web-dev-qa-db-ja.com

職場の駐車場で見つかったUSBスティックを安全に調査するにはどうすればよいですか?

私は組み込みソフトウェア会社で働いています。今朝、私は建物の前の駐車場でUSBスティックを見つけました。 「ドロップされたUSBスティック攻撃」のすべての話を念頭に置いて、私は明らかにそれをラップトップに接続するつもりはありません。 OTOH、これが実際にシステムを危険にさらす試みだったのか、それとも本当に誰かが誤ってUSBスティックを紛失した無実のケースなのか知りたいです。露出の危険を冒さずにUSBスティックを安全に検査するにはどうすればよいですか?

マルウェアや細工されたファイルシステムイメージだけでなく、電力サージ攻撃のようなものもあります:
'USB Killer 2.0'は、ほとんどのUSB対応デバイスが電源サージ攻撃に対して脆弱であることを示しています

編集:多くの答えは、私がドライブを維持し、後でそれを使用したいと想定しているようです。私はそのことにまったく関心がありません。USBスティックは安価であり、とにかく持ち続けるのは私のものではないことを知っています。これが本当に標的型攻撃であったかどうか、一部には好奇心から、これが実際にセキュリティペーパーだけでなく実際の生活でも発生するかどうかを知りたいだけでなく、同僚に警告することもできます。

スティックにマルウェアが含まれているかどうかを知りたいのですが。そして、それはドライブの内容を見て、疑わしいautorun.infまたは慎重に作成された破損したファイルシステムを確認するだけの問題ではありません。ファームウェアを検査する方法も非常に必要です。それを抽出して、既知の良好なバイナリまたは既知の不良バイナリと比較するためのツールがあることは、ある程度予想されていました。

securityusb-flash-drive
18
Villemoes

あなたがそれを使いたくなかったが興味があるなら-私は実際にケースを(非常に注意深く)開けて、内部のチップを見るところから始めます。

知っている。これは奇妙に聞こえますが、識別可能なコントローラーとフラッシュチップの存在は、USBゴム製のアヒルやUSBキラーのようなものではなく、実際のUSBドライブである可能性が高くなります。

Then誰もが提案することを実行し、使い捨てインストールでテストし、いくつかの起動可能なウイルススキャナーも実行しますif安全だと確信しているので、ワイプします。

13
Journeyman Geek

TENS

駐車場で見つけた疑わしいUSBフラッシュドライブをテストするための適切なセキュリティ配布は Trusted End Node Security (TENS)、以前はLightweight Portable Security(LPS)と呼ばれていました、完全にRAMから起動するLinuxセキュリティディストリビューションです。起動可能なUSBフラッシュドライブから起動された場合。TENSPublicは、信頼できないシステム(ホームコンピュータなど)を信頼できるネットワーククライアントに変えます。いいえ作業アクティビティ(またはマルウェア)のトレースをローカルコンピューターのハードドライブに書き込むことができます。

セキュリティ機能に加えて、TENSには別の便利な目的があります。 TENSは完全にRAMから実行されるため、ほとんどすべてのハードウェアで起動できます。これは、他のほとんどのライブブータブルUSB ISOイメージを起動できないコンピューターのUSBポートをテストするのに役立ちます。

TENS

USBGuard

Linuxを使用している場合、 USBGuard ソフトウェアフレームワークは、基本的なホワイトリストとブラックリストを実装することにより、不正なUSBデバイスからコンピューターを保護するのに役立ちますデバイス属性に基づく機能。ユーザー定義のポリシーを適用するために、2007年以降Linuxカーネルに実装されたUSBデバイス認証機能を使用しています。

