악의적 인 USB 드라이브가 PC를 감지 할 수 없습니다

PC에서 USB 자동 재생을 끄지 않은 경우 감염된 USB 드라이브를 연결하면 시스템에 맬웨어가 설치 될 수 있습니다. Stuxnet이 우라늄 정제 원심 분리기를 날려 버린 엔지니어들은 어려운 방법을 알게되었습니다. 그러나 자동 재생 맬웨어 만이 USB 장치를 무기화 할 수있는 유일한 방법은 아닙니다. 베를린 소재 SRLabs의 Black Hat 2014 컨퍼런스에서 두 명의 USB 장치 컨트롤러 칩을 수정하여 "컴퓨터를 제어하거나 데이터를 유출 시키거나 사용자를 감시하기 위해 다양한 다른 장치 유형을 속일 수있는"기술이 공개되었습니다. " 그것은 나쁘게 들리지만 실제로는 정말 끔찍합니다.

어두운면으로

"우리는 일반적으로 임베디드 보안에 중점을 둔 해킹 연구소입니다."라고 연구원 인 Karsten Noll은 포장 된 방에 말했습니다. "우리는 임베디드 각도로 컴퓨터 보안을 처음 보았습니다. 어떻게 USB를 악의적으로 재사용 할 수 있습니까?"

Reseacher Jakob Lell이 바로 데모에 뛰어 들었습니다. 그는 USB 드라이브를 Windows 컴퓨터에 연결했습니다. 예상대로 드라이브로 나타납니다. 그러나 얼마 지나지 않아 USB 키보드로 다시 정의되어 원격 액세스 트로이 목마를 다운로드하는 명령을 내 렸습니다. 박수를 받았습니다!

Noll은“우리는 USB 저장소의 바이러스에 대해서는 이야기하지 않을 것입니다. "우리의 기술은 빈 디스크와 함께 작동합니다. 심지어 디스크를 다시 포맷 할 수도 있습니다. 이것은 패치 될 수있는 Windows 취약점이 아닙니다. 우리는 트로이가 아닌 배포에 중점을두고 있습니다."

컨트롤러 제어

Noll은 "USB는 매우 인기가있다"고 말했다. "대부분의 USB 장치에는 컨트롤러 칩이 있습니다. 칩과 상호 작용하거나 OS에서이를 볼 수는 없습니다. 그러나이 컨트롤러는 'USB와 통신합니다.'"

USB 칩은 컴퓨터에서 장치 유형을 식별하며 언제든지이 프로세스를 반복 할 수 있습니다. Noll은 비디오 용 드라이버 하나와 연결된 마이크 용 드라이버 하나가있는 웹캠과 같이 하나의 장치가 둘 이상의 장치로 존재하는 데에는 유효한 이유가 있다고 지적했습니다. 일련 번호는 선택 사항이며 고정 형식이 없기 때문에 USB 드라이브를 실제로 식별하는 것은 어렵습니다.

Lell은 특정 유형의 USB 컨트롤러에서 펌웨어를 다시 프로그래밍하기 위해 팀이 수행 한 정확한 단계를 안내했습니다. 간단히 말해서 펌웨어 업데이트 프로세스를 스누핑하고 펌웨어를 리버스 엔지니어링 한 다음 악성 코드가 포함 된 수정 된 버전의 펌웨어를 만들어야했습니다. Noll은“우리는 USB에 관한 모든 것을 깨뜨리지 않았습니다. "우리는 매우 인기있는 컨트롤러 칩 두 개를 리버스 엔지니어링했습니다. 첫 달은 두 달, 두 번째 달은 걸렸습니다."

자기 복제

두 번째 데모의 경우 Lell은 첫 번째 데모에서 감염된 PC에 새로운 빈 USB 드라이브를 삽입했습니다. 감염된 PC는 빈 USB 드라이브의 펌웨어를 다시 프로그래밍하여 자체 복제했습니다. 이런.

그는 방금 감염된 드라이브를 Linux 노트북에 꽂아 키보드 명령을 실행하여 악성 코드를로드했습니다. 다시 한 번 데모는 청중들로부터 박수를 받았습니다.

비밀번호 도용

Noll은 "이것은 하나의 USB가 다른 장치 유형을 반향하는 두 번째 예 였지만 이것은 빙산의 일각에 불과하다. 다음 데모를 위해 USB 3 드라이브를 감지하기 어려운 장치 유형으로 다시 프로그래밍했다. 자세히 보면 거의 볼 수 없습니다."

실제로 네트워크 아이콘의 깜박임을 감지 할 수 없었지만 USB 드라이브를 꽂은 후 새로운 네트워크가 나타났습니다. Noll은 드라이브가 이더넷 연결을 에뮬레이트하여 컴퓨터의 DNS 조회를 리디렉션한다고 설명했습니다. 특히 사용자가 PayPal 웹 사이트를 방문하면 보이지 않는 암호 도용 사이트로 리디렉션됩니다. 아아, 데모 악마는 이것을 주장했다; 작동하지 않았다.

