podataka Eksfiltracija osetljivih infrormacija Osetljivi podaci Lični podaci PRETNJE NAPADI RESURSI MITIGACIJE Enkripcija podataka Onemogućavanje USB portova Security training NAPADAČI USB baiting Brisanje ili modifikacija podataka Ljudski sloj
[2] Targetni modul
Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Data extraction Stuxnet worm Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Antivirus USBFilter ProvUSB USB condom DeviceVeil Enkripcija USB protokola optičko razdvajanje USB vodova podataka + 5V napon LC i LDO za razdvajanje vodova Aplikacioni sloj Lični podaci Osetljivi podaci PRETNJE NAPADI RESURSI MITIGACIJE NAPADAČI
NAPAD PRETNJE RESURSI Stuxnet worm Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem Aplikacioni sloj
Širi se na uređaje u lokalnoj mreži 2010. ubačen preko USB fleša Summary of Stuxnet worm operation [4] Stuxnet worm Ubrizgavanje koda
NAPAD PRETNJE RESURSI Stuxnet worm Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem Antivirus MITIGACIJA Aplikacioni sloj
Antivirus Isplativ Nepotpuna zaštita Usporava sistem Skeniranje virusa pomoću poznatih šablona ✓ ╳ USBFilter Zaštita od virusa
USBFilter Exfiltration of sensitive data Deletion or modification of data Keystroke injection Malicious code injection Firmware access Data theft Eavesdropping on communication channels Personal data Sensitive data Peripherals Firmware File system Stuxnet worm NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
USBFIlter Zbog jednostavnosti podržanih pravila napadač može da ih zaobiđe. Overhead prilikom svakog slanja paketa. Determinističko rešenje koje otkriva već poznate napade. ✓ ╳ Svi fizički ili virtuelni uređaji moraju proći kroz USBFILTER pre isporuke na željeno odredište USBFILTER se ne može zaobići ili onemogućiti sve dok se održava integritet OS Korisnički definisana pravila moraju biti verifikovana ProvUSB
Stuxnet worm ProvUSB Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
✓ ╳ DeviceVeil Pouzdana identifikacija host-a Odgovor na pitanje gde i kada je malware inficirao sistem ProvUSB Blokovi moraju da podržavaju čitanje i pisanje → mali prostor mogućnosti za malware propagaciju Zahteva uređaje sa OS Nema individualnu autentifikaciju
DeviceVeil DeviceVeil Stuxnet worm Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
✓ ╳ Individualna autentifikacija uređaja (PUF) Overhead za vreme insert-ovanja uređaja Ne zavisi od OS Ne može zaštiti OS od dozvoljenih (malicioznih) uređaja Nije kompatibilan sa legacy sistemima Zahteva izmene hardvera Ne može sprečiti curenje informacija Data extraction DeviceVeil
NAPAD Data extraction PRETNJE RESURSI Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem Aplikacioni sloj
USB Root Hub Data and power lines
Data extraction DeviceVeil USB condom Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
✓ ╳ Dostupan u prodaji Enkripcija USB protokola USB condom Vodovi podataka i strujni vodovi su isprepleteni Pristupačan je
Data extraction DeviceVeil Enkripcija USB protokola Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
✓ ╳ Grantuje integritet poruka LC i LDO za razdvajanje vodova Uređaj mora da ima dovoljno snage Enkripcija USB protokola optičko razdvajanje USB vodova podataka + 5V napon Diffie-Hellman Key Exchange
Data extraction DeviceVeil LC i LDO za razdvajanje vodova Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
Data extraction DeviceVeil optičko razdvajanje USB vodova podataka + 5V napon Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
Aplikacioni sloj ProvUSB DeviceVeil Optičko razdvajanje USB vodova podataka + 5V napon
Prikupljanje i praćenje porekla na USB uređajima Istorija manipulacija na objektu podataka Snimanje čitanja i pisanja na block sloju Odgovor na pitanje gde i kada je malware inficirao sistem Pouzdana identifikacija host- a TPM (Trusted Platform Module) Komunikacija preko USB kanala ProvUSB
DeviceVeil design overview [4] Identifikuje individualno USB uređaje Overhead samo prilikom insert-ovanja uređaja PUF u USB-u Specijalizovan hardver Kombinacija sa ProvUSB-om DeviceVeil
[2] Targetni modul
Rubber Ducky Rubber Ducky PHUKD USB Driveby Logic bomb Man in the middle attack Ransomware Raspiducky Raspiducky USBFilter Cinch USBlock Framework za detekciju Malborda DeviceVeil FirmUSB USBFuzz GoodUSB Transportni sloj NAPADI MITIGACIJE NAPADAČI Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI
Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj
Ponaša se kao tastatura i ima instalirane keystrokes-e Kad ga konektujemo na računar ponaša se kao tastatura i keystrokes se automatski pokreću, ima veliku brzinu - 1000 reči po minuti Rubber Ducky Komande se pišu u Ducky skriptama
Raspiducky Softver otvorenog koda, napravljen preko Raspberry Pi Zero W Emulacija USB fleš diska Emulacija tastature Izvršavanje komandi preko Bluetooth-a Brzo kucanje
