CIRCLean: usa la Raspberry Pi para "sanear" los dispositivos USB no confiables

El malware usa frecuentemente dispositivos de almacenamiento USB para infectar a sus víctimas, de hecho el abuso de pendrives USB es un vector común de infección (véase por ejemplo que el 66% de los pendrives perdidos pueden contener malware).

CIRCLean es una solución independiente que utiliza una Raspberry Pi para analizar y copiar automáticamente los documentos de un dispositivo USB no confiable a otro confiable, basándose fundamentalmente en las siguientes reglas:
  • Copia directa de:
    • Archivos de texto sin formato (tipo mime: text *)
    • Archivos de audio (tipo mime: audio/*)
    • Archivos de vídeo (tipo mime: video/*)
    • Archivos de ejemplo (tipo mime: example/*)
    • Archivos multipart (tipo mime: multipart/*)
    • Archivos xml, después de convertirse a archivos de texto
    • Archivos de flujo de octetos (Octet-stream)
  • Copia después de verificación:
    • Los archivos de imágenes después de verificar que no son bombas zip (tipo mime: image/*)
    • Archivos PDF, después de marcar como peligrosos si contienen contenido malicioso msword|vnd.openxmlformats-officedocument.|vnd.ms-|vnd.oasis.opendocument*, después de analizar con oletools/olefile y marcar como peligroso si falla el análisis.
  • Copiado pero marcado como peligroso (DANGEROUS_filename_DANGEROUS)
    • Archivos de mensajes (tipo mime: menssage/*)
    • Archivos de modelos (tipo mime: model/*)
    • X-dosexec (ejecutable)
  • Archivos comprimidos (zip|x-rar|x-bzip2|x-lzip|x-lzma|x-lzop|x-xz|x-compress|x-gzip|x-tar|*compressed):
    • Los archivos se descomprimen, con el proceso de descompresión detenido después de 2 niveles de archivos para evitar las bombas zip.
    • Las reglas anteriores se aplican de forma recursiva a los archivos desempaquetados.
CIRCLean funciona actualmente con dispositivos USB que tienen sistemas de archivos FAT32, NTFS o ext2/3/4 (los sistemas de archivos ext* sólo pueden usarse como dispositivos de origen, no como dispositivos de destino). Actualmente, exFAT no es compatible debido a la falta de soporte para este formato en pmount. La gran mayoría de los pendrives USB serán FAT32 o NTFS.

Instalación

- Descarga la imagen pre-construida basada en Raspbian Jessie Lite (1-11-17). Necesitarás al menos una tarjeta SD de 4 GB.
- Para preparar la tarjeta SD en Windows, puedes utilizar Win32DiskImager. En linux/MacOS, usa dd (demontar antes de la copia):
  • Linux: dd bs=1M if=2017-04-18_CIRCLean.img of=/dev/sdX
  • MacOS: sudo dd bs=1M if=2017-04-18_CIRCLean.img of=/dev/diskN
- Si quieres contribuir al proyecto o crear la imagen por tu cuenta, ve a la sección contributing.md y sigue las instrucciones de instalación.

Uso

1.- Apaga el dispositivo y desconecta todo
2.- Conecta el dispositivo USB no confiable en la ranura USB superior-izquierda de la Raspberry Pi.
3.- Conecta el dispositivo USB propio en la ranura USB inferior (o utiliza cualquiera de las otras ranuras si hay más de 2).
 Nota: Este pendrive debe tener mayor capacidad que la original, ya que cualquier archivo presente en el pendrive de origen se copiará al otro.
4.- Opcional: conecta el cable HDMI a una pantalla para supervisar el proceso.
5.- Conecta la alimentación al puerto micro USB.
 Nota: Utiliza una fuente de alimentación regulada de 5V, 700mA+
6.-Espera hasta que no vea ninguna luz verde parpadeando en la placa, o si conectaste el cable HDMI, comprueba la pantalla. El proceso es lento y puede tomar de 30 a 60 minutos dependiendo de cuántas conversiones de documentos se tengan que hacer.
7. Apaga el dispositivo y desconecta los dispositivos


Proyecto: https://www.circl.lu/projects/CIRCLean/
Github: https://github.com/CIRCL/Circlean/blob/master/README.md

1 comentarios :

  1. Al final entre pitos y flautas están ganando utilidad todas esas tarjetas microSD que tenemos tiradas por ahí.
    512kb son suficientes para los malduino/badusb con SD, 1Gb parece suficiente para el CIRCLean...
    Poco a poco estos trastos van reutilizando cosas obsoletas. Me encanta ese rollo, es de lo más h4x0r.

    ResponderEliminar