web-dev-qa-db-ja.com

すべてのUSBベースの攻撃は、キーストロークを挿入できることに依存していますか?

私が見てきたように、RubberDuckyなどのUSBベースの攻撃は、ターミナルを開いて、そこからコマンドを実行できる必要があります。通常、マルウェアをダウンロードしてインストールするか、リバースシェルを開きます。

すべてのUSBベースの感染が動作するわけではないにしても、これが最も効果的ですか?キーストロークインジェクションを検出および防止できれば、USBベースのマルウェア攻撃から安全になりますか?

質問にまったく関連がある場合、シェルに信号を送信するために使用されるキーの組み合わせは、通常のキーストロークと一緒に捕捉および検出されます。

編集:私は主に、マルウェアにマシンを感染させること、および/またはシステムを操作するためのバックドアを開くことを目的とするUSB​​ベースの攻撃に関心があります。

リバースシェルが開かれている場合、攻撃者は引き続きコマンドの実行に依存しますか。つまり、問題のシステムで開いている端末が1つしかなかった場合、または利用可能な端末が1つしかない場合、この攻撃があった場合、キーストロークを確認できます。起こる?

データ流出の場合、ハードウェア上のマルウェアがパーティション/ファイルシステムをマウントし、キーストロークを入力せずにファイルをコピーする方法はありますか?

41
user942937

以前のすべての良い答えに加えて、誰も言及していないもう1つがあります。USBベースのイーサネットデバイスです。優秀な PoisonTap のように。

デバイスをイーサネットデバイスとして登録し、デバイスのIPのデフォルトルートを変更できます。このようにして、すべてのクリアテキストリクエストとすべてのDNSリクエストが送信され、重要なドメイン(Cloudflare、Akamaiなどの一般的に使用されるCDNを考える)に対するリクエストが汚染される可能性があります。

HTTPリクエストが行われ、ドメイン解決が汚染された場合、攻撃者は悪意のあるjquery.jsファイルを提供し、非常に長い有効期限ヘッダーを回答に配置し、リンクするすべてのサイトでバックドアjqueryを実行することができます。彼が悪意のあるデバイスを削除した後、長い間、そのスクリプトに。

これ以外に、攻撃者は同じネットワークに別のホストを設定し、デフォルトゲートウェイを変更することもできます。このようにして、攻撃者はARPポイズニングに頼らずにホストに対してMitMを実行する準備ができています。ゲートウェイであることは、暗号化されていないプロトコルが攻撃者になり、記録され、編集され、あらゆる秘密がキャプチャされることを意味します。

キーストローク挿入は良い攻撃ですが、マシンのロックを解除する必要があります。マシンがロックされていてもネットワーク変更攻撃は機能します。ドメインを解決するために必要なプロセスは1つだけであり、結果をキャッシュすることができます。

36
ThoriumBR

autoplay-feature(other source) に基づく攻撃もありましたが、これはWindows 10のような新しいOSでは少し古くなっていると思います SB-Killers ハードウェアレベルで動作し、高電流のショックを送信してマシンを殺します。

ここにあります 同じカテゴリに分類される可能性のある他の攻撃のリスト。

  • USBイーサネットアダプターを実際にエミュレートする攻撃。これにより、悪意のあるDNSサーバーがDHCP通信に挿入され、コンピューターの既定のDNSサーバーがこれらの悪意のあるDNSサーバーを使用するように変更される可能性があります。関心のあるサイト(電子メール、銀行、eコマースなど)はリモートで模倣でき、被害者は悪意のあるDNSサーバーを介して模倣サイトにリダイレクトされます。
  • 大容量記憶装置の小さな隠しパーティションを使用してルートキットを起動およびインストールする攻撃で、それ以外は通常の大容量記憶装置のように動作します
  • 保護されたデバイスでのデータ漏えいを目的としたさまざまな攻撃(通常、攻撃者が安全なシステムにアクセスできる請負業者など、攻撃者が物理的にアクセスできる安全なエアギャップコンピューターにのみ関連)
48
Lexu

いいえ、他にもあります。

SB Killer は、たとえば、データラインに高電圧を印加してハードウェアを損傷することを目的としたデバイスです。

攻撃者は、このようなデバイスを使用して従業員に餌を与え、会社のハードウェアを無意識に損傷させる可能性があり、その結果、可用性が失われ、金銭的損害が発生する可能性があります。

20
MechMK1

Stuxnetは、ドライバが適切なデジタル署名を持っている限り、挿入時にUSBドライバをUSBスティックに自動的にインストールするWindowsの機能を悪用して悪用しました。 Stuxnetウイルスには、Microsoftが所有する秘密鍵で署名されたドライバーがありましたが、その特定のMicrosoft秘密鍵がどのように取得されたのか(盗まれたのか、Microsoftが攻撃に協力したのか)は知られていません。