PHUKD Fizički keylogger koji je napravljen pomoću Teensy mikrokontrolera, u stanju da skladišti keystrokes-e Moguće je definisati tačno vreme izvršavanja napada Brzo kucanje PS/2 keyboard port Teensy SD adapter
USBdriveby Koristi Teensy mikrokontroler za izvršavanje napada Sprovodi naprednije napada kao što je overriding DNS podešavanja Brzo kucanje
Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil USBFilter MITIGACIJA
USBFIlter Zbog jednostavnosti podržanih pravila napadač može da ih zaobiđe. Overhead prilikom svakog slanja paketa. Determinističko rešenje koje otkriva već poznate napade. ✓ ╳ Svi fizički ili virtuelni uređaji moraju proći kroz USBFILTER pre isporuke na željeno odredište USBFILTER se ne može zaobići ili onemogućiti sve dok se održava integritet OS Korisnički definisana pravila moraju biti verifikovana Cinch
Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil Cinch MITIGACIJA
Cinch ✓ ╳ USBlock Izoluje USB uredjaj od host-a Prosleđivanje komunikacije kroz virtuelnu mašinu - gateway Sprovođenje bezbedne politike - security policies Usmeravanje USB saobraćaja na zaštićenu mašinu Moguće eksploatisanje bug-ova Uticaj na performanse nije prihvatljiv za audio i video uređaje Nema individualnu autentifikaciju Overhead za vreme komunikacije sa USB-om
Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil USBlock MITIGACIJA
✓ ╳ Framework za detekciju Malbord-a USBlock Ne može da se brani protiv napada na BIOS nivou. Zasniva se na informacijama na nivou operativnog sistema Novije rešenje, ne oslanja se na učešće korisnika o odluci o poverenju Jednostavno, efikasno i nadogradivo Zasnovano na analizi USB paketa saobraćaja Koristi vremenski jaz između dinamike kucanja ljudi i keystroke injection napada Razlikuje normalno od abnormalnog kucanja (AKS-a)
Rubber Ducky Malboard USB driveby PHUKD Raspiducky USBFILTER Cinch USBlock
USBlock 03 Cinch 02 USBFILTER 01 Prva dva rešenja sprečavaju keystroke injection napade na osnovu nepoznatih VID i PID. Međutim Malbord uspešno izvršava imitaciju VID i PID od tastature, tako da ne mogu da ga prepoznaju. Malbord može da se izvrši iako postoji USBlock zaštita. Moguće je izvršiti dok korisnik nije za računarom, jer je dinamika pritiska na taster slična ljudskoj dinamici.
USB Host Shield Mini omogućava Teensy-ju komunikaciju sa tastaturom. Teensy je zadužen da kopira VID i PID tastature. ESP8266 služi za konektovanje na Wi-Fi mrežu. Malboard overview [6] Malbord Generiše keystrokes-e koji imaju iste osobine ponašanja kao i žrtva napada.
Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Malbord Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil Framework za detekciju Malboard-a MITIGACIJA
NAPAD Transportni sloj Logic bomb Man in the middle attack Ransomware PRETNJE RESURSI Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem
Man in the middle attack Napad gde napadač tajno presreće i prenosi poruke između 2 strane koje komuniciraju međusobno Potrebna 2 prilagođena USB hardware-ska uređaja
Logic bomb Briše datoteke Briše hard diskove Oštećuje podatke Cilj da se nanese šteta kada se ispune određeni uslovi Zlonamerni kod se diskretno instalira u softver, računarsku mrežu ili OS Pokretanje u određenom trenutku
IRON HID Sakriven Tensy board na mestima kao što su tastature i prenosive USB baterije USB On-To-Go kabl Prisluškivanje usb komunikacije Injektovanje lažnih pritisaka na tasaturi sa ciljem nasilnog otključavanja ekrana
Bad Android Punjenje telefona na laptopu žrtve Menja rutiranje tabela host- ovog sistema Menja default-ni mrežni gateway od laptopa na IP adresu telefona Sav mrežni saobraćaj usmeren preko telefona Promena unosa za DNS servere laptopa i redirektovanje saobraćaja na kompromitovane servere
NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil USBFilter MITIGACIJA
USBFIlter Zbog jednostavnosti podržanih pravila napadač može da ih zaobiđe. Overhead prilikom svakog slanja paketa. Determinističko rešenje koje otkriva već poznate napade. ✓ ╳ Svi fizički ili virtuelni uređaji moraju proći kroz USBFILTER pre isporuke na željeno odredište USBFILTER se ne može zaobići ili onemogućiti sve dok se održava integritet OS Korisnički definisana pravila moraju biti verifikovana Cinch
NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil Cinch MITIGACIJA
Moguće eksploatisanje bug-ova Nema individualnu autentifikaciju ✓ ╳ DeviceVeil Cinch Uticaj na performanse nije prihvatljiv za audio i video uređaje Overhead za vreme komunikacije sa USB-om Izoluje USB uredjaj od host-a Prosleđivanje komunikacije kroz virtuelnu mašinu -gateway Sprovođenje bezbedne politike - security policies Usmeravanje USB saobraćaja na zaštićenu mašinu
NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil DeviceVeil MITIGACIJA
