web-dev-qa-db-ja.com

USBデバイスが悪意のあるものでないかどうかを確認するにはどうすればよいですか?

汎用の安価なマウスを持っているとしましょう。

USBデバイスです。 USBデバイスにはメモリが含まれている可能性があるため、製造元がデバイスにマルウェアソフトウェアを搭載したメモリを組み込んでいないかどうかを確認するにはどうすればよいですか? (Linuxが望ましい)

malwareusbtools
1
R S

システムとカーネルログを監視することは適切なようです。

  • Linuxの場合:

    tail -f /var/log/kern.log /var/log/syslog

    デバイスを挿入する前に、USBデバイスを挿入するときに出力を確認します...差し込んだ後、数分間注意してください。

USBデバイスが接続されている場合、ログには、認識されているデバイスの種類が示されます。必要に応じて、必要なドライバーが読み込まれます。

  • USBストレージがネットワークデバイスとして認識され、メディアを自動的に送信するupnpサーバーを含む完全なネットワークを保持している場合。これは有害なものになる可能性があります。

  • デバイスがシステムをトリガーして多くの異なるドライバーをロードする場合、それらが単純なストレージデバイスのみの場合、これは異常に見えます。

  • デバイスがシステムをトリガーして、デバイスの目的に対応する1つのドライバーのみをロードする場合、これは問題ありません(注意:A安いマウスは特定のドライバーを必要としません!!はい)疑わしく見えます)。

USBデバイスのプラグインの前後にlsusbを使用して、違いを探すこともできます。 (これは、以前に推奨されたようにログを監視しながら、2番目のコンソールで行います)

  • Linuxの場合:

    lsusb >lsusb-before.txt

    プラグデバイス

    lsusb  | diff lsusb-before.txt -

安いマウスについて:2つのデバイスが表示される場合:1つのマウスと1つのデータストレージ(マウスドライバーを含む)では問題ありませんが、システムでマウスが機能しない場合組み込みドライバーをインストールすることに決めた場合、これは自己責任で実行してください。

しかし注意してください!

SB Killer v のような一部の不良デバイスは、接続されているときにハードウェアを焼き付ける可能性があります!!!

USBキラーは、デバイスに接続されると、USB電源ラインからコンデンサを急速に充電します。デバイスが充電されると、ホストデバイスのデータラインを介して-200VDCが放電されます。この充電/放電サイクルは、USBキラーが取り外されるまで、毎秒何回も繰り返されます。

補遺に関する少しの反省悪意のある機能を検出できない場合でも、それらが存在しないことは証明されません。および ser10216038からのコメント

はい:そのような悪意のあるデバイスをイメージングできます:

  • 接続すると、安いマウス標準のマウスデバイスとして登録されますが、
  • 彼らは強力な悪意のあるプロセスを埋め込み、2月29日03:00 AMに
    • 疑似キーボードを生成し、次のようなものを打つ Ctrl+Alt+F2、次にrootおよびブルートフォースパスワード。最終的に全体を暗号化するために/home(午前3時に実行しても、5分ごとに3回試行するとブルートフォースに時間がかかる場合があります...これが表示される場合があります)または
    • 疑似メディアファイルの悪意のあるドライバーを送信するupnpサービスをトリガーするメディアサーバーで強力な仮想ネットワークを生成します...

一部の殺人者は数秒かかり、他の人は数分かかり、一部の殺人者は数時間かかりますが、この殺人者は何年もかかります!

だが

  • これらすべてを作成するのは非常に困難で費用がかかります。経験豊富なプログラマ(チーム)が必要です!

  • 弱いパスワードを使用する必要があります(悪意のあるデバイスがすでにパスワードを知っている場合)または有効にする必要がありますupnpおよびドライバーとネットワークの自動インストールを受け入れます。

  • ただし、定期的なバックアップを保持し、syslogも保存し、重要なホストで読み取り専用デバイスを使用し、リモートsyslogを使用すると、

悪意のあるプロセスが始まると、とにかくログに記録され、正しく保護されたシステムに害を及ぼす可能性は低いと思います。

したがって、これは問題になる可能性がありますが、定期的に保護されていないホームデスクトップをターゲットにすると非常にコストがかかり、成功する可能性は非常に低くなります。

何回も何回も

  • 多くの異なるデバイスで、バックアップを最新に保ちます! (バックアップに対してテストと検証を行う)

  • 弱いパスワードを使用しないでください!!!

