No todos los dispositivos USB maliciosos tienen que ser piezas costosas de hardware con una programación sofisticada para dañar su computadora. Con una unidad USB antigua, puede crear su propio BadUSB malicioso utilizando archivos de acceso directo de Windows para vincular y cargar.

Según una publicación de blog de McAfee Rise of LNK (Shortcut) Malware , “Durante el segundo trimestre de 2022, McAfee Labs ha visto un aumento en la entrega de malware mediante archivos LNK. Los atacantes están explotando la facilidad de LNK y lo están utilizando para entregar malware como Emotet, Qakbot, IcedID, Bazarloaders, etc.

Vamos a ver cómo un archivo LNK puede entregar malware en una unidad USB aparentemente inocente. Al aprovechar el malware difícil de detectar en los archivos de acceso directo de Windows (archivos LNK), un enlace encubierto manipula al usuario para que haga clic en un archivo aparentemente inofensivo e inicie el malware. Un acceso directo de archivo LNK brinda acceso rápido y fácil a archivos ejecutables sin navegar por la ruta completa del programa. En esta situación, un ejecutable de malware está en un directorio oculto. El usuario hace clic en una carpeta, que enlaza con el ejecutable, iniciando el malware.

El ejecutable de este exploit es Netcat o simplemente nc .

Netcat no es malware, pero Windows Defender lo marca como tal, por lo que a los efectos de este tutorial nos referiremos a él como malware.

Utilizado por los administradores de red y con muchos usos, Netcat es una herramienta común que, entre otras funciones, permite que una computadora remota se conecte a otra. Usando Netcat para establecer un shell inverso, la máquina atacante tiene acceso al shell y control total de la computadora de la víctima.

Al final de esta sección, hablaremos sobre las formas de protegerse contra los ataques USB de acceso directo LNK.

Cómo empezar

Inserte una unidad USB en su computadora. Puede utilizar cualquier unidad USB con formato de Windows. El tamaño de nuestra carga útil en este ejemplo es de solo 45 K, por lo que cualquier unidad debería funcionar.

Haga clic derecho y cree una nueva carpeta. Puede nombrar esta carpeta como desee, pero para este ejemplo, usaremos el directorio de carga útil con el nombre adecuado. Eventualmente ocultaremos este directorio; más sobre cómo hacerlo más adelante.

Abre la carpeta que acabas de crear. Aquí es donde vamos a instalar nuestro malware. Descargue el ejecutable nc64.exe de GitHub y copie el archivo nc64.exe en esta carpeta

Configuración de la unidad 'BadUSB'

Después de copiar la carga útil en su unidad, debe realizar algunos cambios en el sistema de archivos en la unidad USB, comenzando con la creación de un archivo por lotes.

Crear un archivo por lotes

El archivo por lotes es donde emite los comandos de Windows para que la computadora los ejecute. Utilice el Bloc de notas de Windows para crear un archivo de texto. Este archivo contiene un único comando que inicia el ataque.

Reemplace la dirección IP y el puerto en este ejemplo con su host atacante que ejecuta Netcat. El parámetro -e nos permite especificar qué shell queremos usar para realizar la conexión. En un sistema Windows, podemos usar cmd.exe o powershell.exe . Posteriormente configuraremos nuestro servidor Linux el cual aceptará la conexión desde el ordenador de la víctima.

Guarde el archivo con una extensión .cmd y verifique que 'Guardar como tipo:' esté configurado en 'Todos los archivos'. Asegúrese de que el archivo por lotes y el ejecutable estén en el mismo directorio.

El directorio de carga útil debe contener dos archivos: el ejecutable y el archivo por lotes.

Crear el acceso directo

Parte del éxito de este ataque es que podemos crear un acceso directo de Windows y vincular al malware en un directorio oculto. Para que el usuario haga clic en nuestro malware, debemos engañarlo para que lo haga. Con suerte, la mayoría de los usuarios saben que no deben ejecutar aplicaciones aleatorias en sus computadoras. Pero un usuario intentará abrir una carpeta con un nombre interesante.

Cree el acceso directo haciendo clic derecho en el directorio raíz de la unidad USB y seleccionando Acceso directo.

Seleccione el archivo por lotes que creó en el paso anterior. En nuestro ejemplo, el archivo run_exploit.cmd del directorio de carga útil y haga clic en Siguiente para continuar.

Asigne al acceso directo un nombre interesante que permita al usuario hacer clic en él y hacer clic en Finalizar.

