Investigación de un dongle RJ45 "malvado"

 (lcamtuf.substack.com)
1 puntos por GN⁺ 2025-01-18 | 1 comentarios | Compartir por WhatsApp

Investigación de un dongle RJ45 "malvado"

  • Ingeniería inversa de hardware
    La ingeniería inversa de hardware puede ser difícil, pero a veces basta con una silla cómoda y Google Translate.

  • La realidad de los ataques a la cadena de suministro
    En seguridad de la información, los ataques a la cadena de suministro son complejos y riesgosos, y por lo general se usan cuando no hay otra opción. En la mayoría de los casos, es más fácil robar credenciales o hacer que alguien descargue un archivo malicioso.

  • El alboroto en redes sociales
    Un joven emprendedor se volvió tema de conversación en redes sociales al afirmar que un adaptador Ethernet-USB comprado en China estaba lleno de malware. Sin embargo, luego se demostró que era desinformación.

  • Análisis del driver
    El driver en cuestión es para un chip RJ45-to-USB de CoreChips Shenzhen, en una versión firmada públicamente. Se presume que es una copia del Realtek RTL8152B.

  • Contexto histórico
    El driver se basa en un diseño antiguo publicado en 2013. En ese momento, las unidades de CD-ROM estaban desapareciendo gradualmente, pero no todas las computadoras estaban siempre conectadas a internet. Por eso, tenía sentido que el dispositivo apareciera como un dispositivo de almacenamiento masivo con sus propios drivers incluidos.

  • El papel de la memoria flash
    Surgieron dudas sobre por qué el dispositivo necesitaba 512 kB de memoria flash. No está claro si es para almacenar firmware o para otro uso.

  • Materiales de diseño del SR9900
    A través de los materiales de diseño del SR9900, se confirmó que el chip flash puede usarse como una unidad óptica virtual. Esto se usa para la instalación del driver.

  • Conclusión
    Lo extraño no siempre es malo. Incluso sin un laboratorio de hardware, es posible investigar lo suficiente solo con paciencia y habilidad para buscar. Sin embargo, el código interno del propio IC SR9900 sigue siendo una incógnita.

  • Preocupaciones de seguridad
    En ciertas situaciones puede existir el riesgo de dongles USB maliciosos, pero para las redes domésticas comunes no hace falta preocuparse demasiado.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-01-18
Comentarios en Hacker News

  • Les parece divertido que se mencione que se necesita una especificación de Intel Pentium de 166 MHz o superior. Les gusta el género de "personas inteligentes y aburridas que aplican una creatividad y una perseverancia sorprendentes para obtener un resultado obviamente evidente para el sentido común"

    • Al ver el tuit sobre el dongle "evil", reconocen que es lo mismo en lo que habían trabajado antes. No es malicioso, solo molesto
    • Deshabilitaron el módulo de flash SPI para que no apareciera como unidad de CD, y el autor de esta publicación descubrió en la documentación que el SPI era opcional. Esta publicación en realidad proporciona una herramienta para reflashear el dongle RJ45 y volverlo "malicioso"

  • Valoran que los dispositivos USB se disfracen de almacenamiento para proporcionar sus propios drivers. Hoy en día puede que el método "correcto" sea subirlo a los servidores de Microsoft y descargar lo necesario, pero observan que muchas veces todavía hay que instalar drivers manualmente

    • Les parece ingenioso que el periférico ayude con el arranque inicial, y si el dispositivo trae los drivers integrados, resulta más fácil que buscar una fuente de descarga estándar

  • Solía ser común adjuntar un pequeño dispositivo flash a los IC de periféricos USB para guardar el VID/PID y otra información de configuración USB. Puede que 512 kB haya sido el tamaño mínimo fácil de conseguir a través de la cadena de suministro

    • El método ISO es algo extraño, pero es una manera creativa de evitar las políticas corporativas de seguridad de TI que restringen los dispositivos USB de almacenamiento masivo. Si se enumera como dispositivo compuesto, se pueden instalar drivers incluso en computadoras donde las unidades USB están bloqueadas

  • Hay quien sostiene que al RJ45 debería llamársele 8P8C

  • Hay contenido relacionado sobre cómo los adaptadores baratos de Ethernet RJ45 a USB pueden incluir malware

  • Puede existir un dongle USB Ethernet "malicioso", y esto está relacionado con LAN Turtle, un producto de Hak5

  • Hace décadas el almacenamiento embebido era muy común, sobre todo en los módems USB 3G. Se podía activar o desactivar con comandos AT

    • El origen de la teoría del "hackeo chino" podría deberse a que la gente joven no está familiarizada con estas cosas antiguas

  • Es muy difícil hacer una conexión dañina a un puerto Ethernet, pero es muy fácil hacer una conexión dañina a un puerto USB. Es apropiado llamarlo un dongle USB "malicioso"