I. Lý thuyết
Hacking USB Devices
Nhóm 9:
Nguyễn Tấn Trọng - 08520426
Bùi Huy Hải - 08520108
Đinh Hoàng Việt - 08520464
Hacking USB Devices
Có 3 kiểu tấn công USB phổ biến nhất hiện nay:
1.USB Attacks
Electrical Attacks : là kiểu tấn công nhằm chống lại,nói cách khác là phá hủy khoá USB
bằng cách tác động tới tính chất vật lí xung quanh nó.Mục đích chính nhằm thu thập các dữ
liệu quan trọng đã được mã hóa.Hiện nay thì các USB vẫn rất ích được mã hóa,đó là 1
thiếu sót quan trọng của nhà sản xuất.Có thể thay đổi các giá trị mật khẩu thậm chí có thể
xóa đi các chương trình trên USB bằng 1 chip nhớ gọi là EEPROM.
Software Attacks :attacker sẽ quan sát cách thức truyền dữ liệu giữa USB và máy
tính,sau đó phân tích và xác định password bằng kĩ thuật brute-force.Bằng cách gửi các gói
tin lỗi tới USB,lúc đó khoá USB có thể bị lộ ra,chẳng hạn là nội dung ,thông tin của 1 phần
bảo vệ nào đó của USB
USB Attack on Windows :khai thác lỗi tràn bộ đệm sẽ giúp attack chiếm được quyền
admin của máy tính.Attacker cắm USB vào máy sau đó thực hiện các lệnh khai thác những
chỗ sơ hở khi máy tính đang load USB.Và cuối cùng Attacker chiếm quyền điều khiển máy
tính.
2.Viruses and worms
Mỗi virus sẽ có cách tấn công khác nhau vào máy tính sau khi cắm USB bị nhiễm phần
mềm gây hại.
Một số ví dụ :
- Virus:W32/Madang-Fam : là 1 virus chạy trên Windows.Virus này lây nhiễm qua
những thiết bị di động như USB,ổ cứng di động,dt Nó thay đổi ,phá hỏng các file có
đuôi *.EXE hoặc *.SCR trên tất cả các driver và sự chia sẻ trong mạng máy tính .Virus
thực ra chỉ là 1 đoạn mã độc mà có thể tự động download và thực thi ,nó hiện diện ở rất
nhiều website.

W32/Madang-Fam sẽ tự động copy và chạy các file setupx.exe và updatex.exe trong
thư mục Windows/System32 .
2
GVHD: Nguyễn Duy
Hacking USB Devices
- Worm: W32/Hasnot-A : W32/Hasnot-A là 1 loại "sâu " ,cũng giống virus về cấu trúc
là 1 đoạn mã,và cũng chạy trên nền Windows,lây nhiễm qua các thiết bị di động.
W32/Hasnot-A sẽ ẩn đi các file và folder ,thậm chí copy đè lên các file đó.
Mỗi khi cài đặt,worm sẽ lan rộng,lây nhiễm vào những tập tin chia sẻ trong mạng và cả
USB. Tập tin autorun.inf sẽ bị thay đổi ,dẫn đến mỗi khi cài đặt gì đó bạn vô tình cho
con worm chạy luôn
- W32/Fujack-AK : W32/Fujack-AK cũng lây nhiễm qua mạng mà các thiết bị di động.
Tự động copy 2 file làGameSetup.exe và setup.exe .Sau đó nó copy đè lên file
autorun.inf và thực thi file setup.exe. Tự động tạo file drivers\spoclsv.exe . Và khoá key
dc thay đổi
- W32/Dzan-C : Tự động tạo file <Windows>\inetinfo.exe và
<System>\1021\services.exe và tập tin services.exe này sẽ chạy mỗi khi khởi động
windows.Nhiều người lầm tưởng đây là 1 dịch vụ trong Windows nên không quan tâm
lắm.Và khóa registry dc tạo là :
HKLM\SYSTEM\CurrentControlSet\Services\services
- W32/SillyFD-AA
Con này copy đè lên các file :
<Root>\kerneldrive.exe
<Windows>\regedit.exe
<Windows>\pchealth\helpctr\Binaries\msconfig.exe
<System>\systeminit.exe
<System>\wininit.exe
<System>\winsystem.exe
<System>\cmd.exe
<System>\taskmgr.exe