USBFIlter Nije kompatibilan sa legacy sistemima Ne može zaštiti OS od dozvoljenih (malicioznih) uređaja Zahteva izmene hardvera ✓ ╳ USBlock DeviceVeil Ne može sprečiti curenje informacija Individualna autentifikacija uređaja (PUF) Overhead za vreme insert-ovanja uređaja Ne zavisi od OS
NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil USBlock MITIGACIJA
Transportni sloj Framework za detekciju Malbord-a USBlock
Osmišljen je framework za detekciju Malboard napada, ovo rešenje obuhvata tri modula za detekciju koja su zasnovana na bočnim kanalima i oni su: 1) Detekcija zasnovana na potrošnji energije 2) Detekcija na osnovu kašnjenja zvuka pritiska na tasteru 3) Otkrivanje na osnovu inspekcije brisanja u kucanju Framework za detekciju Malborda
Novije rešenje, ne oslanja se na učešće korisnika o odluci o poverenju Jednostavno, efikasno i nadogradivo Zasnovano na analizi USB paketa saobraćaja Koristi vremenski jaz između dinamike kucanja ljudi i keystroke injection napada Razlikuje normalno od abnormalnog kucanja (AKS-a) RES t=0.02 s=3 Sequence threshold Time threshold Detektovao se RES USB MONITOR USBlock
[2] Targetni modul
USBKiller Sniffing attack Juice jacking Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem SandUSB UScramBle Cinch Security training Računari bez drajvera HDD Signal injection Fizički sloj PRETNJE NAPADI RESURSI MITIGACIJE NAPADAČI
NAPAD PRETNJE RESURSI Fizički sloj Juice jacking Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection
Juice jacking Charging cable napad USB port ima dvostruku funkciju, punjenja i prenosa podataka, USB uređaj može nenamerno dati pristup podacima zlonamernom hostu tokom punjenja. Napadač bez potrebe za bilo kakvom dozvolom od strane vlasnika tog uređaja može instalirati malver ili može rukovati osetljivim podacima korisnika. USB charging station USB charging interface Shareable Power Bank USB charging in hotel
PRETNJE RESURSI Fizički sloj Juice jacking Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection DeviceVeil SandUSB MITIGACIJA NAPAD
NAPAD PRETNJE RESURSI Fizički sloj Sniffing attack Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection
Sniffing attack Pasivno prisluškivanje komunikacije od host-a do drugih uređaja Pristup downstream saobraćaju Bez pristupa upstream saobraćaju Fizički pristup magistrali
PRETNJE RESURSI Fizički sloj Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection DeviceVeil UScramBle MITIGACIJA NAPAD Sniffing attack
USBFIlter Ne važi za USB 3.0 verzije i veće Ne štiti od malicioznih ili kompromitovanih hub-ova koji vide ključ ✓ ╳ Cinch UScramBle bezbedno slanje i razmena ključa
PRETNJE RESURSI Fizički sloj Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection DeviceVeil Cinch MITIGACIJA NAPAD Sniffing attack
NAPAD PRETNJE RESURSI Fizički sloj USBKiller Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection Security training Računari bez drajvera
Fizicki sloj Cinch SandUSB
Izoluje USB uredjaj od host-a Prosleđivanje komunikacije kroz virtuelnu mašinu - gateway Sprovođenje bezbedne politike - security policies Usmeravanje USB saobraćaja na zaštićenu mašinu Security policies Signature policy Compliance policy Cinch’s crypto Policy Containment policy Cinch’s logging Policy Security policies Cinch overview [7] Cinch
Arhitektura sistema SandUSB se sastoji od sledeća tri glavna procesa: Samostalni gadget koji predstavlja zaštitni sloj između USB uređaja i host računara. SandUSB SandUSB workflow [8] 1. Numeracija uređaja i crna lista 2. Skeniranje i analiza 3. Pasivna analiza USB paketa
Future work ➔ Nastaviti sa istraživanjem izabranih najboljih rešenja. ➔ Istražiti detaljnije njihovu arhitekturu i implementaciju. ➔ Napisati novi rad u kom će biti izložen predlog novog mehanizma koji bi mogao da štiti od USB napada po svim slojevima.
Ljudski sloj Security training Fizički sloj Cinch + SandUSB Transportni sloj Framework za detekciju Malbord-a + USBlock Aplikacioni sloj ProvUSB + DeviceVeil + Optičko razdvajanje USB vodova podataka TARGET MODULE Zaključak
[1] SoK: "Plug & Pray" Today – Understanding USB Insecurity in Versions 1 Through C [2] USB-based attacks [3] Users Really Do Plug in USB Drives They Find [4] Provusb: Block-level provenance-based data protection for usb storage devices [5] DeviceVeil: Robust Authentication for Individual USB Devices Using Physical Unclonable Functions [6] Making USB Great Again with USBFILTER [7] USB Snooping Made Easy: Crosstalk Leakage Attacks on USB Hubs [8] USBlock: Blocking USB-Based Keypress Injection Attacks [9] Malboard: A novel user keystroke impersonation attack and trusted detection framework based on side-channel analysis [10] Defending against Malicious Peripherals with Cinch [11] A transparent defense against USB eavesdropping attacks [12] Charger-Surfing: Exploiting a Power Line Side-Channel for Smartphone Information Leakage [13] SandUSB: An installation-free sandbox for USB peripherals Related papers
Hvala a pažnj !!!

