Ataques de conducción USB constituye un peligro significativo de ciberseguridad, aprovechando el uso diario de dispositivos USB para entregar malware y eludir las medidas de seguridad de la red tradicionales. Estos ataques conducen a violaciones de datos, pérdidas financieras e interrupciones operativas, con impactos duraderos en la reputación de una estructura. Un ejemplo es el insignificante StuxNet descubierto en 2010, un malware diseñado para dirigirse a los sistemas de control industrial, específicamente las instalaciones de beneficio nuclear de Irán. Explotó múltiples vulnerabilidades de día cero y se extendió principalmente a través de unidades USB, lo que lo convierte en uno de los primeros ejemplos de un ataque cibernético con bienes físicos del mundo verdadero. Stuxnet expuso los riesgos de los medios extraíbles y aumentó la conciencia mundial de las amenazas de ciberseguridad a la infraestructura crítica.
Cómo se propagan los ataques de pelotón USB
Los atacantes utilizan varios métodos para entregar cargas enseres maliciosas a través de unidades USB, dirigirse a individuos y organizaciones.
- Ataques: Las unidades USB infectadas se dejan deliberadamente en áreas públicas, como los estacionamientos, para atraer a las víctimas a enchufarlas e infectar sus computadoras.
- Ataques basados en el correo: Las unidades USB se envían a objetivos por correo, disfrazados de artículos promocionales o dispositivos legítimos, para engañarlos para que los conecten a sus sistemas.
- Ingeniería social: Los atacantes usan tácticas psicológicas para persuadir a las víctimas de que conecten las unidades USB infectadas con sus computadoras.
- Enchufe no solicitado: Los atacantes enchufan las unidades USB infectadas en sistemas desatendidos, difundiendo malware sin la interacción de la víctima.
Cómo funcionan los ataques de impulso USB
Los ataques de pelotón USB generalmente siguen un proceso de varios pasos para infiltrarse en sistemas y causar daños.
- Inspección: Los atacantes investigan su objetivo para identificar posibles vulnerabilidades. En este caso, pueden compendiar información sobre la estructura, sus empleados y su entorno eficaz para determinar la probabilidad de que alguno use una pelotón USB.
- Armamento: Los actores de amenaza preparan la pelotón USB incrustando malware. Esto se puede alcanzar infectando directamente la pelotón o elaborando un archivo aparentemente desprendido, como un documento, video o imagen, que contiene un código astuto oculto.
- Entrega: Los atacantes distribuyen el impulso USB infectado a los objetivos dejándolo en áreas públicas, regalándolo como un tipo promocional o utilizando ingeniería social para entregarlo.
- Explotación: Cuando el objetivo se conecta a la pelotón USB, el malware se activa automáticamente o mediante la interacción del legatario, explotando las vulnerabilidades del sistema.
- Instalación: El malware está instalado en el sistema de destino, ganando persistencia. Este paso permite al atacante persistir el control del dispositivo infectado incluso si se reinicia o desconectado.
- Comando y control (C2): El malware se comunica con el servidor del atacante. Esto permite al atacante emitir comandos, exfiltrados datos o implementar cargas enseres adicionales.
- Acciones sobre objetivos: Los atacantes alcanzan sus objetivos, como robar datos confidenciales, implementar ransomware o establecer un ataque persistente para una explotación futura.
 |
| Figura 1: Pasos que muestran cómo funcionan los ataques de pelotón USB. |
Mejore su postura de ciberseguridad contra los ataques de impulso USB con Wazuh
Wazuh es una plataforma de seguridad de código extenso que ayuda a las organizaciones a detectar y replicar a las amenazas de seguridad al monitorear las actividades del sistema, desde eventos informativos hasta incidentes críticos. Las organizaciones pueden evitar de guisa proactiva las violaciones y proteger los datos confidenciales al monitorear la actividad USB con WAZUH.