USB를 신뢰

Noll은 "USB에 대한 신뢰를 잠시 논의 해 보자"고 말했다. "사용하기 쉽기 때문에 인기가 있습니다. 암호화되지 않은 이메일 또는 클라우드 스토리지를 사용하는 것보다 USB를 통해 파일을 교환하는 것이 좋습니다. USB는 세계를 정복했습니다. 우리는 USB 드라이브를 바이러스 검사하는 방법을 알고 있습니다. 우리는 USB 키보드를 훨씬 더 신뢰합니다. 그 신뢰를 무너 뜨린다”

"누군가가 USB를 제공하는 것은 상황이 아닙니다." "기기를 컴퓨터에 연결하면 감염 될 수 있습니다. 마지막 데모에서는 가장 쉬운 USB 공격자 인 Android 폰을 사용합니다."

"이 표준 안드로이드 폰을 컴퓨터에 연결해 보자. 무슨 일이 일어나는지 보자. 오, 갑자기 추가 네트워크 장치가있다. PayPal에 가서 로그인하자. 오류 메시지도없고 아무것도 없다. 그러나 우리는 붙 잡았다." 사용자 이름과 비밀번호! " 이번에는 박수 갈채가 컸습니다.

"Android 전화가 이더넷 장치로 바뀌 었음을 감지합니까?" 물었다. "기기 제어 또는 데이터 손실 방지 소프트웨어가이를 감지합니까? 경험상 대부분은 그렇지 않습니다. 대부분은 다른 장치 유형이 아닌 USB 저장소에만 중점을 둡니다."

부트 섹터 감염자의 귀환

Noll은“BIOS는 운영 체제와 다른 유형의 USB 열거를 수행합니다. "우리는 두 개의 드라이브와 키보드를 에뮬레이트하는 장치를 사용하여이를 활용할 수 있습니다. 운영 체제는 하나의 드라이브 만 볼 수 있습니다. 두 번째는 BIOS에만 나타나며, 구성되어있는 경우 부팅됩니다. 그렇지 않은 경우 "키워드를 F12로 보내서 장치에서 부팅 할 수 있도록 할 수 있습니다."

Noll은 루트킷 코드가 운영 체제보다 먼저로드되어 다른 USB 드라이브를 감염시킬 수 있다고 지적했습니다. "이것은 바이러스에 대한 완벽한 배포입니다." "바이러스 백신을로드하기 전에 이미 컴퓨터에서 실행 중입니다. 부트 섹터 바이러스가 다시 나타납니다."

무엇을 할 수 있습니까?

Noll은 USB 펌웨어에 존재하는 바이러스를 제거하는 것은 극히 어렵다고 지적했습니다. USB 플래시 드라이브에서 꺼내십시오. USB 키보드에서 다시 감염 될 수 있습니다. PC에 내장 된 USB 장치도 감염 될 수 있습니다.

Noll은 "안타깝게도 간단한 해결책은 없습니다. 보호에 대한 거의 모든 아이디어가 USB의 유용성을 방해 할 것입니다."라고 말했습니다. "신뢰할 수있는 USB 장치를 허용 목록에 추가 할 수 있습니까? 글쎄, USB 장치를 고유하게 식별 할 수는 있지만 그렇지는 않습니다."

"USB를 완전히 차단할 수는 있지만 사용성에 영향을 미칩니다." "중요한 장치 유형을 차단할 수 있지만 매우 기본적인 클래스도 남용 될 수 있습니다. 제거하고 남은 부분이 많지 않습니다. 맬웨어 검사는 어떻습니까? 불행히도 펌웨어를 읽으려면 펌웨어 자체의 기능에 의존해야합니다. 악의적 인 펌웨어가 합법적 인 펌웨어를 속일 수 있습니다."

Noll은“다른 상황에서는 공급 업체가 디지털 서명을 사용하여 악성 펌웨어 업데이트를 차단합니다. "그러나 안전한 암호화는 소형 컨트롤러에서 구현하기가 어렵습니다. 어쨌든 수십억 개의 기존 장치는 여전히 취약합니다."

Noll은 "우리가 생각 해낸 유일한 아이디어는 공장에서 펌웨어 업데이트를 비활성화하는 것이 었습니다."라고 말했습니다. "마지막 단계는 펌웨어를 다시 프로그래밍 할 수 없도록하는 것입니다. 소프트웨어로도 고칠 수 있습니다. 모든 추가 업데이트를 차단하는 새로운 펌웨어 업그레이드 하나를 구울 수 있습니다. 우리는 신뢰할 수있는 USB 장치의 영역을 약간 극복 할 수있었습니다"

Noll은 여기에 설명 된 컨트롤러 수정 기술에 대한 긍정적 인 용도를 지적함으로써 마무리했습니다. "신뢰할 수있는 환경에서는 그렇지 않다"고 그는 말했다. 나는 예전처럼 USB 장치를 전혀 보지 않을 것이다.