Recommended

Anatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašiniAnatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašiniITDogadjaji.com
 
ЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУNatasaStojkovic11
 
Zaštita i sigurnost u elektronskom poslovanju
Zaštita i sigurnost u elektronskom poslovanjuZaštita i sigurnost u elektronskom poslovanju
Zaštita i sigurnost u elektronskom poslovanjuMaja Todorovic
 
Paukovic i-racunalni-virusi
Paukovic i-racunalni-virusiPaukovic i-racunalni-virusi
Paukovic i-racunalni-virusizbornica
 
Informatika.netkp (antivirusi i virusi)
Informatika.netkp (antivirusi i virusi)Informatika.netkp (antivirusi i virusi)
Informatika.netkp (antivirusi i virusi)Andrej177
 
Napadi na VPVA - zoss
Napadi na VPVA - zossNapadi na VPVA - zoss
Napadi na VPVA - zossTeam61
 
18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptx
18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptx18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptx
18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptxssusera6f99e
 
заштита мреже
заштита мрежезаштита мреже
заштита мрежеLuka9973
 

Recommended

Anatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašiniAnatomija napada – duhovi u mašini
Anatomija napada – duhovi u mašiniITDogadjaji.com
 
ЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУЗАШТИТА НА ИНТЕРНЕТУ
ЗАШТИТА НА ИНТЕРНЕТУNatasaStojkovic11
 
Zaštita i sigurnost u elektronskom poslovanju
Zaštita i sigurnost u elektronskom poslovanjuZaštita i sigurnost u elektronskom poslovanju
Zaštita i sigurnost u elektronskom poslovanjuMaja Todorovic
 
Paukovic i-racunalni-virusi
Paukovic i-racunalni-virusiPaukovic i-racunalni-virusi
Paukovic i-racunalni-virusizbornica
 
Informatika.netkp (antivirusi i virusi)
Informatika.netkp (antivirusi i virusi)Informatika.netkp (antivirusi i virusi)
Informatika.netkp (antivirusi i virusi)Andrej177
 
Napadi na VPVA - zoss
Napadi na VPVA - zossNapadi na VPVA - zoss
Napadi na VPVA - zossTeam61
 
18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptx
18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptx18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptx
18-sredstva-i-metode-zastite-racunara-i-informacija (1).pptxssusera6f99e
 
заштита мреже
заштита мрежезаштита мреже
заштита мрежеLuka9973
 
вируси
вирусивируси
вирусиDragana Barac Cakarevic
 
Zlonamerni programi
Zlonamerni programiZlonamerni programi
Zlonamerni programiarmbor
 
Безбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиБезбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиОШ ХРШ
 
Maliciozni softver
Maliciozni softverMaliciozni softver
Maliciozni softverilijaseminarski
 
Vii1 internte pojam el kom bezbednost
Vii1 internte pojam el kom bezbednostVii1 internte pojam el kom bezbednost
Vii1 internte pojam el kom bezbednostДарко Симић
 
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111guest33125
 
Evolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberEvolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberDejan Jeremic
 

More Related Content

Similar to USB napadi

Zlonamerni programi
Zlonamerni programiZlonamerni programi
Zlonamerni programiarmbor
 
Безбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиБезбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиОШ ХРШ
 
