Säkerhetsteamet hittar skadlig kod som kapar USB-smarta kort

Ett team av forskare har skapat ett bevis på konceptet av skadlig kod som kan ge angripare kontroll över USB-smartkortläsare kopplade till en infekterad Windows-dator via Internet.

Malware installerar en speciell drivrutin på den infekterade datorn som tillåter att de USB-enheter som är anslutna till den delas över Internet med attackerens dator.

När det gäller USB-smartkortläsare angriparen kan använda den mediaspecifika programvaran från smartkorttillverkaren att utföra operationer med offrets kort som om det var anslutet till sin egen dator, säger Paul Rascagneres, en IT-säkerhetskonsult vid den luxemburgska säkerhetsinspektionen g och konsultföretaget Itrust Consulting, förra veckan. Rascagneres är också grundare och ledare för ett malwareanalys- och konstruktionsprojekt som heter malware.lu, vars team utformade denna USB-delning skadlig kod.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Det har redan dokumenterats fall av skadlig kod som kapar smartkortenheter på den lokala datorn och använder dem via API-gränssnittet (applikationsprogrammeringsgränssnitt) som tillhandahålls av tillverkaren.

Malware.lu-teamet som bevisats av konceptet har tagit denna attack ännu längre och delar USB-enheten över TCP / IP i "rå" form, sade Rascagneres. En annan drivrutin installerad på attackerens dator gör att det verkar som om enheten är ansluten lokalt.

Rascagneres är planerad att visa hur attacken fungerar vid MalCons säkerhetskonferens i New Delhi, Indien den 24 november.

hotar smart kort säkerhet

Smarta kort används för en rad olika ändamål, men oftast för autentisering och signering av dokument digitalt. Vissa banker erbjuder sina kunder smarta kort och läsare för säker autentisering med sina banksystem. Vissa företag använder smarta kort för att autentisera personal på sina företagsnätverk. Dessutom har vissa länder infört elektroniska identitetskort som kan användas av medborgarna för att verifiera och utföra olika operationer på regeringens webbplatser.

Rascagneres och malware.lu-teamet testade sin malware prototyp med det nationella elektroniska identitetskortet (eID) som används i Belgien och några smartkort som används av belgiska banker. Den belgiska eID gör det möjligt för medborgarna att skicka sina skatter online, signera digitala dokument, göra klagomål till polisen och mer.

Teorin på malwareens USB-enhetens delningsfunktionalitet ska dock fungera med alla typer av smartkort och USB-smartkortläsare, forskaren sa.

I de flesta fall används smarta kort tillsammans med PIN-koder eller lösenord. Malware prototypen som designats av malware.lu-teamet har en keylogger-komponent för att stjäla dessa referenser när användarna anger dem via sina tangentbord.

Om smartkortläsaren innehåller ett fysiskt tangentbord för att ange PIN-koden, är den här typen av attack kommer inte fungera, säger Rascagneres.

Förarna som skapades av forskarna är inte digitalt signerade med ett giltigt certifikat så att de inte kan installeras på versioner av Windows som kräver att installerade drivrutiner ska signeras, som 64-bitars versioner av Windows 7. En verklig angripare kan dock underteckna drivrutinerna med stulna certifikat innan de distribuerar sådan skadlig kod.

Dessutom är skadlig programvara som TDL4 känd att kunna avaktivera drivrutinsregistreringsprincipen på 64-bitars versioner av Windows 7 av Använda en rootkit-bootkit-komponent i startfasen som körs innan operativsystemet laddas.

Anfallet är nästan helt transparent för användaren, eftersom det inte hindrar dem från att använda sitt smartkort som vanligt, säger Rascagneres. Den enda giveaway kan vara den blinkande aktiviteten som leds på smartkortläsaren när kortet öppnas av angriparen, sa han.