Pasukan keselamatan mendapati perisian hasad yang merampas kad pintar USB

Pasukan penyelidik telah mencipta sekeping bukti malware yang dapat memberikan penyerang mengawal pembaca kad pintar USB yang dipasang pada komputer Windows yang dijangkiti melalui internet.

Malware memasang pemacu khas pada komputer yang dijangkiti yang membolehkan peranti USB disambungkan kepadanya untuk dikongsi melalui Internet dengan komputer penyerang.

Dalam kes pembaca kad pintar USB, Penyerang boleh menggunakan perisian middleware yang disediakan oleh pengeluar kad pintar untuk melakukan operasi dengan kad korban seolah-olah ia dipasang pada komputernya sendiri, kata Paul Rascagneres, seorang perunding keselamatan IT di audit keselamatan berasaskan Luxembourg g dan firma perunding Itrust Consulting, minggu lepas. Rascagneres juga merupakan pengasas dan ketua analisis malware dan projek kejuruteraan yang dipanggil malware.lu, yang pasukannya merancang perisian perisai USB ini.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Telah didokumentasikan kes-kes malware yang merampas peranti kad pintar pada komputer tempatan dan menggunakannya melalui API (antara muka pengaturcaraan aplikasi) yang disediakan oleh pengeluar.

Walau bagaimanapun, malware bukti-konsep yang dibangunkan oleh pasukan malware.lu mengambil serangan ini lebih jauh lagi dan berkongsi peranti USB melalui TCP / IP dalam bentuk "mentah", kata Rascagneres. Pemandu lain yang dipasang di komputer penyerang menjadikannya kelihatan seolah-olah peranti dipasang di dalam negara.

Rascagneres dijadualkan mempamerkan bagaimana serangan itu berfungsi di persidangan keselamatan MalCon di New Delhi, India, pada 24 November.

Ancam pintar kad keselamatan

Kad pintar digunakan untuk pelbagai tujuan, tetapi yang paling biasa untuk pengesahan dan menandatangani dokumen secara digital. Sesetengah bank menyediakan pelanggan mereka dengan kad pintar dan pembaca untuk pengesahan selamat dengan sistem perbankan dalam talian mereka. Sesetengah syarikat menggunakan kad pintar untuk mengesahkan kakitangan secara jauh dari rangkaian korporat mereka. Selain itu, beberapa negara telah memperkenalkan kad pengenalan elektronik yang boleh digunakan oleh warganegara untuk mengesahkan dan melaksanakan pelbagai operasi di laman web kerajaan.

Rascagneres dan pasukan malware.lu menguji prototaip malware mereka dengan kad pengenalan elektronik nasional (eID) yang digunakan dalam Belgium dan beberapa kad pintar yang digunakan oleh bank-bank Belgium. EID Belgium membenarkan warga negara untuk memfailkan cukai mereka secara dalam talian, menandatangani dokumen digital, membuat aduan kepada pihak polis dan banyak lagi.

Walau bagaimanapun, dalam teori fungsi perkongsian peranti USB malware itu perlu berfungsi dengan apa-apa jenis kad pintar dan pembaca kad pintar USB, kata penyelidik.

Dalam kebanyakan kes, kad pintar digunakan bersama-sama dengan PIN atau kata laluan. Prototaip malware yang direka oleh pasukan malware.lu mempunyai komponen keylogger untuk mencuri kelayakan tersebut apabila pengguna memasukkannya ke dalam papan kekunci mereka.

Walau bagaimanapun, jika pembaca kad pintar termasuk papan kekunci fizikal untuk memasukkan PIN, maka jenis ini serangan tidak akan berfungsi, kata Rascagneres.

Pembuat yang dicipta oleh penyelidik tidak ditandatangani secara digital dengan sijil yang sah supaya mereka tidak boleh dipasang pada versi Windows yang memerlukan pemandu dipasang untuk ditandatangani, seperti versi 64-bit dari Windows 7. Bagaimanapun, penyerang sebenar boleh menandatangani pemacu dengan sijil dicuri sebelum mengedarkan malware itu.

Selain itu, malware seperti TDL4 diketahui dapat melumpuhkan dasar penandatangan pemacu pada versi Windows 7 versi 64-bit menggunakan boot-stage rootkit-bootkit-komponen yang berjalan sebelum sistem operasi dimuat.

Serangan hampir sepenuhnya telus kepada pengguna, kerana ia tidak akan menghalang mereka daripada menggunakan kad pintar mereka seperti biasa, kata Rascagneres. Satu-satunya hadiah mungkin adalah aktiviti berkelip yang membawa kepada pembaca kad pintar apabila kad itu diakses oleh penyerang, katanya.