USBDumper 2 nouvelle version nouvelles fonctions !

Par Xavier Poli, secuobs.com
Le 11/12/2006


Résumé : Cette nouvelle version d'USBDumper apporte son lot de fonctionnalités. Vous y trouverez une interface graphique permettant de manière transparente de démontrer la faisabilité de l'infection des documents bureautique présents sur la clé mais également de copier des fichiers de celle-ci vers l'ordinateur et inversement.



Eric Detoisien, aussi connu sous le pseudonyme de Valgasu, met à votre disposition une nouvelle version d'« USBDumper » ; pour rappel « USBDumper » est un utilitaire de type « preuve de concept » (PoC) et ne doit être utilisé qu'à ce titre ; le vol de fichiers et l'intrusion sur un ordinateur ne vous appartenant pas étant strictement considéré comme un délit passible de lourdes peines.

Il vise à démontrer aux utilisateurs l'ensemble des risques liés à l'utilisation de leur clé USB sur des postes qui ne leurs appartiennent pas et qu'ils ne peuvent donc pas considérés comme étant des postes de confiance.

Parmi les nouveautés de cette seconde version, on notera en premier lieu une interface graphique, simple d'utilisation, permettant de configurer différentes options du logiciel avant de lancer celui-ci en tâche de fond, de façon transparente pour la « victime » propriétaire de la clé qui sera attaquée par « USBDumper2 ».

Cette interface graphique permet de spécifier le répertoire de destination pour l'ensemble des fichiers qui seront copiés depuis la clé USB vers l'unité de stockage de l'attaquant ; il est également possible de spécifier des filtres de type « pattern matching » qui permettront à cet attaquant de ne récupérer que des fichiers portant une extension ou un nom spécifique.

Il y est aussi possible de définir des fichiers contenant des scripts de type « macro » afin de les injecter dans tous les documents de type bureautique qui seront présents sur la clé ; la distinction étant faite entre le fichier de « macro » destiné à l'infection des documents de type « MS Word » d'extension « .doc » et celui à destination des documents de type « MS Excel » présentant l'extension « .xls ».

Dernière fonction configurable par cette interface, et non des moindres, vous pouvez choisir un ensemble de fichiers que vous souhaitez copier, cette fois-ci, depuis l'unité de stockage et à destination de la clé USB.

Cette fonctionnalité permet notamment d'y copier un fichier « autorun.inf » spécifiant qu'un exécutable (ici « backdoor.exe ») sera lancé automatiquement à chaque insertion de la clé sur un poste informatique.

Passons maintenant à la pratique ; dans un premier temps il est nécessaire de récupérer l'archive «USBDumper2.zip » sur notre mirroir ( lien ) ou sur le site officiel ( lien ) vers le répertoire « C:\ » :





Dézippez ensuite l'archive « C:\USBDumper2.zip » afin d'extraire le répertoire « C:\USBDumper2 » :





Accédez maintenant au répertoire « C:\USBDumper2\bin\ » issu de l'extraction :





Insérez la clé USB dans votre ordinateur :





Vérifiez le contenu du lecteur relatif à cette clé USB ; ici en visualisant le lecteur « H:\ » pour notre exemple :





Retirez la clé USB de votre poste puis lancez « USBDumper 2 » à l'aide de l'exécutable « C:\USBDumper2\bin\USBDumper2.exe » :





Dans la case relative à « Dump all files from USB device to directory : », spécifiez le répertoire « C:\USBDumper2\bin\ », comme répertoire de réception des fichiers contenus sur la clé USB.

Cochez la case « Add macro to MS Word document » en stipulant le fichier « C:\USBDumper2\MacroWord.txt » dans la zone réservée à « Macro file : » ; faites en de même pour la case « Add macro to MS Excel document » avec « C:\USBDumper2\MacroExcel.txt » pour la zone « macro file » correspondante.

Cochez enfin la case « Copy file(s) to USB device : » en choisissant les fichiers « C:\USBDumper2\autorun.inf » et « C:\USBDumper2\backdoor.exe » dans la zone réservée à cet effet à l'aide du bouton « Add » :





Cliquez sur « Start » afin de lancer « USBDumper 2 » en tâche de fond puis insérer la clé USB à nouveau :





Vérifiez le contenu du nouveau lecteur consécutif à l'insertion de la clé USB ; toujours le lecteur « H:\ » dans cet exemple :





On constate que les fichiers « H:\autorun.inf » et « H:\backdoor.exe » sont bien présents sur la clé USB.

Afin de lancer l'exécutable « H:\backdoor.exe » à chaque insertion de la clé USB, le fichier « H:\autorun.inf » doit être le suivant :


[autorun]
open=backdoor.exe



Vous pouvez également vérifier que l'ensemble des fichiers de la clé USB ont bien été copiés vers le répertoire « C:\USBDumper2\bin\ » mais également ouvrir le fichier « H:\pof.doc » (pour notre exemple) ou tout autre document « MS Word » ou « MS Excel » présent sur la clé.

Il est nécessaire d' activer l'exécution des « macros » dans votre suite bureautique afin de constater que l'infection de ces fichiers a bien été réalisée.

De même il est possible de tester que l'exécutable « H:\backdoor.exe » a bien été lancé par le fichier « H:\autorun.inf » à l'insertion de la clé en accédant à distance au poste via la « backdoor » correspondante.

Le fichier « C:\USBDumper2\backdoor.exe » utilisé dans cet exemple n'a volontairement pas été mis à disposition mais ce genre d'exécutable malicieux peut être trouvé assez facilement sur le web par n'importe qui ayant les motivations nécessaires.

Les fichier « C:\USBDumper2\MacroExcel.txt » et « C:\USBDumper2\MacroExcel.txt » donnés en exemple sont identiques et de la forme :


Sub Auto_Open()

MsgBox "Dommage"

End Sub



La « macro » correspondante ouvre une boîte de dialogue affichant le message « Dommage » ; rien de très dangereux mais il est possible de faire bien plus à l'aide de « macros » plus évoluées.

Vous pouvez laisser libre court à votre imagination pour toutes les possibilités offertes par cette dernière version d'« USBdumper ». Les utilisateurs de clé USB de type « PC LOCK » comprendront alors aisément l'importance de « switcher » le bouton poussoir de la clé sur le dessin du cadenas afin d'empêcher l'écriture sur celle-ci ; surtout lorsqu'elle est insérée dans un ordinateur dont vous ne pouvez garantir l'intégrité. N'hésitez pas non plus à choisir des clés incluant des fonctions de chiffrement des fichiers.

Un article intéressant sur les risques liés à l'utilisation des clés USB est disponible sur le « blog » de Cédric Blancher ( lien ), ainsi que sur celui de Bruce Schneier ( lien ) que l'on ne présente plus ( lien ).

A noter que la première version d'« USBDumper » ( lien ) est maintenant reconnue par certains antivirus comme un fichier malicieux ; une alerte est remontée vers l'utilisateur si il est présent sur votre poste.