Monitoreo de actividades de accionamiento USB en Windows utilizando Wazuh
Wazuh monitorea actividades de pelotón USB en los puntos finales de Windows utilizando la función de actividad de auditoría PNP. Esta característica registra eventos de plug and play (PNP), que ayuda a identificar cuándo están conectados las unidades USB. Está acondicionado en Windows 10 Pro y Windows 11 Pro, Windows Server 2016 y versiones posteriores.
Las organizaciones pueden configurar WAZUH para detectar eventos específicos del sistema y monitorear eventos relacionados con el USB, particularmente enfocándose en Windows Event ID 6416, que indica cuándo está conectado un dispositivo foráneo. Los administradores de seguridad pueden detectar conexiones de dispositivos USB creando reglas personalizadas de Wazuh para identificar posibles incidentes de seguridad.
El subsiguiente paso incluye la creación de una saco de datos constante (CDB) de los identificadores de dispositivos únicos de los dispositivos permitidos (DeviceID). Esta registro le permite a Wazuh diferenciar entre dispositivos autorizados y no autorizados, generando alertas para ambas categorías. Por ejemplo, cuando se enciende una pelotón USB autorizada, desencadena una alerta de nivel inferior, mientras que las conexiones no autorizadas pueden difundir alertas de adhesión severidad que indican una posible violación de seguridad.
 |
| Figura 2: Eventos de complemento de la pelotón USB en un punto final monitoreado de Windows. |
 |
| Figura 3: Evento de pelotón USB competente. |
 |
| Figura 4: Evento de pelotón USB no competente. |
Caso de uso de detección de amenazas: Detección de actividades de conducción USB Raspberry Robin USB
Wazuh proporciona una posibilidad para mitigar las amenazas relacionadas con el USB, como Raspberry Robin, un insignificante basado en Windows.
Raspberry Robin se dirige a industrias como petróleo, gas, transporte y tecnología, causando interrupciones operativas. Se extiende a través de archivos .lnk disfrazados, anhelo persistencia al poner al día el registro de usuarios e imitan las carpetas legítimas. El insignificante utiliza procesos legítimos de Windows como msiexec.exe, rundll32.exe, odbcconf.exe y fodhelper.exe para ejecutar, persistir y descargar componentes maliciosos adicionales. Su dependencia de los servidores de comando y control basados en TOR (C2) para la comunicación de salida agrega sigilo y complica la detección.
Wazuh detecta Raspberry Robin mediante el monitoreo de las modificaciones del registro, los patrones de ejecución de comandos inusuales y el uso de binarios del sistema sospechosos. Su monitoreo de integridad de archivos en tiempo verdadero y reglas de detección de amenazas identifican actividades maliciosas, lo que permite una respuesta rápida para mitigar las posibles interrupciones.
Wazuh detecta y mitiga Raspberry Robin monitoreando y respondiendo a actividades sospechosas como:
- Actividades anómalas cmd.exe: Terminar procesos sospechosos o aislar puntos finales afectados.
- Marcar descargas de msiexec.exe de dominios oscuros, aislamiento de conexiones y alerta a los administradores.
- Detección de bypass de UAC a través de fodhelper.exeterminando el proceso y notificando a los administradores.
- Separación de conexiones de salida inusuales por rundll32.exe y dllhost.exe.
A continuación se muestra una muestra de configuración de reglas personalizada que detecta posibles actividades de Raspberry Robin.
