Investigação de um dongle RJ45 "malicioso"

 (lcamtuf.substack.com)
1 pontos por GN⁺ 2025-01-18 | 1 comentários | Compartilhar no WhatsApp

Investigação de um dongle RJ45 "malicioso"

  • Engenharia reversa de hardware
    Engenharia reversa de hardware pode ser difícil, mas às vezes uma cadeira confortável e o Google Tradutor já bastam.

  • A realidade dos ataques à cadeia de suprimentos
    Em segurança da informação, ataques à cadeia de suprimentos são complexos e perigosos, e normalmente são usados quando não há outra opção. Na maioria dos casos, é mais fácil roubar credenciais ou induzir o download de arquivos maliciosos.

  • A confusão nas redes sociais
    Um jovem empreendedor viralizou nas redes sociais ao afirmar que um adaptador Ethernet-USB comprado na China estava cheio de malware. No entanto, isso acabou se revelando desinformação.

  • Análise do driver
    O driver em questão é para um chip RJ45-para-USB da CoreChips Shenzhen, em uma versão assinada publicamente. Acredita-se que seja uma cópia do Realtek RTL8152B.

  • Contexto histórico
    O driver é baseado em um projeto antigo lançado em 2013. Na época, os drives de CD-ROM estavam desaparecendo aos poucos, mas nem todos os computadores ficavam sempre online. Por isso, fazia sentido que o dispositivo se apresentasse como um dispositivo de armazenamento em massa com seus próprios drivers.

  • O papel da memória flash
    Foi levantada a dúvida sobre por que o dispositivo precisa de 512 kB de memória flash. Não está claro se ela serve para armazenar firmware ou para outra finalidade.

  • Material de projeto do SR9900
    O material de projeto do SR9900 confirma que o chip flash pode ser usado como uma unidade óptica virtual. Isso é utilizado para instalação de drivers.

  • Conclusão
    Nem tudo o que parece estranho é necessariamente ruim. Mesmo sem um laboratório de hardware, é possível investigar bastante com paciência e habilidade de pesquisa. No entanto, o código interno do próprio IC SR9900 continua desconhecido.

  • Preocupações de segurança
    Em certas situações, pode haver risco com dongles USB maliciosos, mas no uso comum de rede doméstica não há motivo para grande preocupação.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-01-18
Comentários do Hacker News

  • É engraçada a menção de que é necessário algo com especificação acima de um Intel Pentium 166MHz. Gosto desse gênero de "pessoas inteligentes e entediadas exercendo criatividade e persistência surpreendentes para obter um resultado obviamente esperado pelo senso comum"

    • Ao ver o tuíte sobre o dongle "evil", alguém reconheceu que era a mesma coisa em que já havia trabalhado antes. Não é malicioso, apenas irritante
    • Desativaram o módulo de flash SPI para que não aparecesse como unidade de CD, e o autor deste post descobriu na documentação que o SPI era opcional. Este post na verdade fornece ferramentas para reflashear o dongle RJ45 e torná-lo "malicioso"

  • Há quem aprecie que um dispositivo USB se disfarce de armazenamento para fornecer seus próprios drivers. Hoje em dia, fazer upload para servidores da Microsoft para baixar o necessário pode ser o jeito "correto", mas observam que muitas vezes ainda é preciso instalar drivers manualmente

    • Acham inteligente quando periféricos ajudam no bootstrap, e, se o dispositivo já vem com os drivers embutidos, isso é mais fácil do que procurar uma fonte padrão de download

  • Era comum anexar um pequeno dispositivo de flash a ICs de periféricos USB para armazenar VID/PID e outras informações de configuração USB. 512kB pode ter sido o menor tamanho facilmente disponível na cadeia de suprimentos

    • O método via ISO é um pouco estranho, mas é uma forma criativa de contornar políticas corporativas de segurança de TI que restringem dispositivos USB de armazenamento em massa. Se for enumerado como dispositivo composto, é possível instalar drivers mesmo em computadores onde pendrives USB estejam bloqueados

  • Há a opinião de alguém que insiste que RJ45 deveria ser chamado de 8P8C

  • Há uma observação relacionada de que adaptadores baratos de Ethernet RJ45 para USB podem conter malware

  • Um dongle USB Ethernet "malicioso" pode existir, e isso se relaciona ao produto LAN Turtle, da Hak5

  • Décadas atrás, armazenamento embarcado era muito comum, especialmente em modems USB 3G. Podia ser ativado/desativado com comandos AT

    • A origem da teoria de "hack chinês" pode vir do fato de que os mais jovens não estão familiarizados com essas coisas antigas

  • É muito difícil fazer uma conexão nociva a uma porta Ethernet, mas é muito fácil fazer uma conexão nociva a uma porta USB. É apropriado chamar isso de dongle USB "malicioso"