CEH v6 Module 41 : Hacking USB Devices

**admin** 13/5/2010, 10:11 am

Module gồm những nội dung sau:
Trích:
1.USB Devices
2.USB Attacks
3.Viruses and worms
4.USB Hacking Tools
5.USB Security Tools
6.Coutermeasures

USB ATTACKS

Electrical Attacks là kiểu tấn công nhằm chống lại,nói cách khác là phá hủy khoá USB bằng cách tác động tới tính chất vật lí xung quanh nó.Mục đích chính nhằm thu thập các dữ liệu quan trọng đã được mã hóa.Hiện nay thì các USB vẫn rất ích được mã hóa,đó là 1 thiếu sót quan trọng của nhà sản xuất.Có thể thay đổi các giá trị mật khẩu thậm chí có thể xóa đi các chương trình trên USB bằng 1 chip nhớ gọi là EEPROM.

Software Attacks :attacker sẽ quan sát cách thức truyền dữ liệu giữa USB và máy tính,sau đó phân tích và xác định password bằng kĩ thuật brute-force.Bằng cách gửi các gói tin lỗi tới USB,lúc đó khoá USB có thể bị lộ ra,chẳng hạn là nội dung ,thông tin của 1 phần bảo vệ nào đó của USB

USB Attack on Windows :khai thác lỗi tràn bộ đệm sẽ giúp attack chiếm dc quyền admin của máy tính.Attacker cắm USB vào máy sau đó thực hiện các lệnh khai thác những chỗ sơ hở khi máy tính đang load USB.Và cuối cùng Attacker chiếm quyền điều khiển máy tính.

Cả 3 phương thức trên coi bộ không khả quan,đều là tấn công trực tiếp,chỉ có kĩ thuật tấn công tràn bộ đệm(buffer-overflow là có thể áp dụng được tốt mà thôi

Virus and Worms

Virus hay Worms thì chắc hẳn các bạn cũng biết,phần này giới thiệu các bạn 1 số virus hay worms nguy hiểm .

Virus:W32/Madang-Fam
CEH v6 Module 41 : Hacking USB Devices 1_wm-7

CEH v6 Module 41 : Hacking USB Devices 1_wm-7

Là 1 virus chạy trên Windows.Virus này lây nhiễm qua những thiết bị di động như USB,ổ cứng di động,dt.....Nó thay đổi ,phá hỏng các file có đuôi *.EXE hoặc *.SCR trên tất cả các driver và sự chia sẻ trong mạng máy tính .Virus thực ra chỉ là 1 đoạn mã độc mà có thể tự động download và thực thi ,nó hiện diện ở rất nhiều website.

W32/Madang-Fam sẽ tự động copy và chạy các file setupx.exe và updatex.exe trong thư mục Windows/System32 .
Nó tự động tạo ra khoa này và chạy khi khởi động Windows
Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Serverx
\Serverx.exe

Worm: W32/Hasnot-A
CEH v6 Module 41 : Hacking USB Devices 2_wm-4

CEH v6 Module 41 : Hacking USB Devices 2_wm-4

W32/Hasnot-A là 1 loại "sâu " ,cũng giống virus về cấu trúc là 1 đoạn mã,và cũng chạy trên nền Windows,lây nhiễm qua các thiết bị di động.

W32/Hasnot-A sẽ ẩn đi các file và folder ,thậm chí copy đè lên các file đó.Dưới đây là những file mà W32/Hasnot-A copy:

Trích:
\Documente und Einstellungen.exe
\Documenti e Impostazioni.exe
\Documents and Settings.000.exe
\Documents and Settings.exe
\Application Data\Explorer.exe
\Application Data\Microsoft\WinNT.com
\svchost.exe
\Games.exe
\Mijn Documenten.exe
\My Downloads.exe
\My Music.exe
\My Shared Folder.exe
\Program Files.exe
\Programma's.exe
\Programme.exe
\Programmi.exe
\Programs.exe
\SkyNet.exe
\System Volume Information.exe
\Temp.exe
\Tmp.exe
\WinNT.exe
\inetpub.exe
\install.exe
\recycled.exe
\windows.exe
\_default .pif
\svchost.exe
\Explorer.exe

Và nó tạo 1 số khoá Registry mới :
Trích:

Code:: HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableTaskMgr 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableRegistryTools 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\systemDisableTaskMgr 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\systemDisableRegistryTools 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ExplorerNoFolderOptions 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\ExplorerNoFolderOptions 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALLCheckedValue 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\NonEnum{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} 1

Mỗi khi cài đặt,worm sẽ lan rộng,lây nhiễm vào những tập tin chia sẻ trong mạng và cả USB
Tập tin autorun.inf sẽ bị thay đổi ,dẫn đến mỗi khi cài đặt gì đó bạn vô tình cho con worm chạy luôn.