Vii1 internte pojam el kom bezbednost
Vii1 internte pojam el kom bezbednostVii1 internte pojam el kom bezbednost
Vii1 internte pojam el kom bezbednostДарко Симић
 
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111guest33125
 
Evolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberEvolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberDejan Jeremic
 

Similar to USB napadi (7)

вируси
вирусивируси
вируси
 
Zlonamerni programi
Zlonamerni programiZlonamerni programi
Zlonamerni programi
 
Безбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програмиБезбедност и ризици: Малициозни програми
Безбедност и ризици: Малициозни програми
 
Maliciozni softver
Maliciozni softverMaliciozni softver
Maliciozni softver
 
Vii1 internte pojam el kom bezbednost
Vii1 internte pojam el kom bezbednostVii1 internte pojam el kom bezbednost
Vii1 internte pojam el kom bezbednost
 
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
 
Evolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyberEvolucija cyber pretnji i razvoj cyber
Evolucija cyber pretnji i razvoj cyber
 

USB napadi

  • 2. Mi smo tim 2 Kristina Đurić E2 92/2021 Marija Milanović E2 98/2021 Maja Dragojlović E2 95/2021 kristinadj980 Maja18 marijamilanovi c
  • 3. Uvod Targetni modul Naše rešenje Future work Zaključak Ljudski sloj Aplikacioni sloj Transportni sloj Fizički sloj
  • 4.
  • 5. NAPADAČI TARGETNI MODUL RESURSI MITIGACIJE NAPADI PRETNJE Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Signal injection USB baiting Stuxnet worm Crosstalk leakage attacks USBKiller Sniffing attack Juice jacking Keystroke injection attacks BadUSB attacks Enkripcija podataka Disable-ovanje usb portova Security training Antivirus USBFilter ProvUSB USB condom DeviceVeil Enkripcija USB protokola LC i LDO za razdvajanje vodova Cinch USBlock Malboard SandUSB UScramBle Računari bez drajvera Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Ljudski sloj Aplikacioni sloj Transportni sloj Fizicki sloj GoodUSB FirmUSB USBFuzz
  • 7. Injektovanje malicioynog koda Keystroke injection Krađa podataka Eksfiltracija osetljivih infrormacija Osetljivi podaci Lični podaci PRETNJE NAPADI RESURSI MITIGACIJE Enkripcija podataka Onemogućavanje USB portova Security training NAPADAČI USB baiting Brisanje ili modifikacija podataka Ljudski sloj
  • 8.
  • 10. Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Data extraction Stuxnet worm Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Antivirus USBFilter ProvUSB USB condom DeviceVeil Enkripcija USB protokola optičko razdvajanje USB vodova podataka + 5V napon LC i LDO za razdvajanje vodova Aplikacioni sloj Lični podaci Osetljivi podaci PRETNJE NAPADI RESURSI MITIGACIJE NAPADAČI
  • 11. NAPAD PRETNJE RESURSI Stuxnet worm Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem Aplikacioni sloj
  • 12. Širi se na uređaje u lokalnoj mreži 2010. ubačen preko USB fleša Summary of Stuxnet worm operation [4] Stuxnet worm Ubrizgavanje koda
  • 13. NAPAD PRETNJE RESURSI Stuxnet worm Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem Antivirus MITIGACIJA Aplikacioni sloj
  • 14. Antivirus Isplativ Nepotpuna zaštita Usporava sistem Skeniranje virusa pomoću poznatih šablona ✓ ╳ USBFilter Zaštita od virusa
  • 15. USBFilter Exfiltration of sensitive data Deletion or modification of data Keystroke injection Malicious code injection Firmware access Data theft Eavesdropping on communication channels Personal data Sensitive data Peripherals Firmware File system Stuxnet worm NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
  • 16. USBFIlter Zbog jednostavnosti podržanih pravila napadač može da ih zaobiđe. Overhead prilikom svakog slanja paketa. Determinističko rešenje koje otkriva već poznate napade. ✓ ╳ Svi fizički ili virtuelni uređaji moraju proći kroz USBFILTER pre isporuke na željeno odredište USBFILTER se ne može zaobići ili onemogućiti sve dok se održava integritet OS Korisnički definisana pravila moraju biti verifikovana ProvUSB
  • 17. Stuxnet worm ProvUSB Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
  • 18. ✓ ╳ DeviceVeil Pouzdana identifikacija host-a Odgovor na pitanje gde i kada je malware inficirao sistem ProvUSB Blokovi moraju da podržavaju čitanje i pisanje → mali prostor mogućnosti za malware propagaciju Zahteva uređaje sa OS Nema individualnu autentifikaciju
