Khảo sát dongle RJ45 "độc hại"

 (lcamtuf.substack.com)
1 điểm bởi GN⁺ 2025-01-18 | 1 bình luận | Chia sẻ qua WhatsApp

Khảo sát dongle RJ45 "độc hại"

  • Kỹ thuật đảo ngược phần cứng
    Kỹ thuật đảo ngược phần cứng có thể rất khó, nhưng đôi khi chỉ cần một chiếc ghế thoải mái và Google Dịch là đủ.

  • Thực tế của tấn công chuỗi cung ứng
    Trong bảo mật thông tin, tấn công chuỗi cung ứng rất phức tạp và nguy hiểm, và thường được dùng khi không còn cách nào khác. Trong đa số trường hợp, việc đánh cắp thông tin xác thực hoặc khiến người dùng tải xuống tệp độc hại sẽ dễ hơn.

  • Sự náo động trên mạng xã hội
    Một doanh nhân trẻ đã gây chú ý trên mạng xã hội khi tuyên bố rằng bộ chuyển đổi Ethernet-USB mua từ Trung Quốc chứa đầy phần mềm độc hại. Tuy nhiên, điều này sau đó được xác nhận là thông tin sai lệch.

  • Phân tích driver
    Driver được nhắc tới là driver cho chip RJ45-to-USB của CoreChips Shenzhen, dưới dạng bản ký số được công khai. Nó được cho là bản sao của Realtek RTL8152B.

  • Bối cảnh lịch sử
    Driver dựa trên một thiết kế cũ được giới thiệu vào năm 2013. Khi đó, ổ CD-ROM đang dần biến mất nhưng không phải mọi máy tính đều luôn trực tuyến. Vì vậy, việc thiết bị xuất hiện như một thiết bị lưu trữ dung lượng lớn có chứa sẵn driver của chính nó là điều hợp lý.

  • Vai trò của bộ nhớ flash
    Có câu hỏi được đặt ra về lý do thiết bị cần 512 kB bộ nhớ flash. Chưa rõ đó là để lưu firmware hay phục vụ mục đích khác.

  • Tài liệu thiết kế của SR9900
    Qua tài liệu thiết kế của SR9900, có thể xác nhận rằng chip flash có thể được dùng làm ổ quang ảo. Mục đích là để cài đặt driver.

  • Kết luận
    Thứ gì trông kỳ lạ không phải lúc nào cũng xấu. Ngay cả khi không có phòng thí nghiệm phần cứng, vẫn có thể điều tra chỉ với sự kiên nhẫn và khả năng tìm kiếm. Tuy nhiên, mã nội bộ của chính IC SR9900 vẫn còn là một ẩn số.

  • Lo ngại về bảo mật
    Trong một số tình huống cụ thể, rủi ro từ USB dongle độc hại có thể tồn tại, nhưng với mạng gia đình thông thường thì không cần quá lo lắng.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-01-18
Ý kiến Hacker News

  • Thật thú vị khi có nhắc đến việc cần cấu hình từ Intel Pentium 166MHz trở lên. Tôi thích thể loại "những người thông minh nhưng buồn chán vận dụng sự sáng tạo đáng kinh ngạc và tính kiên trì để đạt được một kết quả hiển nhiên theo lẽ thường"

    • Nhìn thấy tweet về dongle "Evil" và nhận ra đó là cùng một thứ với thứ mà mình từng làm trước đây. Nó không độc hại, chỉ đơn thuần là gây phiền toái
    • Đã vô hiệu hóa mô-đun SPI flash để nó không hiện ra như một ổ CD, và tác giả bài viết này phát hiện trong tài liệu rằng SPI là tùy chọn. Bài viết này thực sự cung cấp công cụ để nạp lại firmware cho dongle RJ45 nhằm biến nó thành "độc hại"

  • Đánh giá cao việc thiết bị USB ngụy trang thành thiết bị lưu trữ để tự cung cấp driver. Ngày nay, cách "đúng đắn" có thể là tải lên máy chủ Microsoft để tải xuống thứ cần thiết, nhưng quan sát thấy vẫn thường phải cài driver thủ công

    • Nghĩ rằng việc thiết bị ngoại vi tự hỗ trợ bootstrap là khá thông minh, và nếu driver được nhúng sẵn trong thiết bị thì còn dễ hơn việc đi tìm nguồn tải xuống tiêu chuẩn

  • Việc gắn một thiết bị flash nhỏ vào IC thiết bị ngoại vi USB để lưu VID/PID và các thông tin cấu hình USB khác từng khá phổ biến. 512kB có thể đã là dung lượng nhỏ nhất dễ kiếm qua chuỗi cung ứng

    • Cách làm bằng ISO hơi kỳ lạ, nhưng là một phương án sáng tạo để né các chính sách bảo mật CNTT doanh nghiệp hạn chế thiết bị USB lưu trữ dung lượng lớn. Nếu được liệt kê như một thiết bị hợp thành, nó có thể cài driver ngay cả trên máy tính đã khóa USB drive

  • Có ý kiến cho rằng RJ45 nên được gọi là 8P8C

  • Có nội dung liên quan nói rằng bộ chuyển đổi USB sang Ethernet RJ45 giá rẻ có thể chứa mã độc

  • Có thể tồn tại dongle USB Ethernet "độc hại", và điều này có liên quan đến sản phẩm LAN Turtle của Hak5

  • Vài chục năm trước, thiết bị lưu trữ nhúng là chuyện rất phổ biến, chủ yếu thấy nhiều ở modem USB 3G. Có thể bật/tắt bằng lệnh AT

    • Nguồn gốc của giả thuyết "hack Trung Quốc" có thể xuất phát từ việc những người trẻ không quen với các thứ cũ này

  • Rất khó tạo ra một kết nối gây hại qua cổng Ethernet, nhưng lại rất dễ tạo ra một kết nối gây hại qua cổng USB. Vì vậy gọi đây là dongle USB "độc hại" là phù hợp