Sicherheitsteam findet Malware, die USB-Smartcards entwendet

Ein Team von Forschern hat ein Proof-of-Concept-Programm erstellt, das Angreifern die Kontrolle über USB-Smartcard-Lesegeräte auf einem infizierten Windows-Computer ermöglicht über das Internet.

Die Schadsoftware installiert auf dem infizierten Computer einen speziellen Treiber, der es ermöglicht, die damit verbundenen USB-Geräte über das Internet mit dem Computer des Angreifers zu teilen.

Bei USB-Smartcard-Lesegeräten Der Angreifer kann die Middleware-Software des Smartcard-Herstellers nutzen, um mit der Karte des Opfers so zu arbeiten, als wäre sie an seinen eigenen Computer angeschlossen, sagt Paul Rascagneres, IT-Sicherheitsberater bei Luxembourg Security Audit g und Beratungsfirma Itrust Consulting, letzte Woche. Rascagneres ist auch Gründer und Leiter eines Malware-Analyse- und Entwicklungsprojekts namens maluquery.lu, dessen Team diese USB-Sharing-Malware entwickelt hat.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Es sind bereits dokumentiert Fälle von Malware, die Smartcard-Geräte auf dem lokalen Computer entführt und diese über die vom Hersteller zur Verfügung gestellte API (Application Programming Interface) nutzt.

Die von dem Team von malamous.lu entwickelte Proof-of-Concept-Malware übernimmt diesen Angriff jedoch Noch weiter und teilt das USB-Gerät über TCP / IP in "roher" Form, sagte Rascagneres. Ein anderer auf dem Computer des Angreifers installierter Treiber lässt das Gerät lokal erscheinen.

Rascagneres soll am 24. November auf der MalCon-Sicherheitskonferenz in Neu-Delhi zeigen, wie der Angriff funktioniert.

Droht schlau Kartensicherheit

Smartcards werden für eine Vielzahl von Zwecken verwendet, am häufigsten jedoch zur Authentifizierung und digitalen Signatur von Dokumenten. Einige Banken bieten ihren Kunden Smartcards und Lesegeräte zur sicheren Authentifizierung mit ihren Online-Banking-Systemen an. Einige Unternehmen verwenden Smartcards zur Fernauthentifizierung von Mitarbeitern in ihren Unternehmensnetzwerken. Außerdem haben einige Länder elektronische Personalausweise eingeführt, die von Bürgern zur Authentifizierung und Durchführung verschiedener Operationen auf Websites von Behörden verwendet werden können.

Rascagneres und das Team von malacle.lu testeten ihren Malware-Prototyp mit der in Deutschland verwendeten nationalen elektronischen Identitätskarte (eID) Belgien und einige Chipkarten von belgischen Banken. Die belgische eID ermöglicht es Bürgern, ihre Steuern online zu stellen, digitale Dokumente zu unterschreiben, Beschwerden bei der Polizei einzureichen und vieles mehr.

Theoretisch sollte die USB-Gerätefreigabefunktion der Malware jedoch mit jeder Art von Smartcard und USB-Chipkartenleser funktionieren. Der Forscher sagte.

In den meisten Fällen werden Smartcards zusammen mit PINs oder Passwörtern verwendet. Der Malware-Prototyp des Malware.lu-Teams verfügt über eine Keylogger-Komponente, um diese Anmeldedaten zu stehlen, wenn die Benutzer sie über ihre Tastaturen eingeben.

Wenn der Smartcard-Leser jedoch eine physische Tastatur zur Eingabe der PIN enthält, ist diese Art von Angriff wird nicht funktionieren, sagte Rascagneres.

Die von den Forschern erstellten Treiber sind nicht digital mit einem gültigen Zertifikat signiert, so dass sie nicht auf Windows-Versionen installiert werden können, die installierte Treiber wie 64-Bit-Versionen erfordern von Windows 7. Ein echter Angreifer könnte jedoch die Treiber mit gestohlenen Zertifikaten signieren, bevor er solche Malware verbreitet.

Darüber hinaus ist es bekannt, dass Malware wie TDL4 die Treibersignierrichtlinie für 64-Bit-Versionen von Windows 7 deaktivieren kann Verwendung einer Boot-Stage-Rootkit-Bootkit-Komponente, die vor dem Laden des Betriebssystems ausgeführt wird.

Der Angriff ist für den Benutzer fast vollständig transparent, da er nicht daran gehindert wird, seine Smartcard wie gewohnt zu verwenden, sagte Rascagneres. Das einzige Werbegeschenk könnte die blinkende Aktivität sein, die auf dem Chipkartenleser ausgeführt wird, wenn der Angreifer auf die Karte zugreift, sagte er.