目录:
一组研究人员创建了一个概念验证片,可以让攻击者控制连接到受感染Windows计算机的USB智能卡读卡器通过互联网
恶意软件在被感染的计算机上安装了一个特殊的驱动程序,允许连接到它的USB设备通过互联网与攻击者的计算机共享
对于USB智能卡读卡器,攻击者可以使用智能卡制造商提供的中间件软件对受害者的卡执行操作,就好像它连接到他自己的计算机一样,卢森堡安全审计的IT安全顾问Paul Rascagneres说。 g和咨询公司Itrust Consulting,上周。 Rascagneres还是恶意软件分析和工程项目的创始人和领导者,名为malware.lu,其团队设计了这种USB共享恶意软件。
[更多阅读:如何从Windows PC删除恶意软件]已经记录恶意软件劫持本地计算机上的智能卡设备并通过制造商提供的API(应用程序编程接口)使用它们
但是,malware.lu团队开发的概念验证恶意软件采取了此攻击Rascagneres说,甚至更进一步,并以“原始”形式通过TCP / IP共享USB设备。安装在攻击者计算机上的另一个驱动程序使其看起来好像该设备已连接到本地。
Rascagneres计划在11月24日在印度新德里举行的MalCon安全会议上展示攻击的方式。
威胁智能卡安全
智能卡用于多种用途,但最常用于数字验证和签名文件。一些银行为其客户提供智能卡和读卡器,以便与其在线银行系统进行安全认证。一些公司使用智能卡远程认证其公司网络上的员工。此外,一些国家已经推出了电子身份证,可供公民用于在政府网站上进行身份验证和执行各种操作。
Rascagneres和malware.lu团队使用国家电子身份证(eID)对其恶意软件原型进行了测试比利时和比利时银行使用的一些智能卡。比利时eID允许公民在线提交税款,签署数字文件,向警方投诉等等。然而,理论上恶意软件的USB设备共享功能应该可以与任何类型的智能卡和USB智能卡读卡器配合使用,研究人员说。
在大多数情况下,智能卡与PIN或密码一起使用。 malware.lu团队设计的恶意软件原型有一个键盘记录组件,可在用户通过键盘输入时盗取这些凭证。
但是,如果智能卡读卡器包含用于输入PIN的物理键盘,则此类型Rascagneres表示,研究人员创建的驱动程序没有用有效的证书进行数字签名,因此无法在需要安装驱动程序签名的Windows版本上安装,例如64位版本但是,真正的攻击者可能在分发此类恶意软件之前使用盗取的证书对驱动程序进行签名。
另外,已知类似TDL4的恶意软件能够在64位版本的Windows 7上禁用驱动程序签名策略,使用在操作系统加载前运行的启动阶段rootkit-bootkit组件
攻击对用户来说几乎是完全透明的,因为它不会像往常一样阻止他们使用他们的智能卡,Rascagneres说。他说,唯一的赠品可能是当卡被攻击者访问时智能卡读卡器上闪烁的闪烁活动。