Tạo các khoá registry :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
<System>\userinit.exe,<System>\systeminit.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwininit
<System>\wininit.exe
- W32/SillyFDC-BK : Tự động copy file <Windows>\krag.exe và tạo 1 khoá registry để
chạy khi khởi động windows.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3
GVHD: Nguyễn Duy
Hacking USB Devices
krag
<Windows>\krag.exe
Ngoài ra còn rất nhiều virus khác :
• W32/LiarVB-A
• W32/Hairy-A
• W32/QQRob-AND
• W32/VBAut-B
Đều tạo ra hay copy đè lên file sẵn có của HĐH và chỉnh sửa khóa registry.
Còn rất nhiều virus ,nhưng hiện nay các virus này đều bị các phần mềm diệt virus phát hiện
và tiêu diệt dc,trên đây là cách thức hoạt động của 1 virus,khi dc lập trình các đoạn mã sẽ
thực thi,có thể là copy đè lên file hệ thống,hoặc tự động thay đổi các khoa Registry.Vì khoá
Registry dc xem là "trái tim" của 1 máy tính.
3.USB Hacking Tools :Sử dụng công cụ có sẵn để khi nạn nhân cắm vào máy tính sẽ chạy
một chương trình nào đấy phá hoại hay lấy thông tin nạn nhân.
- USB Dumper: tự động thực thi ứng dụng một cách âm thầm bằng cách lấy trộm dữ liệu
từ USB rồi bỏ vào đường dẫn sẵn có trong máy(đường dẫn chỉnh sửa trong file dump.ini).
- USB Switchblade: Công cụ này lợi dụng các lỗ hổng trên HĐH window . Nó âm thầm
lấy cắp thông tin của người dùng cắm USB vào: Password hashes, LSA secrets, browser history,

autofill information, ip information.
- USB Hacksaw: được phát triển bởi cộng đồng Hak5, là phiên bản mở rộng của USB
Dumper. Nó chạy ở background khi nạn nhân cắm USB vào máy tính. Khi có được dữ liệu từ
USBdumper, thì nó âm thầm kết nối vào mail có sẵn trên internet rùi tải dữ liệu lên cho attacker.
II. Mô hình triển khai
Nhóm tôi dùng cách thứ 3 là sử dụng công cụ USB Hacking Tools có tên AHUSB để lấy
username/password lưu trên trình duyệt và và thử xem lấy được username/pass của yahoo
messenger hay không.
4
GVHD: Nguyễn Duy
Hacking USB Devices
Công cụ này download tại: .
Sau khi download, giải nén vào thư mục gốc của USB. Ta chỉnh sửa file autorun.inf cho
phù hợp để khi cắm usb vào sẽ hiện popup xác nhận các yêu cầu.
Nếu dùng window XP hay window server 2003 có tính năng autorun thì khi khi cắm USB
vào thì tự động sẽ hiện popup và nếu ta xác nhận yêu cầu thì sẽ bị nhiễu virus(cách thứ 2) hay
sẽ thực thi tự động chương tình nào đó(cách 3). Đối với win 7 thì tính năng autorun đã bị
disable nên sẽ không hiện popup nào nữa.
Khả năng chính của công cụ: Xem pasword lưu trong yahoo messenger, Outlook Express,
các password lưu trong các trình duyệt như Firefox, Chrome, IE.
Các thành phần chính của công cụ:
- ChromePass.exe: xem username/pass word lưu trong trình duyệt google Chrome.
- Iepv (IE PassView): xem username/password lưu trong trình duyệt IE
- Mailpv: xem username/password lưu trong:
• Outlook Express
• Microsoft Outlook 2000 (POP3 and SMTP Accounts only)
• Microsoft Outlook 2002/2003/2007 (POP3, IMAP, HTTP and SMTP
Accounts)
• Windows Mail
• Yahoo! Mail - If the password is saved in Yahoo! Messenger application.

• Hotmail/MSN mail - If the password is saved in MSN/Windows/Live
Messenger application.
• Gmail - If the password is saved by Gmail Notifier application, Google
Desktop, or by Google Talk & etc.
- Mspass(MessenPass): xem user/pass lưu trong
• MSN Messenger
• Windows Messenger (In Windows XP)
• Windows Live Messenger (In Windows XP And Vista)
• Yahoo Messenger (Versions 5.x and 6.x)
• Google Talk.
- PasswordFox: xem username/pass lưu trong trình duyệ firefox.
- Pspv(Protected Storage PassView): xem các user/pass lưu trong nơi bảo mật như: IE,
Outlook, MSN.
- WebBrowserPassView: xem user/pass lưu trong trình duyệt.
5
GVHD: Nguyễn Duy
Hacking USB Devices
III. Triển khai tấn công
6
GVHD: Nguyễn Duy
Hacking USB Devices
Công cụ AHUSB sau khi extract vào thư mục gốc của USB:
Đây là phần chỉnh sửa file autorun để tự động file lauch.bat khi người dùng click vào(trong
demo sẽ chạy trực tiếp file launch.bat) .
7
GVHD: Nguyễn Duy
Hacking USB Devices
Phần chỉnh sửa file lauch.bat để sau khi các công cụ thực hiện xong sẽ lưu các username/pass
trong các file text tương ứng.
8