W32/Fujack-AK
CEH v6 Module 41 : Hacking USB Devices 3_wm-2

CEH v6 Module 41 : Hacking USB Devices 3_wm-2

W32/Fujack-AK cũng lây nhiễm qua mạng mà các thiết bị di động.
Tự động copy 2 file làGameSetup.exe và setup.exe .Sau đó nó copy đè lên file autorun.inf và thực thi file setup.exe.
Tự động tạo file drivers\spoclsv.exe . Và khoá key dc thay đổi :
Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALLCheckedValue
0

W32/Dzan-C
CEH v6 Module 41 : Hacking USB Devices Untitled_wm-37

CEH v6 Module 41 : Hacking USB Devices Untitled_wm-37

Tự động tạo file \inetinfo.exe và \1021\services.exe và tập tin services.exe này sẽ chạy mỗi khi khởi động windows.Nhiều người lầm tưởng đây là 1 dịch vụ trong Windows nên không quan tâm lắm.Và khóa registry dc tạo là :
Trích:
HKLM\SYSTEM\CurrentControlSet\Services\services

W32/SillyFD-AA
CEH v6 Module 41 : Hacking USB Devices 4_wm-3

CEH v6 Module 41 : Hacking USB Devices 4_wm-3

Con này copy đè lên các file :

Trích:
\kerneldrive.exe
\regedit.exe
\pchealth\helpctr\Binaries\msconfig.exe
\systeminit.exe
\wininit.exe
\winsystem.exe
\cmd.exe
\taskmgr.exe

Tạo các khoá registry :

Trích:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonUserinit\userinit.exe,\systeminit.exe,
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwininit\wininit.exe

Trích:
HKCU\Software\Microsoft\Internet Explorer\MainWindow Title
Hacked by 1BYTE

HKCU\Software\MicrosoftServicePack
1.2

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorerSearchHidden
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorerSearchSystemDirs
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ExplorerNoFolderOptions
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableRegedit
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableRegistryTools
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableTaskMgr
1

HKCU\Software\MicrosoftnFlag
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\AdvancedHidden
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\AdvancedHideFileExt
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\AdvancedShowSuperHidden
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\AdvancedSuperHidden
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ExplorerNoDriveTypeAutoRun
0

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces sStart
1

W32/SillyFDC-BK
CEH v6 Module 41 : Hacking USB Devices 5_wm

CEH v6 Module 41 : Hacking USB Devices 5_wm

Tự động copy file \krag.exe và tạo 1 khoá registry để chạy khi khởi động windows.

Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
krag
\krag.exe

W32/LiarVB-A
CEH v6 Module 41 : Hacking USB Devices 6_wm-1

CEH v6 Module 41 : Hacking USB Devices 6_wm-1

Khi nhiễm con này bạn sẽ gặp 1 thông báo như sau:
"This file Doesn't make harmful change to your computer. This File is NOT DANGEROUS for your Computer and FlashDisk (USB). This File Doesn't Disturb any Data or Files on your computer and FlashDisk (USB). So Dont be affraid, and Be Happy !"

Nó tự động copy vào các file :

Trích:
\.exe
\BootEx.exe
\log.exe
\ErrorReport.exe
\MonitorMission.run
\MonitorSetup.exe
\SystemMonitor.exe
\Win System.exe
\WinSystem
\WinSystem.exe
\WinSystem32.exe
\regedif.exe
\WindowsUpadate.exe
\mscomfig.exe
\msiexece.exe
\rundlI.exe
\WindowsProtection.exe
\msidlI.exe
\msiexee.exe
\regedif32.exe
\scconfig.exe
\winlocon.exe
\wpa.bdlx
\windows.exe

Và có thể nó sẽ tạo các file sau :
Trích:
\oeminfo.ini
\oemlogo.bmp

Các khoa registry dc tạo :
Trích:
HKCR\*\shell\Scan for Virus\Command\windows\MonitorMission.run

HKCR\Folder\shell\Scan for Virus\Command\windows\MonitorMission.run

HKCR\Folder\shell\Search\Command\windows\MonitorMission.run

HKCU\Software\KyrentSoft

W32/Hairy-A
CEH v6 Module 41 : Hacking USB Devices 7_wm

CEH v6 Module 41 : Hacking USB Devices 7_wm

Tự tạo các file sau :

Trích:
\HarryPotter-TheDeathlyHallows.doc
\autorun.inf
\harry potter.txt
\Tempt\talk.bat

Các khoa registry dc tạo :

Trích:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runtalk\Tempt\talk.bat

Thay đổi 1 số chức năng của IE bằng việc thay đổi khoa registry:
Trích:
HKCU\Software\Microsoft\Internet Explorer\Main\
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfileEnableFirewall
0

HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfileDoNotAllowExceptions
0

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableRegistryTools
1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\systemDisableTaskMgr
1

W32/QQRob-ADN
CEH v6 Module 41 : Hacking USB Devices 8_wm

CEH v6 Module 41 : Hacking USB Devices 8_wm

Copy đè lên các file :
Trích:

\drivers\conime.exe
\drivers\pnvifj.exe
\jusodl.exe
\severe.exe

và tự tạo ra 2 file :
Trích:
\hx1.bat
\jusodl.dll

Tạo các khoa registry :
Trích:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runpnvifj\jusodl.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runjusodl\severe.exe

