Untersuchung eines „bösen“ RJ45-Dongles

 (lcamtuf.substack.com)
1 Punkte von GN⁺ 2025-01-18 | 1 Kommentare | Auf WhatsApp teilen

Untersuchung eines „bösen“ RJ45-Dongles

  • Hardware-Reverse-Engineering
    Hardware-Reverse-Engineering kann schwierig sein, aber manchmal reichen ein bequemer Stuhl und Google Übersetzer völlig aus.

  • Die Realität von Supply-Chain-Angriffen
    In der Informationssicherheit sind Supply-Chain-Angriffe komplex und riskant und kommen meist nur dann zum Einsatz, wenn es keinen anderen Weg gibt. In den meisten Fällen ist es einfacher, Zugangsdaten zu stehlen oder jemanden dazu zu bringen, schädliche Dateien herunterzuladen.

  • Aufregung in den sozialen Medien
    Ein junger Unternehmer sorgte in den sozialen Medien für Aufsehen, als er behauptete, ein in China gekauftes Ethernet-USB-Adapterkabel sei voller Malware. Später stellte sich jedoch heraus, dass es sich um Fehlinformationen handelte.

  • Treiberanalyse
    Der fragliche Treiber ist für einen RJ45-zu-USB-Chip von CoreChips Shenzhen bestimmt und liegt in einer öffentlich signierten Version vor. Vermutlich handelt es sich um eine Kopie des Realtek RTL8152B.

  • Historischer Kontext
    Der Treiber basiert auf einem alten Design, das 2013 veröffentlicht wurde. Damals verschwanden CD-ROM-Laufwerke allmählich, aber nicht alle Computer waren ständig online. Deshalb war es sinnvoll, dass sich das Gerät als Massenspeicher mit eigenem Treiber präsentierte.

  • Die Rolle des Flash-Speichers
    Es wurde die Frage aufgeworfen, warum das Gerät 512 kB Flash-Speicher benötigt. Unklar ist, ob dieser zur Speicherung der Firmware dient oder einem anderen Zweck.

  • Designunterlagen zum SR9900
    Anhand der Designunterlagen des SR9900 lässt sich bestätigen, dass der Flash-Chip als virtuelles optisches Laufwerk verwendet werden kann. Dies dient der Installation des Treibers.

  • Fazit
    Seltsam ist nicht immer gleich schlecht. Auch ohne Hardwarelabor lässt sich mit Geduld und gutem Recherchegeschick genug herausfinden. Der interne Code des SR9900-ICs selbst bleibt jedoch weiterhin unbekannt.

  • Sicherheitsbedenken
    In bestimmten Situationen kann das Risiko bösartiger USB-Dongles bestehen, doch für gewöhnliche Heimnetzwerke ist große Sorge nicht nötig.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-01-18
Hacker-News-Kommentare

  • Der Hinweis, dass mindestens ein Intel Pentium mit 166 MHz erforderlich ist, ist amüsant. Ich mag dieses Genre, in dem „langweilige, kluge Menschen erstaunliche Kreativität und Ausdauer einsetzen, um ein mit gesundem Menschenverstand offensichtliches Ergebnis zu erzielen“

    • Nach dem Anblick des Tweets über den „bösen“ Dongle erkannte jemand, dass es sich um dasselbe handelte, an dem er zuvor gearbeitet hatte. Er ist nicht bösartig, sondern nur lästig
    • Das SPI-Flash-Modul wurde deaktiviert, damit es nicht als CD-Laufwerk erscheint, und der Autor dieses Beitrags fand in den Unterlagen heraus, dass SPI optional ist. Dieser Beitrag liefert tatsächlich ein Tool, mit dem sich ein RJ45-Dongle neu flashen und dadurch „bösartig“ machen lässt

  • Es wird geschätzt, dass sich USB-Geräte als Speichermedium tarnen, um eigene Treiber bereitzustellen. Heutzutage mag es der „richtige“ Weg sein, alles auf Microsoft-Server hochzuladen und das Benötigte herunterzuladen, aber oft muss man Treiber dennoch manuell installieren

    • Es wird als clever angesehen, wenn Peripheriegeräte beim Bootstrapping helfen, und wenn ein Gerät den Treiber eingebaut hat, ist das einfacher, als eine standardisierte Download-Quelle zu finden

  • Es war üblich, an USB-Peripherie-ICs einen kleinen Flash-Speicher anzubringen, um VID/PID und andere USB-Konfigurationsinformationen zu speichern. 512 kB könnten die kleinste Größe gewesen sein, die über die Lieferkette leicht verfügbar war

    • Die ISO-Methode ist etwas seltsam, aber ein kreativer Weg, um IT-Sicherheitsrichtlinien in Unternehmen zu umgehen, die USB-Massenspeichergeräte beschränken. Wenn es als Verbundgerät enumeriert wird, kann der Treiber selbst auf Computern installiert werden, auf denen USB-Laufwerke gesperrt sind

  • Es gibt die Ansicht, dass man RJ45 eigentlich 8P8C nennen sollte

  • Es gibt einen verwandten Hinweis darauf, dass günstige USB-zu-Ethernet-Adapter mit RJ45 Malware enthalten könnten

  • Es könnte „bösartige“ USB-Ethernet-Dongles geben; das steht in Zusammenhang mit dem Produkt LAN Turtle von Hak5

  • Vor Jahrzehnten war eingebetteter Speicher sehr verbreitet, besonders bei 3G-USB-Modems. Er ließ sich per AT-Befehl aktivieren oder deaktivieren

    • Der Ursprung der Theorie vom „chinesischen Hacking“ könnte darin liegen, dass jüngere Leute mit solchen alten Dingen nicht vertraut sind

  • Es ist sehr schwer, über einen Ethernet-Port eine schädliche Verbindung herzustellen, aber sehr leicht über einen USB-Port. Daher ist es passend, das einen „bösartigen“ USB-Dongle zu nennen