Sikkerhedsteam finder malware, der kapsler USB-smartkort

Et team af forskere har skabt et bevis for konceptet af malware, der kan give angriberne kontrol over USB-smartkortlæsere, der er knyttet til en inficeret Windows-computer over internettet.

Malware installerer en særlig driver på den inficerede computer, der gør det muligt for de USB-enheder, der er tilsluttet det, at blive delt via internettet med angriberens computer.

For USB-smartkortlæsere angriber kan bruge middleware-softwaren fra smartkortproducenten til at udføre operationer med offerets kort, som om det var knyttet til sin egen computer, siger Paul Rascagneres, en it-sikkerhedskonsulent ved den luxembourgske sikkerhedskontrol g og konsulentfirma Itrust Consulting, sidste uge. Rascagneres er også grundlægger og leder af et malwareanalyse- og ingeniørprojekt kaldet malware.lu, hvis team designet denne USB-deling af malware.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Der er allerede dokumenteret tilfælde af malware, der kapsler smart card-enheder på den lokale computer og bruger dem via API'en (applikationsprogrammeringsgrænsefladen), som leveres af producenten.

Malware.lu-teamet, der er udviklet af malware.lu, tager dog dette angreb endnu mere og deler USB-enheden over TCP / IP i "rå" form, siger Rascagneres. En anden driver installeret på angriberens computer gør det til at virke som om enheden er tilsluttet lokalt.

Rascagneres er planlagt til at vise, hvordan angrebet fungerer på MalCons sikkerhedskonference i New Delhi i Indien den 24. november. Kortsikkerhed

Smartkort bruges til forskellige formål, men oftest til godkendelse og signering af dokumenter digitalt. Nogle banker giver deres kunder smartkort og læsere til sikker godkendelse med deres online banksystemer. Nogle virksomheder bruger smarte kort til at autorisere medarbejdere på deres virksomhedsnetværk eksternt. Nogle lande har også indført elektroniske identitetskort, som borgere kan bruge til at godkende og udføre forskellige operationer på offentlige websteder.

Rascagneres og malware.lu-teamet testede deres malware prototype med det nationale elektroniske identitetskort (eID), der anvendes i Belgien og nogle smarte kort, der anvendes af belgiske banker. Den belgiske eID gør det muligt for borgerne at indgive deres skatter online, underskrive digitale dokumenter, klage til politiet og meget mere.

Men i teorien skal malwareens USB-enhedens delfunktionalitet arbejde med enhver form for smartkort og USB-smartkortlæser, Forskeren sagde.

I de fleste tilfælde bruges smarte kort sammen med PIN-kode eller adgangskoder. Malware prototypen designet af malware.lu teamet har en keylogger komponent til at stjæle disse legitimationsoplysninger, når brugerne indtaster dem gennem deres tastaturer.

Men hvis smartkortlæseren indeholder et fysisk tastatur for at indtaste PIN-koden, så er denne type angreb vil ikke fungere, siger Rascagneres.

Driverne skabt af forskerne er ikke digitalt signeret med et gyldigt certifikat, så de ikke kan installeres på versioner af Windows, der kræver, at installerede drivere skal underskrives, ligesom 64-bit versioner af Windows 7. En ægte angriber kan dog underskrive driverne med stjålne certifikater, inden de distribuerer sådan malware.

Desuden er malware som TDL4 kendt for at kunne deaktivere driverens signeringspolitik på 64-bit versioner af Windows 7 af Brug en bootkit-rootkit-bootkit-komponent, der kører, før operativsystemet er lastet.

Angrebet er næsten fuldstændigt gennemsigtigt for brugeren, da det ikke forhindrer dem i at bruge deres smartkort som normalt, siger Rascagneres. Den eneste giveaway kan være den blinkende aktivitet, der føres på smartkortlæseren, når kortet åbnes af angriberen, sagde han.