デフォルトでは、USBGuardは新しく接続されたすべてのデバイスをブロックし、デーモンの起動前に接続されたデバイスはそのままです。

USBGuardを使用してシステムをUSB攻撃から保護する簡単な方法は、まずシステムに policy を生成することです。次に、Sudo systemctl start usbguard.serviceコマンドを使用してusbguard-daemonを起動します。 usbguardコマンドラインインターフェイスコマンドとそのgenerate-policyサブコマンド(usbguard generate-policy)を使用して、最初からポリシーを作成する代わりに、システムの初期ポリシーを生成できます。このツールは、実行時にシステムに現在接続されているすべてのデバイスに対して許可ポリシーを生成します。1

特徴

  • ルール言語 USBデバイス認証ポリシーを作成するため

    ルールのターゲットは、デバイスの使用が許可されるかどうかを指定します。 3種類のターゲットが認識されます。

    • 許可-デバイスを承認
    • ブロック-デバイスの許可を取り消す
    • 拒否-デバイスをシステムから削除します

  • IPCインターフェースと動的相互作用とポリシー実施のためのデーモンコンポーネント

  • 実行中のUSBGuardインスタンスと対話するためのコマンドラインとGUIインターフェイス
  • 共有ライブラリに実装されたデーモンコンポーネントと対話するためのC++ API

1改訂元: SBGuardによるUSBセキュリティ攻撃に対する組み込み保護

Installation

USBGuardは、デフォルトでRHEL 7にインストールされています。

Ubuntu 17.04以降にUSBGuardをインストールするには、ターミナルを開いて次のように入力します。

Sudo apt install usbguard

Fedora 25以降にUSBGuardをインストールするには、ターミナルを開いて次のように入力します。

Sudo dnf install usbguard

CentOS 7以降にUSBGuardをインストールするには、ターミナルを開いて次のように入力します。

Sudo yum install usbguard

ソースからのコンパイル USBGuardの依存関係として、他のいくつかのパッケージのインストールが必要です。

9
karel

さまざまなアプローチがありますが、そのスティックにファームウェアが組み込まれたマルウェアがある場合、それは本当に非常に危険です。

1つのアプローチは、多くのLiveCD Linuxディストリビューションの1つをダウンロードし、ハードドライブとネットワーク接続をすべて取り外してから、調べることです。

私は古いラップトップを食器棚から取り出し、それに差し込んでから大きなハンマーで叩くことをお勧めしますが。

最善のアプローチ-好奇心をそそらないでください! :)

3
mayersdesign

このスレッドは とリンクしています私は地面に2本のUSBスティックを見つけました。それで? 。他のスレッドには、内容があなたのビジネスではないことを示唆しているinnaMの回答や所有者に返却するために単に提出する必要があることなどの非技術的な考慮事項と、ドライブに政府が含まれる可能性があることを言及するMike Chessの回答が含まれます秘密、テロリストの文書、個人情報の盗難、児童ポルノなどで使用されるデータ。これらを所持すると問題が発生する可能性があります。

両方のスレッドに関する他の回答は、コンテンツを探索しながらマルウェアから身を守る方法を示していますが、これらの回答は、この質問で指摘されている重要なポイントである「キラーUSB」からあなたを保護するものではありません。私は他の回答でカバーされているものを再ハッシュしませんが、マルウェア(キーストロークを挿入するゴム製のアヒルを含む)から自分自身を保護することについてのすべてのアドバイスが適用されると言って十分です。

価値とブランド名

しかし、私は、フラッシュドライブが安すぎて煩わしくてリスクを冒す価値がないというクリストファーホステッジのポイントから始めます。ドライブが所有者によって要求されておらず、すべての警告を検討した後、ドライブを安全かつ使用可能にするためだけに試行する必要があると判断した場合は、ドライブの値を検討することから始めます。それが低容量で標準的な速度であり、年齢がわからない名前のドライブがない場合は、数ドルで新しいものと交換できます。ドライブの残りの寿命がわかりません。 「新品」の状態に戻しても、信頼性や耐用年数を信頼できますか?