  • 19. DeviceVeil DeviceVeil Stuxnet worm Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
  • 20. ✓ ╳ Individualna autentifikacija uređaja (PUF) Overhead za vreme insert-ovanja uređaja Ne zavisi od OS Ne može zaštiti OS od dozvoljenih (malicioznih) uređaja Nije kompatibilan sa legacy sistemima Zahteva izmene hardvera Ne može sprečiti curenje informacija Data extraction DeviceVeil
  • 21. NAPAD Data extraction PRETNJE RESURSI Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem Aplikacioni sloj
  • 22. USB Root Hub Data and power lines
  • 23. Data extraction DeviceVeil USB condom Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
  • 24. ✓ ╳ Dostupan u prodaji Enkripcija USB protokola USB condom Vodovi podataka i strujni vodovi su isprepleteni Pristupačan je
  • 25. Data extraction DeviceVeil Enkripcija USB protokola Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
  • 26. ✓ ╳ Grantuje integritet poruka LC i LDO za razdvajanje vodova Uređaj mora da ima dovoljno snage Enkripcija USB protokola optičko razdvajanje USB vodova podataka + 5V napon Diffie-Hellman Key Exchange
  • 27. Data extraction DeviceVeil LC i LDO za razdvajanje vodova Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioynog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
  • 28. Data extraction DeviceVeil optičko razdvajanje USB vodova podataka + 5V napon Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem NAPAD PRETNJE RESURSI MITIGACIJA Aplikacioni sloj
  • 30. Prikupljanje i praćenje porekla na USB uređajima Istorija manipulacija na objektu podataka Snimanje čitanja i pisanja na block sloju Odgovor na pitanje gde i kada je malware inficirao sistem Pouzdana identifikacija host- a TPM (Trusted Platform Module) Komunikacija preko USB kanala ProvUSB
  • 31. DeviceVeil design overview [4] Identifikuje individualno USB uređaje Overhead samo prilikom insert-ovanja uređaja PUF u USB-u Specijalizovan hardver Kombinacija sa ProvUSB-om DeviceVeil
  • 33. Rubber Ducky Rubber Ducky PHUKD USB Driveby Logic bomb Man in the middle attack Ransomware Raspiducky Raspiducky USBFilter Cinch USBlock Framework za detekciju Malborda DeviceVeil FirmUSB USBFuzz GoodUSB Transportni sloj NAPADI MITIGACIJE NAPADAČI Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI
  • 34. Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj
  • 35. Ponaša se kao tastatura i ima instalirane keystrokes-e Kad ga konektujemo na računar ponaša se kao tastatura i keystrokes se automatski pokreću, ima veliku brzinu - 1000 reči po minuti Rubber Ducky Komande se pišu u Ducky skriptama
  • 36. Raspiducky Softver otvorenog koda, napravljen preko Raspberry Pi Zero W Emulacija USB fleš diska Emulacija tastature Izvršavanje komandi preko Bluetooth-a Brzo kucanje
  • 37. PHUKD Fizički keylogger koji je napravljen pomoću Teensy mikrokontrolera, u stanju da skladišti keystrokes-e Moguće je definisati tačno vreme izvršavanja napada Brzo kucanje PS/2 keyboard port Teensy SD adapter
  • 38. USBdriveby Koristi Teensy mikrokontroler za izvršavanje napada Sprovodi naprednije napada kao što je overriding DNS podešavanja Brzo kucanje
  • 39. Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil USBFilter MITIGACIJA
  • 40. USBFIlter Zbog jednostavnosti podržanih pravila napadač može da ih zaobiđe. Overhead prilikom svakog slanja paketa. Determinističko rešenje koje otkriva već poznate napade. ✓ ╳ Svi fizički ili virtuelni uređaji moraju proći kroz USBFILTER pre isporuke na željeno odredište USBFILTER se ne može zaobići ili onemogućiti sve dok se održava integritet OS Korisnički definisana pravila moraju biti verifikovana Cinch
  • 41. Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil Cinch MITIGACIJA
  • 42. Cinch ✓ ╳ USBlock Izoluje USB uredjaj od host-a Prosleđivanje komunikacije kroz virtuelnu mašinu - gateway Sprovođenje bezbedne politike - security policies Usmeravanje USB saobraćaja na zaštićenu mašinu Moguće eksploatisanje bug-ova Uticaj na performanse nije prihvatljiv za audio i video uređaje Nema individualnu autentifikaciju Overhead za vreme komunikacije sa USB-om
  • 43. Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil USBlock MITIGACIJA