  • 賢明なホストでupnpのような自動サービスを無効にしてください!

2
F. Hauri

できません!

せいぜい、それがis悪意のあるものであるか、他の意図しない機能を持っていることがわかるでしょう。

悪意のある機能の検出に失敗しても、それらが存在しないことは証明されません。

2
user10216038

ストレージまたはメモリにアクセスできるようになるまで、デバイスをスキャンすることはできません。

理想的には、USB/IoTデバイスはフラッシュベースのマイクロコントローラーで構成されています。他の場合では、それらの中にある種の処理およびストレージエンティティが存在すると仮定しましょう。どちらの場合も、製造元は確かにUSB周辺機器をバックドアする機能を備えており、次の方法で実現できます。

  1. USB周辺機器内の悪意のあるソフトウェア。
  2. USB周辺機器内の悪意のあるハードウェア。

いずれにせよ、このトピックは、あなたの情報を盗んでそれら(製造元)に連絡したり、あなたやあなたのコンピュータに何らかの害を及ぼす可能性がない限り、興味を引くものではありません。

もしそれがあなたに害を及ぼすとしたら、あなたはそれを今までに知っていただろう。それ以外の場合は、コンピュータシステムと通信して害を及ぼす必要があります。デバイスは、次を介して通信できます。1. USBケーブル2. Bluetooth 3. NFC 4. Wifi 6.いくつかの「xyz」メディア。それらには「チャネル」という包括的な用語を使用しましょう。今、USB製造業者は、次の方法で危害を加える(または情報を盗む)ことを目標に達成できます。

  1. 悪意のあるデバイスドライバーの使用。 (Windows用USBドライバー)【ソフトウェア】
  2. オペレーティングシステムに悪意のあるデバイスソフトウェアを使用する。 [ソフトウェア]
  3. 悪意のあるデバイスのファームウェアを使用する。 [ソフトウェア・ハードウェア]

1の場合、USBメーカーは、汎用のWindows USBドライバーを使用する代わりに、USB周辺機器用のカスタムドライバーを提供するオプションを常に持っています。 USB製造元は、WHQL認定を受けていない限り、カスタムドライバーの自動インストールを選択できません。デバイスソフトウェア自体が悪質であるという事実を考慮して、この認定を取得することはほとんどありません。他のすべての場合では、ドライバーをインストールするために、UACプロンプトの形式でユーザーの許可を排他的に要求する必要があります。インストールすると、ドライバーがメモリに読み込まれます。これは、ウイルス対策ソリューションがユーザー領域とカーネル領域の両方のメモリのスキャンをサポートしている場合に解決できます。

2の場合、すべてのデバイスユーザーソフトウェアは通常、ウイルス対策ソリューションによってマルウェアをチェックされます。ウイルス対策ソリューションについて確認するために再確認できます。

3の場合、デバイスのファームウェアは、標準のWindows APIに基づいてWindowsオペレーティングシステムと対話します。この動作を悪用するには、標準/ Windowsソフトウェアまたは「チャネル」自体の脆弱性を見つける必要があります。これは非常にありそうもないことですが、これが事実である場合、私を信じてください。マイクロソフトはあなたよりも大きな修正をしています。

いずれにせよ、USB周辺機器の信頼できるベンダーまたは製造元を選択するだけで上記の問題を回避できることをご存じでしょう。

メーカーソフトウェアのセキュリティの脆弱性 が原因で、攻撃者が実際にシステムに侵入する可能性を検討することもできます。ここで、メーカーは必ずしも悪意を持っている必要はありません。この種の攻撃は、USB周辺機器が原因でハッキングされた場合によく発生します。

1
r0x0t