GVHD: Nguyễn Duy
Hacking USB Devices
Xem user/password lưu trong các trình duyệt:
Thử đăng nhập vào yahoo mail trong trình duyệt IE và với Gmail trong trình duyệt Chrome(chọn
chế độ lưu password)

Bậy giời chạy file lauch.bat rồi xem kết quả:
Ta thấy username và password hiện trong các file:
- ChromePass.txt
9
GVHD: Nguyễn Duy
Hacking USB Devices
- Iepv.txt
- Pspv.txt
10
GVHD: Nguyễn Duy
Hacking USB Devices
- WebBrowserPassView.txt
Bây giời nếu dung ccleaner làm sạch cookies, history, … và đặc biệt phải check vào ô Saved
passwords để xóa luông cả password thì khi chạy file lauch.bat trong usb thì các password lưu
trong các trình duyệt sẽ bị xóa hết và ta không thể xem password được nữa.
11
GVHD: Nguyễn Duy
Hacking USB Devices
Xem user/password lưu trong yahoo messenger:
Đăng nhập vào yahoo messenger rồi chay file lauch.bat trong USB thì trong phần mspass.txt
ta không hề thấy password của yahoo messenger đâu cả nhưng khi đăng nhập vào pidgin dùng
giao thức yahoo messenger thì ta xem được username/pass .
12
GVHD: Nguyễn Duy

Hacking USB Devices
13
GVHD: Nguyễn Duy
Hacking USB Devices
IV. Nhận xét và giải pháp phòng chống
Đây là cách thay đổi file autorun.inf trong usb để chạy các phần mềm của attacker.
Cách này chỉ hữu dụng khi HĐH nạn nhân là HĐH window có cơ chế chạy autorun usb,
thường là HĐH Windwo XP hay Window server 2003.
Hạn chế phần mềm:
- Nếu máy tính nạn nhân là HĐH win 7 không có cơ chế autorun thì phải attacker phải
cắm usb trực tiếp vào máy tính nạn nhân rùi chạy file launch.bat.
- Vì phần mềm nạy chạy các ứng dụng dò password bằng command line nên sẽ hiện
command line lên khoảng một tí và không có cơ chế chạy background như USB
dumper nên nếu nạn nhân tinh ý sẽ thấy các dòng này(dù các file chứa password đã để
chế độ ẩn).
Cách phòng chống:
Một các giải quyết khá đơn giản cho vấn đề này là chúng ta sẽ tạo ra một file chạy
autorun mặc định trước cho USB với những khả năng không bị đánh bật ra khi các loại
virus xâm nhập và tự tạo file chạy của riêng nó.
Bước 1: Với thế hệ ổ flash USB có dung lượng lớn hiện nay đều có thể chuyển sang định
dạng NTFS thay cho mặc định FAT/FAT32. Với định dạng NTFS, hệ thống của USB sẽ
được bảo mật chặt chẽ hơn, với việc chia quyền truy cập cấp cao. Chọn Start vào Run sau
đó gõ: Convert <tên ổ đĩa>: /FS:NTFS. Ví dụ ổ USB của bạn là ổ D thì gõ như
sau: Convert D: /FS:NTFS. Cách này có thể áp dụng cho cả ổ cứng. Một cách đơn giản
hơn là click chuột phải vào biểu tượng USB trong My Computer, chọn Format, trong phần
định dạng ổ thì chuyển sang NTFS nhưng với thao tác này dữ liệu của bạn sẽ bị xóa hết do
đó hãy sao lưu những gì quan trọng trước khi làm.

Bước 2: Tạo một file autorun.inf bất kỳ, nhớ rằng chỉ cần đặt tên file là như vậy, còn
nội dung bạn có thể bỏ không. Tiếp đó click chuột phải vào file vừa tạo ra và chọn thuộc

tính read-only để không thể sửa đổi những nội dung của file này.

Bước 3: Để tăng tính bảo mật hơn nữa của file autorun.inf vừa tạo ra, chúng ta sẽ cấm
mọi quyền truy xuất đến tập tin này bằng cách vào Run thực hiện:cacls <tên ổ
đĩa>\autorun.inf /D Everyone. Ví dụ USB của bạn là ổ D, ta sẽ có: cacls D:
\autorun.inf/D Everyone. Rồi sau đó chọn chế độhidden cho file chạy này.
14
GVHD: Nguyễn Duy