92004
(?i)cmd.exe$
(?i)cmd.exe.+((/r)|(/v.+/c)|(/c)).*cmd
Possible Raspberry Robin execution on $(win.system.computer)
T1059.003
61603
(?i)msiexec.exe$
(?i)msiexec.*(/q|-q|/i|-i).*(/q|-q|/i|-i).*http(s){0,1}://.+(.msi){0,1}
msiexec.exe downloading and executing packages on $(win.system.computer)
T1218.007
61603
(?i)(cmd|powershell|rundll32).exe
(?i)fodhelper.exe
Use of fodhelper.exe to bypass UAC on $(win.system.computer)
T1548.002
61603
(regsvr32.exe|rundll32.exe|dllhost.exe).*";document.write();GetObject("script:.*).Exec()
Possible Raspberry Robin execution on $(win.system.computer)
T1218.011
 |
| Figura 5: COI y comportamientos de Raspberry Robin detectados en un punto final monitoreado de Windows. |
 |
| Figura 6: Una alerta que muestra los IOC de Raspberry Robin detectados en un punto final monitoreado de Windows. |
Para obtener más detalles sobre la detección del insignificante Raspberry Robin con Wazuh, visite este blog.
Monitoreo de unidades USB en Linux usando wazuh
Las unidades USB incluso pueden introducir riesgos de seguridad en los puntos finales de Linux como vectores potenciales para el malware y el ataque a datos no autorizados. UDEV es una utilidad del sistema en Linux que detecta y administra automáticamente dispositivos externos, como las unidades USB, cuando se enciende. Crea los archivos de dispositivo necesarios en el directorio /dev directorio para que el sistema pueda interactuar con ellos. Los administradores pueden crear reglas UDEV personalizadas que generen eventos detallados, proporcionando información sobre la actividad USB. Wazuh tiene reglas integradas para el monitoreo USB, pero los eventos generados por UDEV proporcionan detalles más ricos, mejorando la detección de amenazas.
Configuramos las reglas UDEV en nuestros puntos finales de Linux para activar un script de registro cada vez que se conecta un dispositivo USB. El agente Wazuh debe configurarse para repasar el archivo de registro JSON generado producido a partir del script de registro, lo que le permite procesar y analizar la actividad USB.
Al igual que el monitoreo de la pelotón USB de Windows, necesita una registro de saco de datos constante (CDB) de números de serie de dispositivo USB autorizados. Wazuh comparará las conexiones entrantes con esta registro, lo que desencadena alertas para dispositivos no autorizados.
 |
| Figura 7: Alertas de pelotón USB para un punto final de Linux monitoreado. |
 |
| Figura 8: Un evento de pelotón USB no competente en un punto final de Linux monitoreado. |
La publicación de blog sobre monitoreo de unidades USB en Linux utilizando Wazuh proporciona más información sobre el monitoreo de unidades USB conectadas a los puntos finales de Linux.
Monitoreo de unidades USB en macOS usando wazuh
Puede usar un script personalizado para registrar eventos críticos relacionados con dispositivos USB en los puntos finales de MacOS y luego configurar WAZUH para monitorear estos eventos. Los administradores pueden extraer información como eventos de conexión y desconexión, ID de proveedor, ID de producto y números de serie de unidades USB conectadas. Este script interactúa con el ámbito de E/S del kit de MacOS para compendiar información del dispositivo USB, que luego está formateado como JSON y se escolta en un archivo de registro. Los datos de registro generados a partir de este script personalizado se envían al servidor WAZUH para su exploración utilizando el agente WAZUH.
La publicación de blog sobre monitoreo de unidades USB en macOS que usa Wazuh muestra los pasos para monitorear las unidades USB en los puntos finales de MacOS.
 |
| Figura 9: Alertas de pelotón USB en un punto final de macOS monitoreado. |
 |
| Figura 10: Alerta de pelotón USB no autorizada en un punto final de MacOS monitoreado. |
Conclusión
Los ataques de pelotón USB representan un peligro de seguridad en los principales sistemas operativos, lo que permite la propagación de malware y el ataque no competente a los actores maliciosos.
Wazuh ofrece varios mecanismos de detección para aumentar las posibilidades de detectar ataques de accionamiento USB y mitigar el impacto potencial. Las organizaciones pueden mejorar la ciberseguridad integrando estos métodos de detección y aplicando políticas estrictas de ataque USB.
