Video: How to Fix USB Device Not Recognized in Windows 10 (November 2024)
Als u USB-autoplay op uw pc niet hebt uitgeschakeld, is het denkbaar dat het aansluiten van een geïnfecteerde USB-schijf malware op uw systeem kan installeren. De ingenieurs van wie de uraniumzuiverende centrifuges door Stuxnet zijn opgeblazen, hebben dat op de harde manier geleerd. Het blijkt echter dat autoplay-malware niet de enige manier is om USB-apparaten te bewapenen. Tijdens de Black Hat 2014-conferentie hebben twee onderzoekers van het in Berlijn gevestigde SRLabs een techniek onthuld voor het wijzigen van de controller-chip van een USB-apparaat, zodat deze "verschillende andere apparaattypen kan vervalsen om de controle over een computer over te nemen, gegevens te exfiltreren of de gebruiker te bespioneren." Dat klinkt nogal slecht, maar in feite is het echt, echt vreselijk.
Draai naar de donkere kant
"We zijn een hacklaboratorium dat typisch is gericht op ingebedde beveiliging", zei onderzoeker Karsten Noll tegen een overvolle kamer. "Dit was de eerste keer dat we naar een computerbeveiliging keken, met een ingesloten hoek. Hoe kan USB op kwaadaardige manieren worden hergebruikt?"
Onderzoeker Jakob Lell sprong meteen in een demo. Hij stopte een USB-schijf in een Windows-computer; het verscheen als een drive, precies zoals je zou verwachten. Maar korte tijd later definieerde het zichzelf opnieuw als een USB-toetsenbord en gaf het een opdracht uit waarmee een Trojan voor externe toegang werd gedownload. Dat trok applaus!
"We zullen het niet hebben over virussen in USB-opslag, " zei Noll. "Onze techniek werkt met een lege schijf. U kunt deze zelfs opnieuw formatteren. Dit is geen Windows-kwetsbaarheid die kan worden gepatcht. We zijn gericht op implementatie, niet op de Trojan."
De controller besturen
"USB is erg populair, " zei Noll. "De meeste (zo niet alle) USB-apparaten hebben een controller-chip. U werkt nooit met de chip, noch ziet het besturingssysteem deze. Maar deze controller is wat 'USB spreekt'."
De USB-chip identificeert het apparaattype voor de computer en kan dit proces op elk gewenst moment herhalen. Noll wees erop dat er geldige redenen zijn waarom een apparaat zichzelf als meer dan één presenteert, zoals een webcam met één stuurprogramma voor video en een ander voor de aangesloten microfoon. En het echt identificeren van USB-drives is moeilijk, omdat een serienummer optioneel is en geen vast formaat heeft.
Lell heeft de precieze stappen van het team doorlopen om de firmware opnieuw te programmeren op een specifiek type USB-controller. Kort gezegd moesten ze het firmware-updateproces snuffelen, de firmware reverse-engineeren en vervolgens een aangepaste versie van de firmware met hun schadelijke code maken. "We hebben niet alles over USB gebroken, " merkte Noll op. "We hebben twee zeer populaire controllerchips reverse-ontworpen. De eerste duurde misschien twee maanden, de tweede één maand."
Self-replicatie
Voor de tweede demo heeft Lell vanaf de eerste demo een gloednieuwe lege USB-schijf in de geïnfecteerde pc geplaatst. De geïnfecteerde pc herprogrammeerde de firmware van het lege USB-station en repliceerde zichzelf. Oh jee.
Vervolgens plugde hij het zojuist geïnfecteerde station in een Linux-notebook, waar het zichtbaar toetsenbordopdrachten gaf om kwaadaardige code te laden. Opnieuw kreeg de demo applaus van het publiek.
Wachtwoorden stelen
"Dat was een tweede voorbeeld waarbij de ene USB een ander apparaattype weergeeft, " zei Noll, "maar dit is slechts het topje van de ijsberg. Voor onze volgende demo hebben we een USB 3-schijf opnieuw geprogrammeerd om een apparaattype te zijn dat moeilijker te detecteren is. Let goed op, het is bijna onmogelijk om te zien."
Ik kon inderdaad het flikkeren van het netwerkpictogram niet detecteren, maar nadat de USB-drive was aangesloten, verscheen een nieuw netwerk. Noll legde uit dat de schijf nu een Ethernet-verbinding emuleerde, waardoor de DNS-lookup van de computer werd omgeleid. In het bijzonder, als de gebruiker de PayPal-website bezoekt, worden deze onzichtbaar doorgestuurd naar een site voor het stelen van wachtwoorden. Helaas, de demo-demonen beweerden deze; het werkte niet.