Stuxnetは、イランのインターネット接続ネットワークに違反するように設計されました。 Stuxnetは、感染したネットワーク上のデバイスに挿入されたUSBスティックにドライバーをコピーします。イランの核処理プラントのオペレーターがこれらのUSBスティックを使用してエアギャップの安全なネットワークにデータを移動すると、ドライバーはエアギャップの反対側のマシンにインストールされ、Stuxnetを最終目標に一歩近づけます:ネットワークの破壊イランを精製するために使用されたイランの遠心分離機のための産業用コントローラー。

少なくとも1つのウイルスが、アジアのUSBデバイスメーカーから盗まれた秘密キーで署名されたドライバーを使用し、その後、そのドライバーが取り消されました。

NSAウィキリークスから流出したサイバー戦争のユーザーマニュアルの資料によると、攻撃オプションの1つは「コンピュータのUSBポートへの簡単なアクセス」です。したがって、おそらくNSA USBスティックを挿入するだけでコンピュータシステムに感染する可能性のある(またはあった)攻撃。

19
Robin Davies

場合によっては、大容量記憶装置として機能することで、多くの混乱が生じる可能性があります。

何かを自動再生するオペレーティングシステム(最近では正当な理由で実装されなくなったもの)は脆弱です。これにより、攻撃者はログインしたユーザーの特権レベルで多くのことができるようになります。ローカル権限の昇格が利用される場合、さらに多くの場合。

ファイルをプレビューするすべてのOSまたはデスクトップ環境...および任意のプレビューハンドラーに悪用可能なバッファーオーバーフローまたは同様の脆弱性...があれば、同じようにすることができます。

リムーバブルメディアから起動するように設定されているデバイスは、アクセスしたい情報が暗号化されている場合を除いて、ほとんどすべてのことを実行できます。ただし、悪意のある起動可能なデバイスは、手動キーのキー入力画面を完全にエミュレートする場合があります。エントリフルディスク暗号化システムとそれに行く...

破損したファイルシステムでトリガーされる可能性のあるバッファオーバーフローまたは同様の脆弱性があるオペレーティングシステムも脆弱です。同じことが、ファイルシステム構造の予期しない動的な変更によって引き起こされる可能性のある脆弱性にも当てはまります。USB大容量ストレージデバイスは、アクティブなコードによってエミュレートできます。

また、脆弱なMTPまたはカスタムカメラ/スキャナーまたは同様のドライバーが悪用される可能性があります。

18
rackandboneman

上記以外にも、USB攻撃の例がいくつかあります。たとえば、PS3は、多くのデバイスが接続され、特別に細工されたデバイス識別子を持つUSBハブとして表示されるUSBスティックを使用して最初にジェイルブレイクされました。これにより、コードの実行が可能になりました。

10
Mavamaarten

すでに提供されているすばらしい回答とともに、Windowsシステムに関連する直接的な体験を追加したいと思います。

数年前の私の大学では、感染したUSBがそのように機能するマルウェアに感染しているように見えました。

  • キーが感染すると、すべてのファイルがシステムで保護された隠しフォルダに移動しました。
  • 特別なリンクが作成され、Windowsで使用される外部ディスクのアイコンと同じ名前のUSBキーとアイコンに名前が変更されました。

知らない人が感染したUSBにアクセスすると、ドライブが開かれ、それを考慮せずにリンクが開かれます。リンクは隠しフォルダーを開きますが、同時にPCにマルウェアをインストールします。

その後、マルウェアは新しいUSBキーのリッスンを開始してそれらに感染し、リモートサーバーからのコマンドのリッスンも開始し、おそらくボットネットなどの一部になります。

つまり、USB攻撃は単純なユーザーに依存していることがあります。

1
bracco23

CPUファームウェアに署名するためのキーがある場合(またはない場合)、USBインターフェイスを使用してCPUにアクセスできます。私がこれをどこで読んだか思い出せません。おそらく陰謀論のウェブサイトかもしれません。

キーを取得することは不可能ではありません。MicrosoftがStuxnetの作成者とどのように協力したかをご覧ください。 IntelもMicrosoftと同じようにマルウェア作成者と協力する可能性があります。または、マルウェアの作成者がキーを盗むことができます。

マルウェアがCPUにインストールされると、OSがそのようなマルウェアをテストする方法がなくなります。匿名の陰謀論者によれば、人気のあるすべてのCPU(Intel、AMD)には、3つの文字機関によって(ab)使用されるバックドアを備えたマルウェアがインストールされています。

しかし、そのような陰謀は現実の世界には存在しないので、それはおそらく本当ではありません。ここで見るものは何もない、眠りにつく。

これが、一部の偏執狂的な個人や組織がファラデー箱の中でエアギャップ型コンピュータを使用している理由です。

ファームウェアの更新を有効/無効にするには、マザーボードに物理スイッチ(ジャンパー)が必要だと思います。

0