これは、正式にあなたのものである請求されていないドライブのケースに私たちを連れて行きます、そして:

  • 高い信頼性とパフォーマンスを備えた大容量、高速、ブランド名のドライブです。
  • おそらく最近リリースされた製品であるため、非常に古いものであってはならないことがわかります。

これらの基準の1つのポイントは、ドライブは実際には些細な量以上の価値がある可能性があるということです。しかし、私の推奨事項は、2番目の理由で他のものを台無しにしないことです。 Journeyman Geekがコメントで指摘しているように、ゴム製のアヒルとUSBキラーは一般的な見た目のパッケージで提供されます。ブランド名のパッケージは、高価な機器がなければ偽造するのが難しく、検出できない方法でブランド名のパッケージを改ざんすることは困難です。したがって、身近なブランド名のドライブに限定すると、それ自体が少しの保護になります。

安全な接続

最初の質問は、それがキラーUSBになる可能性がある場合、どのようにして物理的にシステムに安全に接続できるかということです。それが、私が焦点を当てるものです。

ドライブ検査

  • 最初の手がかりはドライブそのものです。ミニチュアスタイルには、基本的にUSBコネクタに加えて、それを出し入れするために何かを掴むのに十分なプラスチックがあります。特にプラスチックにブランド名が付いている場合、そのスタイルは安全である可能性があります。

enter image description here

  • フリップスタイルのドライブはゴム製のアヒルで人気があるため、特に注意してください。

enter image description here

  • それがキラーハードウェアを保持するのに十分な大きさの標準サイズの親指ドライブである場合、それが偽造であるか、改ざんされている兆候がないかどうかケースを検査してください。オリジナルのブランドラベル付きのケースである場合、拡大すると見えるサインを残さずに改ざんすることは困難です。

電気的絶縁

  • 次のステップは、システムからドライブを分離することです。サムドライブの潜在的な価値を犠牲にしてもかまわない安価なUSBハブを使用してください。さらに良いことに、いくつかのハブをデイジーチェーン接続します。ハブはある程度の電気的絶縁を提供し、非常に高価なコンピュータを「必須」の無料のキラーUSBドライブから保護します。

    警告:私はこれをテストしておらず、これが提供する安全性の程度を知る方法がありません。ただし、システムを危険にさらす場合は、システムへの損傷を最小限に抑えることができます。

LPChipが質問へのコメントで示唆しているように、それをテストする唯一の「安全な」方法は、使い捨て可能と考えるシステムを使用することです。それでも、動作しているほとんどすべてのコンピュータが役立つ可能性があることを考慮してください。古く、パワー不足のコンピューターは、軽量のメモリ常駐Linuxディストリビューションをロードして、日常的なタスクに驚くべきパフォーマンスを提供できます。フラッシュドライブをテストする目的でコンピューターをゴミ箱から取り出す場合を除いて、稼働中のコンピューターの価値と未知のドライブの価値を比較検討してください。

3
fixer1234

質問は、単に所有者を特定したり、目的を変更したりするのではなく、USBドライブを調査するという目的を説明するために明確にされました。これは非常に幅広い質問ですが、一般的な方法で取り上げます。

問題は何でしょうか?

  • 「キラーUSB」。このジャンルの現在の設計は、コンピュータを揚げるためにUSBポートを介して高電圧をポンプします。
  • フラッシュドライブパッケージに隠れているカスタムエレクトロニクス。これは、デザイナーが発明できるすべてのものを実行できます。現在の一般的なデザインはゴム製のアヒルです。これはキーボードをシミュレートして、キーボードから実行できるすべてのものを注入します。
  • ファームウェアが変更されたフラッシュドライブ。この場合も、デザイナーの想像力によってのみ制限されます。
  • マルウェアに感染したフラッシュドライブ。これは事実上あらゆる種類のマルウェアである可能性があります。
  • 誰かを閉じ込めるためのフラッシュドライブ。これは、諜報機関、法執行機関、捜査官、または機密コンテンツの保護として使用される類のものです。ドライブにアクセスすると、何らかの形式のアラートがトリガーされます。
  • 機密情報、盗まれた情報、児童ポルノなど、それを所有することで問題を引き起こす可能性のある素材を含むフラッシュドライブ。
  • 悪意のある人は常に厄介なことをする新しい方法を思い付くでしょう。そのため、USBパッケージに含まれるあらゆる種類の危険を知ることはできないでしょう。

