O uso de dispositivos desconhecidos no ambiente corporativo às vezes traz dificuldades para aplicar conceitos de proteção ao não dimensionar os riscos aos quais se expõe. A ESET compartilhou alguns exemplos de gadgets que qualquer pessoa pode adquirir para cumprir fins específicos.
“Muitas pessoas não estão cientes de que alguns dispositivos maliciosos são realmente uma ameaça devido à romantização que esses artefatos ganharam em filmes e séries. É necessário desmistificar esse conceito de que ‘isso só acontece em filmes’, já que esses dispositivos são, na verdade, muito acessíveis e alguém com intenções maliciosas poderia usá-los como parte da estratégia de comprometimento”, comenta Daniel Cunha Barbosa, Pesquisador de Segurança da Informação da ESET América Latina.
Ducky e Bunny
O primeiro lugar da lista é ocupado por duas ferramentas consideradas extremamente versáteis e que podem causar danos significativos ao host ou mesmo a todo o ambiente. À primeira vista, ambos os dispositivos se assemelham a memórias USB, mas essa é a única semelhança.
O Rubber Ducky, um dos primeiros dispositivos desenvolvidos com essa abordagem, é capaz de emular um dispositivo de interface humana (HID) como um teclado para que o sistema sobre o qual atuará considere-o confiável e aceite suas interações.
O dispositivo deve ser configurado previamente para realizar certas ações e foi criado para ajudar em testes de invasão e também para auxiliar profissionais de segurança a automatizar tarefas e realizar análises de ambientes, mas pode ser usado de forma maliciosa.
O Bash Bunny, por sua vez, é a evolução do Rubber Ducky, mantendo a característica de ser reconhecido como um dispositivo confiável pelo sistema, com a possibilidade de carregar dois ataques previamente configurados, além de poder acessar o modo de administração da ferramenta.
Ao contrário de seu antecessor, ele tem a capacidade de exfiltrar dados diretamente para a memória interna do Bash Bunny, pois suporta o armazenamento por meio de um cartão MicroSD, além de realizar diversos tipos de ataques de forma mais rápida, pois possui um hardware mais robusto e focado para essas atividades.
Todas as possibilidades de script presentes no Rubber Ducky também estão disponíveis no Bash Bunny. Ambos os dispositivos têm a capacidade de exfiltrar-se para um dispositivo externo, como uma memória USB ou um disco rígido externo, se os ataques forem direcionados a arquivos de tamanho maior.
Entre as possibilidades que as ferramentas oferecem estão a instalação de software malicioso, a criação de usuários ou a criação/habilitação de serviços para persistência, a coleta de informações e várias outras funcionalidades.
O.MG
Visualmente, não diferem em nada dos cabos usados para recarregar smartphones e têm muitas funções disponíveis para ambientes comprometidos.
Esses cabos têm três diferenciais muito significativos: não levantam suspeitas, a própria vítima pode solicitar o uso do cabo malicioso e é capaz de ser gerenciado remotamente por meio de um site, permitindo enviar comandos em tempo real ou alterar algum parâmetro, se necessário.
Pode funcionar executando scripts previamente preparados, além de ter a possibilidade de atuar diretamente como um keylogger, se inserido diretamente na comunicação do teclado.
Flipper Zero
O Flipper Zero uma das ferramentas que se tornou viral na comunidade de segurança por conter vários tipos de ferramentas em um único dispositivo.
O dispositivo tem a capacidade de interagir com vários tipos de comunicação sem fio, além da possibilidade de conectar um cabo USB para outro tipo de interação. O propósito da ferramenta é permitir o desenvolvimento ou aprimoramento dos recursos disponíveis para o ambiente, mas devido a ter tantas possibilidades, a ferramenta também foi distorcida.
O dispositivo permite o acesso a lugares restritos, controla remotamente vários tipos de dispositivos, clona TAGS RFID e até executar scripts do mesmo tipo feitos pelos dispositivos anteriores, o que também aumenta significativamente o leque de opções disponíveis para a ferramenta.
Cartões de rede Wi-Fi
Esse é um gadget a ser considerado. As ferramentas mais famosas nesse meio são os cartões Alpha porque estão há muito tempo no mercado e são amplamente utilizados para testes de penetração em redes Wi-Fi.
No caso específico desses cartões de rede, o que realmente importa é o chipset que possuem, pois é ele que permite a mudança do modo de funcionamento, desde que um cartão de rede Wi-Fi tenha um chipset que proporciona o modo “Monitor”, tal como uma placa de rede TP-Link que pode ser adquirida em qualquer país da região.
Cartões de rede com essa capacidade, se usados corretamente, podem identificar e realizar interações maliciosas, inclusive para redes supostamente ocultas (que não revelam seu SSID). Entre as relações maliciosas mais comuns está o ataque que derruba dispositivos já conectados à rede Wi-Fi para monitorar sua nova autenticação e, assim, roubar a senha para descriptografá-la. Outros ataques conhecidos são Rogue AP e Evil Twin.