El malware usa frecuentemente dispositivos de almacenamiento USB para infectar a sus víctimas, de hecho el abuso de pendrives USB es un vector común de infección (véase por ejemplo que el 66% de los pendrives perdidos pueden contener malware).
CIRCLean es una solución independiente que utiliza una Raspberry Pi para analizar y copiar automáticamente los documentos de un dispositivo USB no confiable a otro confiable, basándose fundamentalmente en las siguientes reglas:
Instalación
- Descarga la imagen pre-construida basada en Raspbian Jessie Lite (1-11-17). Necesitarás al menos una tarjeta SD de 4 GB.
- Para preparar la tarjeta SD en Windows, puedes utilizar Win32DiskImager. En linux/MacOS, usa dd (demontar antes de la copia):
Uso
1.- Apaga el dispositivo y desconecta todo
2.- Conecta el dispositivo USB no confiable en la ranura USB superior-izquierda de la Raspberry Pi.
3.- Conecta el dispositivo USB propio en la ranura USB inferior (o utiliza cualquiera de las otras ranuras si hay más de 2).
Nota: Este pendrive debe tener mayor capacidad que la original, ya que cualquier archivo presente en el pendrive de origen se copiará al otro.
4.- Opcional: conecta el cable HDMI a una pantalla para supervisar el proceso.
5.- Conecta la alimentación al puerto micro USB.
Nota: Utiliza una fuente de alimentación regulada de 5V, 700mA+
6.-Espera hasta que no vea ninguna luz verde parpadeando en la placa, o si conectaste el cable HDMI, comprueba la pantalla. El proceso es lento y puede tomar de 30 a 60 minutos dependiendo de cuántas conversiones de documentos se tengan que hacer.
7. Apaga el dispositivo y desconecta los dispositivos
Proyecto: https://www.circl.lu/projects/CIRCLean/
Github: https://github.com/CIRCL/Circlean/blob/master/README.md
CIRCLean es una solución independiente que utiliza una Raspberry Pi para analizar y copiar automáticamente los documentos de un dispositivo USB no confiable a otro confiable, basándose fundamentalmente en las siguientes reglas:
- Copia directa de:
- Archivos de texto sin formato (tipo mime: text *)
- Archivos de audio (tipo mime: audio/*)
- Archivos de vídeo (tipo mime: video/*)
- Archivos de ejemplo (tipo mime: example/*)
- Archivos multipart (tipo mime: multipart/*)
- Archivos xml, después de convertirse a archivos de texto
- Archivos de flujo de octetos (Octet-stream)
- Copia después de verificación:
- Los archivos de imágenes después de verificar que no son bombas zip (tipo mime: image/*)
- Archivos PDF, después de marcar como peligrosos si contienen contenido malicioso msword|vnd.openxmlformats-officedocument.|vnd.ms-|vnd.oasis.opendocument*, después de analizar con oletools/olefile y marcar como peligroso si falla el análisis.
- Copiado pero marcado como peligroso (DANGEROUS_filename_DANGEROUS)
- Archivos de mensajes (tipo mime: menssage/*)
- Archivos de modelos (tipo mime: model/*)
- X-dosexec (ejecutable)
- Archivos comprimidos (zip|x-rar|x-bzip2|x-lzip|x-lzma|x-lzop|x-xz|x-compress|x-gzip|x-tar|*compressed):
- Los archivos se descomprimen, con el proceso de descompresión detenido después de 2 niveles de archivos para evitar las bombas zip.
- Las reglas anteriores se aplican de forma recursiva a los archivos desempaquetados.
Instalación
- Descarga la imagen pre-construida basada en Raspbian Jessie Lite (1-11-17). Necesitarás al menos una tarjeta SD de 4 GB.
- Para preparar la tarjeta SD en Windows, puedes utilizar Win32DiskImager. En linux/MacOS, usa dd (demontar antes de la copia):
- Linux:
dd bs=1M if=2017-04-18_CIRCLean.img of=/dev/sdX
- MacOS:
sudo dd bs=1M if=2017-04-18_CIRCLean.img of=/dev/diskN
Uso
1.- Apaga el dispositivo y desconecta todo
2.- Conecta el dispositivo USB no confiable en la ranura USB superior-izquierda de la Raspberry Pi.
3.- Conecta el dispositivo USB propio en la ranura USB inferior (o utiliza cualquiera de las otras ranuras si hay más de 2).
Nota: Este pendrive debe tener mayor capacidad que la original, ya que cualquier archivo presente en el pendrive de origen se copiará al otro.
4.- Opcional: conecta el cable HDMI a una pantalla para supervisar el proceso.
5.- Conecta la alimentación al puerto micro USB.
Nota: Utiliza una fuente de alimentación regulada de 5V, 700mA+
6.-Espera hasta que no vea ninguna luz verde parpadeando en la placa, o si conectaste el cable HDMI, comprueba la pantalla. El proceso es lento y puede tomar de 30 a 60 minutos dependiendo de cuántas conversiones de documentos se tengan que hacer.
7. Apaga el dispositivo y desconecta los dispositivos
Proyecto: https://www.circl.lu/projects/CIRCLean/
Github: https://github.com/CIRCL/Circlean/blob/master/README.md
Al final entre pitos y flautas están ganando utilidad todas esas tarjetas microSD que tenemos tiradas por ahí.
ResponderEliminar512kb son suficientes para los malduino/badusb con SD, 1Gb parece suficiente para el CIRCLean...
Poco a poco estos trastos van reutilizando cosas obsoletas. Me encanta ese rollo, es de lo más h4x0r.