BAD USB - Há relatos de pendrive novos vendidos com malware no firmware?

[Adamastor Abrolio Silve]

Qual  chance ou risco de eu comprar um pendrive genérico  o mesmo vir com malware que explore a vulnerabilidade do BAD USB?

 

Há relatos de pessoas que vendem no mercado livre ou outros sites que vendam (marketing place) ou até mesmo em sites grandes com Kabum,  pendrive novos mas com malware no firmware (BADUSB)?

 

Caso eu compre um pendrive desse e tenha um firmware comprometido um formatação completa não resolve? Não há nada que se possa fazer contra esse tipo de ataque/vulnerabilidade nos pendrives?

 

O Windows 11 é mais seguro que o Windows 10 em relação a isso? Como a Microsoft lida com isso? porque para um BAD USB funcionar é preciso de uma certificado digital que só ela emite? Como funciona essa parte do certificado?

 

Há algum ajuste que eu possa fazer para o Windows segurar melhor essa bronca ou não tem o que fazer?

[Mr.Robott]

6 horas atrás, Adamastor Abrolio Silve disse:

Qual  chance ou risco de eu comprar um pendrive genérico  o mesmo vir com malware que explore a vulnerabilidade do BAD USB?

 

Há relatos de pessoas que vendem no mercado livre ou outros sites que vendam (marketing place) ou até mesmo em sites grandes com Kabum,  pendrive novos mas com malware no firmware (BADUSB)?

Em lojas oficiais(vendidos e enviados por) eu digo com 99% de certeza que você não vai ser infectado por BadUSB, embora obviamente seja tecnicamente possível. Agora, com um pendrive comprado via mercado livre já se torna mais crível.

Algumas técnicas que poderiam usar pra infectar um computador via um pendrive ou qualquer outro dispositivo USB(pode ser até mesmo um cabo modificado aparentemente normal mas com armazenamento interno, não vou detalhar isso porque não é a ideia aqui facilitar a vida de alguém que queira usar pra malefício alheio)

 

1)A mais simples e antiga: Usar o arquivo autorun.inf pra executar um malware assim que o pendrive for conectado. Isso você pode evitar simplesmente desativando a reprodução automática USB.

 

2)Ele pode simular como sendo um dispositivo USB HID de entrada. Dessa forma ele poderia simular pro Windows que você está "digitando" pra executar tarefas que no fim terminam na execução de um malware. Não vou detalhar como isso poderia acontecer e muito menos citar ferramentas que podem ser usadas pra pelo menos motivo que eu não vou falar de "cabos maliciosos". Isso não deve ser tão difícil de ser detectado por um antivírus que tem um bom  módulo de HIPS, porque em algum momento o payload terminaria num processo desconhecido com comportamento suspeito. A não ser que seja uma ataque muito sofisticado com conhecimento prévio de vulnerabilidades do sistema alvo, e mesmo assim o Windows nativamente já tem muitas proteções contra ataques que envolvam execução direta na RAM, core isolation e a vasta proteção contra exploits(acessíveis e configuráveis em Central de Segurança - Controle de Aplicativos e do Navegador - Exploit Protection) , facilitando muito a detecção por um antivírus, já que em algum momento o payload acessaria o armazenamento persistente do PC. Todos esses ataques são financeiramente inviáveis pra produção de um produto em massa como um pendrive pra ser vendido por aí, seria muito mais lucrativo pro Hacker vender pra algum governo ou semelhante pra "targetar" uma empresa ou pessoa importante, simplesmente não tem lógica distribuírem pendrives baratos com um ataque tão avançado.

 

3)Exploração de driver vulnerável conhecido ou simular a falsa necessidade da instalação de um driver vulnerável: Técnica BYOVD, Bring Your Own Vulnerable Driver, também extremamente improvável porque também exigiria conhecimento prévio do sistema alvo, além de que o Windows 11 se atualiza constantemente com a lista de drivers vulneráveis e impede a execução deles, sendo que essa opção vem ativada por padrão no sistema operacional. Poderia até ser uma preocupação real em versões mais antigas do sistema operacional Windows, mas não é mais o caso.

 

4)Firmware malicioso: Consiste em modificar o firmware de um dispositivo pra ele executar tarefas maliciosas: Faz muito mais sentido em um armazenamento tipo HD ou SSD que fica plugado sempre no PC. O único exemplo documentado de algo do tipo foi um malware descoberto pela Kaspersky que tem a Equation Group por trás que sobrescrevia o firmware do HD de diversas fabricantes, podendo sobreviver até mesmo a atualizações de firmware, já que elas não costumam sobrescrever por completo o firmware, apenas as partes modificadas. Esse ataque é menos inviável ainda porque bastaria desplugar o pendrive e pronto, acabou, se ele tentasse executar algo no sistema pra se manter de forma permanente novamente já se tornaria detectável por um antivírus. E é ainda mais financeiramente e tecnicamente inviável que o segundo, já que os chips de armazenamento de firmware tem armazenamento muito limitado.

 

Enfim, o que você pode fazer é simplesmente usar um bom produto antivírus [  LINK  ]   e manter boas práticas de segurança digital. Mas você não deve se preocupar com um ataque do tipo sendo uma pessoa "comum", eu falei de ataques muito hipotéticos que não existe muita documentação deles nem contra alvos importantes.

[Daviferreirax]

@Adamastor Abrolio Silve Sinceramente, acho que esse nem é o maior risco, o que é muito comum é do pen drive ser falsificado e de baixa qualidade.

Por isso eu evito pegar pendrive em marketplace, pegue na kabum mas que seja vendido e entregue por kabum, o mesmo vale pra qualquer loja.

Pra comprar pendrive fuja dos marketplace.

[Adamastor Abrolio Silve]

@Mr.Robott Obrigado por responder! O meu receio seria algum malware vir no pendrive e mesmo que eu formate ele ficaria nele. Daí eu pesquisei e vi algo sobre esse BADUSB. Então a minha dúvida parece que se ennquadraria nos itens 2, 3 e 4 da sua resposta.

 

Contudo, eu acho que entendi: não é algo compensador para ser feito em larga escala.

 

Quanto ao item 1 da sua resposta, ela não me preocupa pois eu desativo a reprodução automática e formato o pendrive antes mesmo de abrir o explorador de arquivos.

 

No meu entendimento de leigo,o problema estaria em um no firmware de qualquer dispositivo usb plug and play mesmo, onde para funcionar no Windows ele deveria receber o driver assinado pela Microsoft para poder funcionar automaticamente como um teclado por exemplo. Mas isso que eu disse não tem nada a ver então né?

 

 

@Daviferreirax Eu só compro em sites confiáveis, porém tive uma necessidade específica e só achava pendrive nesses lugares.  Contudo, em alguns testes que fiz, alguns pendrives baratos se sairam melhor em testes de velocidade de gravação do que os confiáveis Kingston originais (10MB/s) e originais e confiáveis Sandisk. Esses kingston e Sandisk originais comuns tem gravação super lentas. Na verdade até leitura são ruins.

 

Não posso afirmar em relação  a durabilidade, mas tem pendrive de baixa capacidade muito mais rápido e baratos que os Kingston e Sandisk.