  • 44. ✓ ╳ Framework za detekciju Malbord-a USBlock Ne može da se brani protiv napada na BIOS nivou. Zasniva se na informacijama na nivou operativnog sistema Novije rešenje, ne oslanja se na učešće korisnika o odluci o poverenju Jednostavno, efikasno i nadogradivo Zasnovano na analizi USB paketa saobraćaja Koristi vremenski jaz između dinamike kucanja ljudi i keystroke injection napada Razlikuje normalno od abnormalnog kucanja (AKS-a)
  • 46. USBlock 03 Cinch 02 USBFILTER 01 Prva dva rešenja sprečavaju keystroke injection napade na osnovu nepoznatih VID i PID. Međutim Malbord uspešno izvršava imitaciju VID i PID od tastature, tako da ne mogu da ga prepoznaju. Malbord može da se izvrši iako postoji USBlock zaštita. Moguće je izvršiti dok korisnik nije za računarom, jer je dinamika pritiska na taster slična ljudskoj dinamici.
  • 47. USB Host Shield Mini omogućava Teensy-ju komunikaciju sa tastaturom. Teensy je zadužen da kopira VID i PID tastature. ESP8266 služi za konektovanje na Wi-Fi mrežu. Malboard overview [6] Malbord Generiše keystrokes-e koji imaju iste osobine ponašanja kao i žrtva napada.
  • 48. Rubber Ducky Rubber Ducky PHUKD USB Driveby Raspiducky Raspiducky NAPAD Malbord Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj DeviceVeil Framework za detekciju Malboard-a MITIGACIJA
  • 49. NAPAD Transportni sloj Logic bomb Man in the middle attack Ransomware PRETNJE RESURSI Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem
  • 50. Man in the middle attack Napad gde napadač tajno presreće i prenosi poruke između 2 strane koje komuniciraju međusobno Potrebna 2 prilagođena USB hardware-ska uređaja
  • 51. Logic bomb Briše datoteke Briše hard diskove Oštećuje podatke Cilj da se nanese šteta kada se ispune određeni uslovi Zlonamerni kod se diskretno instalira u softver, računarsku mrežu ili OS Pokretanje u određenom trenutku
  • 52. IRON HID Sakriven Tensy board na mestima kao što su tastature i prenosive USB baterije USB On-To-Go kabl Prisluškivanje usb komunikacije Injektovanje lažnih pritisaka na tasaturi sa ciljem nasilnog otključavanja ekrana
  • 53. Bad Android Punjenje telefona na laptopu žrtve Menja rutiranje tabela host- ovog sistema Menja default-ni mrežni gateway od laptopa na IP adresu telefona Sav mrežni saobraćaj usmeren preko telefona Promena unosa za DNS servere laptopa i redirektovanje saobraćaja na kompromitovane servere
  • 54. NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil USBFilter MITIGACIJA
  • 55. USBFIlter Zbog jednostavnosti podržanih pravila napadač može da ih zaobiđe. Overhead prilikom svakog slanja paketa. Determinističko rešenje koje otkriva već poznate napade. ✓ ╳ Svi fizički ili virtuelni uređaji moraju proći kroz USBFILTER pre isporuke na željeno odredište USBFILTER se ne može zaobići ili onemogućiti sve dok se održava integritet OS Korisnički definisana pravila moraju biti verifikovana Cinch
  • 56. NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil Cinch MITIGACIJA
  • 57. Moguće eksploatisanje bug-ova Nema individualnu autentifikaciju ✓ ╳ DeviceVeil Cinch Uticaj na performanse nije prihvatljiv za audio i video uređaje Overhead za vreme komunikacije sa USB-om Izoluje USB uredjaj od host-a Prosleđivanje komunikacije kroz virtuelnu mašinu -gateway Sprovođenje bezbedne politike - security policies Usmeravanje USB saobraćaja na zaštićenu mašinu
  • 58. NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil DeviceVeil MITIGACIJA
  • 59. USBFIlter Nije kompatibilan sa legacy sistemima Ne može zaštiti OS od dozvoljenih (malicioznih) uređaja Zahteva izmene hardvera ✓ ╳ USBlock DeviceVeil Ne može sprečiti curenje informacija Individualna autentifikacija uređaja (PUF) Overhead za vreme insert-ovanja uređaja Ne zavisi od OS
  • 60. NAPAD Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionih kanala Personal data Sensitive data Periferni uređaji Firmware Fajl sistem Lični podaci Osetljivi podaci PRETNJE RESURSI Transportni sloj Logic bomb Man in the middle attack Ransomware DeviceVeil USBlock MITIGACIJA
  • 62. Osmišljen je framework za detekciju Malboard napada, ovo rešenje obuhvata tri modula za detekciju koja su zasnovana na bočnim kanalima i oni su: 1) Detekcija zasnovana na potrošnji energije 2) Detekcija na osnovu kašnjenja zvuka pritiska na tasteru 3) Otkrivanje na osnovu inspekcije brisanja u kucanju Framework za detekciju Malborda
