Beveiligingsteam vindt malware die USB-smartcards kauwt

Een team van onderzoekers heeft een stukje malware met het bewijs gemaakt dat aanvallers controle kunnen geven over USB smartcardlezers die zijn aangesloten op een geïnfecteerde Windows-computer via het internet.

De malware installeert een speciaal stuurprogramma op de geïnfecteerde computer waarmee de USB-apparaten die erop zijn aangesloten via de computer van de aanvaller worden gedeeld via internet.

In het geval van USB smartcardlezers, de aanvaller kan de middleware-software van de fabrikant van de smartcard gebruiken om bewerkingen met de kaart van het slachtoffer uit te voeren alsof deze op zijn eigen computer is aangesloten, zei Paul Rascagneres, een IT-beveiligingsadviseur bij beveiligingsbevestiging in Luxemburg. g en adviesbureau Itrust Consulting, vorige week. Rascagneres is ook de oprichter en leider van een malware-analyse- en engineeringproject genaamd malware.lu, wiens team deze USB-malware heeft ontworpen voor het delen van malware.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Er zijn al gedocumenteerde gevallen van malware die smartcard-apparaten op de lokale computer kauwt en gebruikt via de API (application programming interface) van de fabrikant.

De proof-of-concept-malware die is ontwikkeld door het malware.lu-team neemt deze aanval echter zelfs verder en deelt het USB-apparaat via TCP / IP in "ruwe" vorm, zei Rascagneres. Een ander stuurprogramma dat op de computer van de aanvaller is geïnstalleerd, zorgt ervoor dat het lijkt alsof het apparaat lokaal is aangesloten.

Rascagneres zal op 24 november laten zien hoe de aanval werkt op de MalCon-beveiligingsconferentie in New Delhi, India.

Threatens smart kaartbeveiliging

Smartcards worden voor verschillende doeleinden gebruikt, maar meestal voor authenticatie en ondertekening van documenten digitaal. Sommige banken voorzien hun klanten van slimme kaarten en lezers voor veilige authenticatie met hun online banksystemen. Sommige bedrijven gebruiken smartcards om medewerkers op afstand te authenticeren op hun bedrijfsnetwerken. Sommige landen hebben ook elektronische identiteitskaarten geïntroduceerd die door burgers kunnen worden gebruikt om verschillende handelingen op overheidswebsites te verifiëren en uit te voeren.

Rascagneres en het malware.lu-team hebben hun prototype van malware getest met de nationale elektronische identiteitskaart (eID) die wordt gebruikt in België en enkele smartcards die door Belgische banken worden gebruikt. De Belgische eID biedt burgers de mogelijkheid om hun belasting online in te dienen, digitale documenten te ondertekenen, klachten bij de politie in te dienen en nog veel meer.

In theorie zou de functionaliteit voor het delen van USB-apparaten van de malware moeten werken met elk type smartcard en USB smartcardlezer, zei de onderzoeker.

In de meeste gevallen worden smartcards gebruikt in combinatie met pincodes of wachtwoorden. Het malware-prototype dat door het malware.lu-team is ontworpen, heeft een keylogger-component om die inloggegevens te stelen wanneer de gebruikers ze via hun toetsenborden invoeren.

Als de smartcardlezer echter een fysiek toetsenbord bevat voor het invoeren van de pincode, dan is dit type aanval werkt niet, zei Rascagneres.

De stuurprogramma's gemaakt door de onderzoekers zijn niet digitaal ondertekend met een geldig certificaat, zodat ze niet kunnen worden geïnstalleerd op versies van Windows waarvoor geïnstalleerde stuurprogramma's moeten worden ondertekend, zoals 64-bit versies van Windows 7. Een echte aanvaller kan echter de stuurprogramma's met gestolen certificaten ondertekenen voordat deze malware wordt verspreid.

Bovendien is het bekend dat malware zoals TDL4 het ondertekeningsbeleid voor stuurprogramma's op 64-bits versies van Windows 7 kan uitschakelen door een rootkit-bootkit-component voor opstarttrappen gebruiken die wordt uitgevoerd voordat het besturingssysteem wordt geladen.

De aanval is bijna volledig transparant voor de gebruiker, omdat dit niet zal voorkomen dat ze hun smartcard zoals gewoonlijk gebruiken, zei Rascagneres. De enige weggeefactie kan de knipperende activiteit zijn die wordt geleid door de smartcardlezer wanneer de kaart wordt gebruikt door de aanvaller, zei hij.