Vertrouw op USB
"Laten we het vertrouwen dat we in USB stellen even bespreken", zei Noll. "Het is populair omdat het gemakkelijk te gebruiken is. Bestanden uitwisselen via USB is beter dan het gebruik van niet-gecodeerde e-mail of cloudopslag. USB heeft de wereld veroverd. We weten hoe we een USB-drive moeten scannen met een virus. We vertrouwen nog meer op een USB-toetsenbord. Dit onderzoek breekt dat vertrouwen af."
"Het is niet alleen de situatie waarin iemand je een USB geeft, " ging hij verder. "Alleen het aansluiten van het apparaat op uw computer kan het infecteren. Voor een laatste demo zullen we de eenvoudigste USB-aanvaller gebruiken, een Android-telefoon."
"Laten we deze standaard Android-telefoon gewoon op de computer aansluiten, " zei Lell, "en kijken wat er gebeurt. Oh, plotseling is er een extra netwerkapparaat. Laten we naar PayPal gaan en inloggen. Er is geen foutmelding, niets. Maar we hebben vastgelegd de gebruikersnaam en het wachtwoord! " Dit keer was het applaus daverend.
"Zult u detecteren dat de Android-telefoon in een Ethernet-apparaat is veranderd?" vroeg Noll. "Detecteert uw apparaatbesturing of software ter voorkoming van gegevensverlies? Naar onze ervaring doen de meeste dat niet. En de meeste richten zich alleen op USB-opslag, niet op andere apparaattypen."
De terugkeer van de Boot Sector Infector
"Het BIOS doet een ander type USB-opsomming dan het besturingssysteem, " zei Noll. "We kunnen daar gebruik van maken met een apparaat dat twee schijven emuleert en een toetsenbord. Het besturingssysteem zal slechts één schijf zien. De tweede verschijnt alleen voor de BIOS, die ervan opstart indien geconfigureerd om dit te doen. Als dat niet het geval is, we kunnen elke toetsaanslag verzenden, misschien F12, om opstarten vanaf het apparaat mogelijk te maken."
Noll wees erop dat de rootkit-code vóór het besturingssysteem wordt geladen en dat deze andere USB-schijven kan infecteren. "Het is de perfecte oplossing voor een virus, " zei hij. "Het wordt al op de computer uitgevoerd voordat een antivirusprogramma kan worden geladen. Het is de terugkeer van het opstartsectorvirus."
Wat gedaan kan worden?
Noll wees erop dat het uiterst moeilijk zou zijn om een virus te verwijderen dat zich in de USB-firmware bevindt. Haal het uit de USB-stick, het kan opnieuw worden geïnfecteerd vanaf uw USB-toetsenbord. Zelfs de USB-apparaten die in uw pc zijn ingebouwd, kunnen zijn geïnfecteerd.
"Helaas is er geen eenvoudige oplossing. Bijna al onze ideeën voor bescherming zouden het nut van USB verstoren, " zei Noll. "Zou u vertrouwde USB-apparaten op de witte lijst kunnen zetten? Nou, dat zou kunnen als USB-apparaten uniek identificeerbaar waren, maar dat zijn ze niet."
"Je zou USB helemaal kunnen blokkeren, maar dat is van invloed op de bruikbaarheid", ging hij verder. "Je zou kritische apparaattypen kunnen blokkeren, maar zelfs erg basale klassen kunnen worden misbruikt. Verwijder die en er is niet veel meer over. Hoe zit het met scannen op malware? Helaas moet je, om de firmware te lezen, vertrouwen op de functies van de firmware zelf, dus kwaadaardige firmware kan een legitieme versie vervalsen."
"In andere situaties blokkeren leveranciers kwaadaardige firmware-updates met behulp van digitale handtekeningen, " zei Noll. "Maar veilige cryptografie is moeilijk te implementeren op kleine controllers. In elk geval blijven miljarden bestaande apparaten kwetsbaar."
"Het enige bruikbare idee dat we bedachten was om firmware-updates in de fabriek uit te schakelen, " zei Noll. "De allerlaatste stap, je maakt het zodat de firmware niet opnieuw kan worden geprogrammeerd. Je zou het zelfs in software kunnen repareren. Brand een nieuwe firmware-upgrade die alle verdere updates blokkeert. We zouden een beetje van de sfeer van vertrouwde USB-apparaten kunnen terugwinnen."
Noll sloot af door te wijzen op enkele positieve toepassingen voor de hier beschreven controller-modificatie techniek. "Er moet een zaak worden gemaakt voor mensen die hiermee spelen, " zei hij, "maar niet in vertrouwde omgevingen." Ik zal bijvoorbeeld nooit meer naar een USB-apparaat kijken zoals vroeger.