  • 63. Novije rešenje, ne oslanja se na učešće korisnika o odluci o poverenju Jednostavno, efikasno i nadogradivo Zasnovano na analizi USB paketa saobraćaja Koristi vremenski jaz između dinamike kucanja ljudi i keystroke injection napada Razlikuje normalno od abnormalnog kucanja (AKS-a) RES t=0.02 s=3 Sequence threshold Time threshold Detektovao se RES USB MONITOR USBlock
  • 65. USBKiller Sniffing attack Juice jacking Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem SandUSB UScramBle Cinch Security training Računari bez drajvera HDD Signal injection Fizički sloj PRETNJE NAPADI RESURSI MITIGACIJE NAPADAČI
  • 66. NAPAD PRETNJE RESURSI Fizički sloj Juice jacking Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection
  • 67. Juice jacking Charging cable napad USB port ima dvostruku funkciju, punjenja i prenosa podataka, USB uređaj može nenamerno dati pristup podacima zlonamernom hostu tokom punjenja. Napadač bez potrebe za bilo kakvom dozvolom od strane vlasnika tog uređaja može instalirati malver ili može rukovati osetljivim podacima korisnika. USB charging station USB charging interface Shareable Power Bank USB charging in hotel
  • 68. PRETNJE RESURSI Fizički sloj Juice jacking Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection DeviceVeil SandUSB MITIGACIJA NAPAD
  • 69. NAPAD PRETNJE RESURSI Fizički sloj Sniffing attack Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection
  • 70. Sniffing attack Pasivno prisluškivanje komunikacije od host-a do drugih uređaja Pristup downstream saobraćaju Bez pristupa upstream saobraćaju Fizički pristup magistrali
  • 71. PRETNJE RESURSI Fizički sloj Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection DeviceVeil UScramBle MITIGACIJA NAPAD Sniffing attack
  • 72. USBFIlter Ne važi za USB 3.0 verzije i veće Ne štiti od malicioznih ili kompromitovanih hub-ova koji vide ključ ✓ ╳ Cinch UScramBle bezbedno slanje i razmena ključa
  • 73. PRETNJE RESURSI Fizički sloj Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection DeviceVeil Cinch MITIGACIJA NAPAD Sniffing attack
  • 74. NAPAD PRETNJE RESURSI Fizički sloj USBKiller Eksfiltracija osetljivih podataka Brisanje ili modifikacija podataka Keystroke injection Injektovanje malicioznog koda Pristup firmware-u Krađa podataka Prisluškivanje komunikacionoh kanala Lični podaci Osetljivi podaci Periferni uređaji Firmware Fajl sistem HDD Signal injection Security training Računari bez drajvera
  • 76. Izoluje USB uredjaj od host-a Prosleđivanje komunikacije kroz virtuelnu mašinu - gateway Sprovođenje bezbedne politike - security policies Usmeravanje USB saobraćaja na zaštićenu mašinu Security policies Signature policy Compliance policy Cinch’s crypto Policy Containment policy Cinch’s logging Policy Security policies Cinch overview [7] Cinch
  • 77. Arhitektura sistema SandUSB se sastoji od sledeća tri glavna procesa: Samostalni gadget koji predstavlja zaštitni sloj između USB uređaja i host računara. SandUSB SandUSB workflow [8] 1. Numeracija uređaja i crna lista 2. Skeniranje i analiza 3. Pasivna analiza USB paketa
  • 78. Future work ➔ Nastaviti sa istraživanjem izabranih najboljih rešenja. ➔ Istražiti detaljnije njihovu arhitekturu i implementaciju. ➔ Napisati novi rad u kom će biti izložen predlog novog mehanizma koji bi mogao da štiti od USB napada po svim slojevima.
  • 79. Ljudski sloj Security training Fizički sloj Cinch + SandUSB Transportni sloj Framework za detekciju Malbord-a + USBlock Aplikacioni sloj ProvUSB + DeviceVeil + Optičko razdvajanje USB vodova podataka TARGET MODULE Zaključak
  • 80. [1] SoK: "Plug & Pray" Today – Understanding USB Insecurity in Versions 1 Through C [2] USB-based attacks [3] Users Really Do Plug in USB Drives They Find [4] Provusb: Block-level provenance-based data protection for usb storage devices [5] DeviceVeil: Robust Authentication for Individual USB Devices Using Physical Unclonable Functions [6] Making USB Great Again with USBFILTER [7] USB Snooping Made Easy: Crosstalk Leakage Attacks on USB Hubs [8] USBlock: Blocking USB-Based Keypress Injection Attacks [9] Malboard: A novel user keystroke impersonation attack and trusted detection framework based on side-channel analysis [10] Defending against Malicious Peripherals with Cinch [11] A transparent defense against USB eavesdropping attacks [12] Charger-Surfing: Exploiting a Power Line Side-Channel for Smartphone Information Leakage [13] SandUSB: An installation-free sandbox for USB peripherals Related papers