Nuestro enlace recién creado no se ve bien, e incluso los usuarios curiosos deberían dudar en hacer clic en el icono. Afortunadamente, Windows proporciona una función para que podamos cambiar el ícono predeterminado para archivos y enlaces.

Haga clic derecho en el enlace y seleccione Propiedades.

Haga clic en el botón Cambiar icono.

Cambie el icono a una carpeta.

Haga clic en Aceptar para cerrar la ventana Cambiar icono.

Haga clic en Aceptar para cerrar Aplicar los cambios y cerrar la ventana Propiedades del archivo.

Ahora nuestro atajo ya no parece un enlace. Todavía existe la flecha de enlace tradicional en la parte inferior izquierda, pero esto debería pasar una inspección casual por parte de los usuarios curiosos.

Ocultar la carpeta de malware

Estamos casi alli. La unidad aún no se ve bien con la carpeta de carga útil visible. Vamos a arreglar eso ocultando el disco. Haga clic derecho en la carpeta de carga útil y seleccione Propiedades.

Seleccione la casilla Oculto y haga clic en Aceptar para aplicar los cambios y cerrar la ventana

Habilite 'Aplicar cambios a esta carpeta, subcarpetas, archivos' y haga clic en Aceptar.

La unidad USB maliciosa simple está armada y lista para implementarse. Cuando el usuario inserta la unidad USB en su computadora, esto es lo que ve.

El acceso directo se parece a una carpeta normal de Windows y parece inofensivo. Los usuarios curiosos o distraídos lanzan la carga útil maliciosa cuando intentan abrir la carpeta. Pero antes de implementar Simple Malicious BadUSB, debemos configurar nuestro servidor de comando y control.

Configuración del servidor de comando y control

Nuestro servidor de comando y control (C&C) está controlado por un atacante y se usa para enviar y recibir comandos de una computadora comprometida por malware. Nuestro servidor para este exploit es una máquina Ubuntu que ejecuta software actualizado con netcat instalado.

Este ejemplo usa -n (no use DNS), -l (solo escucha las conexiones entrantes), -v (detallado) y -p (número de puerto). Inicie el detector con el comando nc -nlvp 4444 . El servidor espera pacientemente una conexión entrante en el puerto 4444.

Cuando el usuario inserta el USB y hace clic en el acceso directo, el archivo por lotes ejecuta el comando nc64.exe con la dirección IP y el número de puerto que proporcionamos anteriormente. La conexión es rápida y efectiva.

En este punto, la máquina está comprometida y el atacante tiene acceso completo a la computadora de la víctima. El hacker puede emitir comandos como si estuviera sentado directamente en la terminal.

Defenderse de esta vulnerabilidad

Varias cosas deben ir bien para que este exploit funcione.

• Tienes que dejar esto en un lugar donde alguien pueda recogerlo.
• La víctima debe ignorar toda la higiene de la computadora e instalarla en su computadora.
• La víctima necesita estar ejecutando Windows
• La computadora de la víctima no debe ejecutar el Windows actual con todas las actualizaciones y parches aplicados.
• La víctima debe tener la curiosidad suficiente para hacer clic en el enlace, que ejecuta el malware oculto en el directorio de carga útil .

Si todas estas circunstancias funcionan para el atacante, entonces este sería un ataque de ransomware exitoso. En este tipo de ataques, los números juegan a favor del atacante. Si se colocan 100 dispositivos BadUSB en una ubicación, solo necesitan que una persona haga clic en el enlace para convertirse en víctima.

Habilitar la protección contra virus y amenazas de Microsoft

La detección de punto final de Microsoft (EDR) hace un muy buen trabajo al proteger a los usuarios de la ejecución de código malicioso. Integrado en todas las versiones compatibles actualmente de Windows, la protección contra virus y amenazas vigila comportamientos inusuales.

Si tenemos habilitada la configuración de protección contra virus y amenazas, los usuarios verán este mensaje cuando inserten el BadUSB.

Microsoft EDR pondría en cuarentena el archivo y ya no estaría en el disco, el ataque fallaría. Como resultado, el malware se elimina y ya no se puede ejecutar.

La buena noticia para las víctimas potenciales es que la mayoría de las personas saben que no deben conectar un dispositivo USB aleatorio a sus computadoras, pero si lo hicieran, el software de seguridad de punto final de Microsoft evitará que se ejecute el software malicioso.