Sikkerhetsgruppe finner skadelig programvare som hijacker USB-smartkort

Et team av forskere har opprettet et bevis på konseptet av skadelig programvare som kan gi angripere kontroll over USB-smartkortlesere som er koblet til en infisert Windows-datamaskin over Internett.

Malware installerer en spesiell driver på den infiserte datamaskinen som gjør at USB-enhetene som er koblet til den, kan deles over Internett med angriperens datamaskin.

Når det gjelder USB-smartkortlesere, angriperen kan bruke mellomvareprogramvaren fra smartkortprodusenten til å utføre operasjoner med offerets kort som om den var koblet til sin egen datamaskin, sier Paul Rascagneres, en IT-sikkerhetskonsulent ved det luxembourgske sikkerhetsrevisjonen g og konsulentfirma Itrust Consulting, forrige uke. Rascagneres er også grunnleggeren av og en leder for et malware-analyseprosjekt som heter malware.lu, som laget laget denne USB-delen av skadelig programvare.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Det er allerede dokumentert tilfeller av skadelig programvare som kapsler smartkortsenheter på den lokale datamaskinen, og bruker dem gjennom API-grensesnittet (applikasjonsprogrammeringsgrensesnitt) levert av produsenten.

Malware.lu-teamet som er utviklet av malware.lu tar imidlertid dette angrepet enda lenger og deler USB-enheten over TCP / IP i "rå" form, sa Rascagneres. En annen driver installert på angriperens datamaskin gjør at det ser ut som om enheten er festet lokalt.

Rascagneres er planlagt å vise frem hvordan angrepet fungerer på MalCons sikkerhetskonferanse i New Delhi, India, 24. november. kortsikkerhet

Smarte kort brukes til en rekke formål, men oftest for godkjenning og signering av dokumenter digitalt. Noen banker tilbyr sine kunder med smarte kort og lesere for sikker autentisering med sine nettbanker. Noen selskaper bruker smarte kort til eksternt autentisering av ansatte i bedriftens nettverk. Noen land har også introdusert elektroniske identitetskort som kan brukes av borgere til å godkjenne og utføre ulike operasjoner på offentlige nettsider.

Rascagneres og malware.lu-teamet testet sin malware prototype med det nasjonale elektroniske identitetskortet (eID) som brukes i Belgia og noen smarte kort brukt av belgiske banker. Den belgiske eID gjør det mulig for borgere å sende sine avgifter online, signere digitale dokumenter, gjøre klager til politiet og mer.

I teorien skal malwareens USB-enhetens delingsfunksjonalitet fungere med alle typer smartkort- og USB-smartkortlesere, Forskeren sa.

I de fleste tilfeller brukes smartkort sammen med PIN-kode eller passord. Malware-prototypen designet av malware.lu-teamet har en keylogger-komponent for å stjele disse legitimasjonene når brukerne skriver dem inn via tastaturene.

Men hvis smartkortleseren inneholder et fysisk tastatur for å skrive inn PIN-koden, så er denne typen Angrep vil ikke fungere, sa Rascagneres.

Driverne opprettet av forskerne er ikke digitalt signert med et gyldig sertifikat, slik at de ikke kan installeres på versjoner av Windows som krever at installerte drivere skal signeres, som 64-biters versjoner av Windows 7. En ekte angriper kan imidlertid signere drivere med stjålet sertifikater før distribusjon av slik skadelig programvare.

I tillegg er malware som TDL4 kjent for å kunne deaktivere driverens signeringspolicy på 64-biters versjoner av Windows 7 av Bruke en boot-stage rootkit-bootkit-komponent som kjører før operativsystemet er lastet.

Angrepet er nesten helt gjennomsiktig for brukeren, siden det ikke forhindrer at de bruker smartkortet som vanlig, sa Rascagneres. Den eneste giveaway kan være den blinkende aktiviteten som føres på smartkortleseren når kortet er åpnet av angriperen, sa han.