ドライブの調査

準備

可能性の範囲を考えると、ドライブを調査するために自分自身を完全に保護することは困難です。

  • 潜在的なコンテンツを所持および検査する許可から始めます。インテリジェンスコミュニティや法執行機関で働いている場合、または何らかの形の法的命令やライセンスを持っている場合、これは簡単です。それ以外の場合は、事前に紙の証跡を作成し、無害な手段で手元にあることを証明します。内容が違法または組織犯罪を行う外国のエージェントに属している場合、あなたの紙の証跡は多くの保護を提供しない可能性があります。 :-)
  • インターネットから隔離された仕事。内蔵無線送信機の可能性から保護したい場合は、ファラデー箱の中で作業してください。
  • キラーUSBから自分のハードウェアを保護します。
    • Journeyman Geekが説明するように、ケースを開いて根性を調べてください。これにより、フラッシュドライブケース内のカスタム電子機器も識別されます。
    • ドライブを電気的に分離します。光学的に分離されたUSBハブを使用できますが、使い捨てのコンピューターよりも多くの費用を費やす可能性があります。私の他の回答で提案されているように、ゴミ箱に入れられるコンピュータに接続されたいくつかの安価なUSBハブをデイジーチェーン接続することができます。
  • 低レベルの攻撃からシステムを保護します。ファームウェアの変更などの問題から保護する方法があるかどうかはわかりませんが、復元したり、ゴミ箱に入れてもかまわない、安価な予備のコンピューターを使用する以外に方法はありません。
  • マルウェアからシステムを保護します。これは、リンクされたスレッドを含むさまざまな回答で説明されており、ライブLinuxセッションやVMを使用して独自のOS、ソフトウェア、ファイルから分離して動作し、自動実行を無効にするなどの手法を使用しています。

調査

  • パッケージにフラッシュドライブエレクトロニクス以外のものが含まれている場合は、ケースを開けることがそれが何であるかを確認する唯一の方法です。 USBインターフェイスを照会して、どのモデルのキラーUSBであるかを問い合わせることはできません。
  • ドライブにマルウェアが含まれている場合、それは、異なる方法論を採用するいくつかの評判の良いプログラムを使用してマルウェア対策スキャンを実行することによって識別されます。
  • コンテンツの調査は、コンテンツの閲覧に使用される通常のツールを使用して行われます。これには、何かを表示したり、変装したものを探したりするような、小さな探偵の仕事が含まれる場合があります。コンテンツは暗号化されるか、保護される可能性がありますが、これは別の議論です。
  • 変更されたファームウェアの調査は非常に困難です。ファームウェアコードにアクセスするためのツールに加えて、それを比較するための通常のコードが必要になります(独自のものである可能性があります)。同一の既知の良好なドライブとファームウェアコードにアクセスするためのツールがあった場合、それは比較のソースになりますが、そのコードはベンダー間で異なり、同じ製品のバージョンでさえも異なります。フラッシュドライブが実際に破壊的なプラントである場合は、ファームウェアのリバースエンジニアリングを行って、何が行われているかを把握する必要があります。
3
fixer1234

しないでください。それらをゴミ箱に入れるか、タイムスタンプを付けてLost/Foundします。 USBスティックは安価で、マルウェアや物理的な妨害行為からのクリーンアップに費やす時間よりもはるかに安価です。 USBスティックがそこにあり、それがコンデンサに電荷を蓄え、突然PCに放電して台無しにします。

3
Christopher Hostage

私が本当にこれをやりたかったのなら、私はできるだけ安いRaspberry Piクローンを購入してそれに接続するだけです。それがコンピュータを打つならば、私は多くを失っていません。 OSが感染する可能性は低く、たとえ感染しているとしても、何ですか?

2
davidgo