The following registry entries are changed to run conime.exe and pnvifj.exe on startup:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
Debugger\drivers\pnvifj.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ShellExplorer.exe \drivers\conime.exe

W32/QQRob-ADN sets the following registry entries, disabling the automatic startup of other software:

HKLM\SYSTEM\CurrentControlSet\Services\srserviceStart
4

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALLCheckedValue
0

W32/VBAut-B
CEH v6 Module 41 : Hacking USB Devices 9_wm

CEH v6 Module 41 : Hacking USB Devices 9_wm

Copy đè lên 2 file :
Trích:
\lsass.exe
\lsass.exe

Thay đổi các khoa registry :
Trích:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonShell
explorer.exe \lsass.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonUserinit
userinit.exe,\lsass.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableRegistryTools
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableTaskMgr
1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestoreDisableConfig
1
Registry entries are set as follows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ExplorerNoFolderOptions
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\ExplorerNoRun
1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\ExplorerNoFolderOptions
1
HKCU\Software\Policies\Microsoft\Internet Explorer\Control PanelHomepage
1
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\AdvancedHidden
2
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\AdvancedHideFileExt
1

Những virus trên đây lấy từ tài liệu CEH v6 ,tuy nhiên mình k dịch nó ra nguyên ,mà chỉ tìm kiếm và đưa ra những cách thức hoạt động của nó mà thui.À,W32.... là virus chạy trên nền Windows nhé.
Còn rất nhiều virus ,nhưng hiện nay các virus này đều bị các phần mềm diệt virus phát hiện và tiêu diệt dc,trên đây là cách thức hoạt động của 1 virus,khi dc lập trình các đoạn mã sẽ thực thi,có thể là copy đè lên file hệ thống,hoặc tự động thay đổi các khoa Registry.Vì khoá Registry dc xem là "trái tim" của 1 máy tính.
Các bạn có thể xem 1 vài con virus ở trên và phân tích .ICT ví dụ 2 khoá Registry này,1 khoá là Disable Task Manager và 1 khoá là Disable Registry.Trường hợp này tại VN cũng rất nhiều,bạn sẽ gặp 1 thông báo khi bạn muốn vào Regedit
CEH v6 Module 41 : Hacking USB Devices 1221028931_regeditmsggk5_wm

CEH v6 Module 41 : Hacking USB Devices 1221028931_regeditmsggk5_wm

Registry Editting has been disable my your administrator

Trích:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableTaskMgr
1

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\SystemDisableRegistryTools
1

Hay virus Kavo,hoặc xih9.cmd là những virus phá huỷ phần mềm KAV,KIS.ICT đã từng dính chưởng .Khi dính nó thì chức năng Update + Auto Detect bị disable.Và sau nhiều lần cố gắng scan KAV cũng đi lun .Bây giờ thì KAV,KIS tiến bộ hơn rùi,diệt vô tư

Nếu bạn bối rối không biết làm sao để diệt dc nó thì gọi tới UITS nhé .^^

HACKING TOOL
USB Dumper
USB Hacksaw
USB SECURITY TOOLS
MyUSBonly
USB Deview
USB Blocker
USB Copy Notify
Remora USB File Guard
Advance USB Port Monitor
Folder Password Expert USB
USBLyzer
USB PC Lock Pro

Bạn cũng có thể phòng chống nó bằng các thủ thuật sau (sưu tầm )

Bước 1: Xác định tên ổ đĩa USB của bạn là gì bằng cách click vào My Computer và xác định ổ USB. Ví dụ như USB của bạn là ổ E: và nhãn là STORAGE

Bước 2: Chuyển đổi hệ thống files sang NTFS bằng cách Click vào Start -> Run, sau đó gõ
convert : /FS:NTFS. Ví dụ bạn sẽ phải gõ convert E: /FS:NTFS. Lưu ý, nếu ổ USB của bạn có chức năng ghi âm và nghe nhạc MP3 thì nên bỏ qua bước này. Nếu không, có thể phần mềm chơi nhạc của bạn sẽ không thể chạy các file MP3 được.

Bước 3: Tạo một file autorun.inf với nội dung bất kì, thậm chí để trống cũng được và copy vào thư mục gốc của ổ đĩa USB của bạn.

Bước 4: Click chuột phải vào file autorun.inf bạn vừa tạo và chọn thuộc tính cho file này là read-only, bạn cũng có thể chọn thêm hidden.

Bước 5: Cấm mọi quyền truy xuất vào file autorun.inf bạn vừa tạo bằng cách Click vào Start -> Run, sau đó gõ cacls \autorun.inf /D Everyone. Ví dụ như bạn sẽ gõ cacls E:\autorun.inf /D Everyone

Vậy là module này kết thúc tại đây,nội dung module k thiên về kĩ thuật nào mà chỉ cho chúng ta biết cách thức hoạt động của virus và cách phòng chống bằng các tool.Ở phần Hacking Tool có 2 tool,bạn nào quan tâm có thể nghiên cứu và chia sẻ với mọi người nhé.
Cảm ơn các bạn đã quan tâm