Windows 7でUSB自動実行マルウェアから保護されていますか?
私の知る限り、autorun.inf問題(USBスティックが差し込まれたときにコードが自動的に実行される可能性)は、Windows Updates for XPによって解決されました。7では、まったく不可能でした。
しかし、USBスティックが接続されていると、いくつかの自動再生ダイアログがポップアップ表示されます。
これは悪用される可能性がありますが、コードを何らかの方法で実行することは可能ですか?
(想定)
資産:個人情報、財務記録、Webサイトへのパスワード、友人や親戚の連絡先情報を含む単一のホームデスクトップマシン。
ばく露:個人の家にあり、個人の交通量はほとんど知られていない。
脅威:非金銭的な動機を持つ個人的な知り合い、または金銭的な動機を持つサービスワーカー。
USBキーを差し込むと、かなりのことが起こります。 OSは最初にUSBデバイスと通信して、それがどのようなデバイスであり、何ができるかを認識します。次に、デバイスがそれが一種のディスクであると言った場合、OSは filesystem を探してマウントし、いくつかのファイルを調べます。見つかったファイルとその名前に応じて、OSはユーザーにアクションの選択肢を提案します(表示されるポップアップです)。そのプロセスの任意のフェーズcouldには悪用可能なバグがあり、実際にこれらの多数の例が歴史的に発生しています(たとえば、昨年の PS3 Jailbreak は内部的にUSBデバイスです) 、自身を4つのデバイスのハブとしてアナウンスします。その1つは、OS USBドライバーでバッファーオーバーフローをトリガーするような方法でUSBバス上で一貫性のない状態でランブルします。
したがって、現在のWindowsの状況では、OSは設計上悪意のあるコードを自動的に実行しませんが、誤ってを実行する可能性があります。私の知る限り、現在公開されているエクスプロイトはありませんが、そのすべてのコードにバグがないことは信じられないでしょう。
ちなみに、プレーンUSBスティックのように見えるものは、内部的にはまったく異なる動作をする場合があり、(たとえば)OSに対して キーボードとして表示 -すぐに「タイピング」を開始します。可能性は無限大です。そして少し怖い。
ウィキペディアによると:
Windows 7
DRIVE_CDROMを除くすべてのドライブタイプで、[autorun]セクションで使用できるキーはラベルとアイコンのみです。このセクションの他のキーは無視されます。したがって、CDおよびDVDメディアタイプのみが自動実行タスクを指定したり、ダブルクリックや右クリックの動作に影響を与えたりできます。
利用可能なパッチがあります。Windows用のKB971029 XP以降では、AutoRun機能がこの動作に変更されます。
https://secure.wikimedia.org/wikipedia/en/wiki/Autorun.inf
したがって、これはautorun.infの一部が実際にWindows 7によってanyリムーバブルメディアの挿入時にまだ処理されていることを示します。処理される量は、問題のメディアが光学ドライブにあるかどうかによって異なります。
私は特にlabelまたはiconキーに関連するcurrentの脆弱性を認識していませんが、これは、今までにない。また、感染したCD/DVD/BDまたはその他の光学メディアが発生し、autorun.infの処理がさらに進む可能性もあります。したがって、自分を適切に保護するために、autorun.infの処理全体を無効にすることをお勧めします。
Michael Horowitzが、AutorunとAutoplayがどのように機能するかについて素晴らしいブログ記事を書いています。 Nick BrownとEmin Atacによって行われた作業のエコー、記事には、autorun.infのすべての処理を無効にするレジストリハックが含まれていました。以下にレジストリハックの詳細を貼り付けます。詳細については、記事のリンクをご覧ください。
推奨される解決策は、Windowsレジストリの更新です。したがって、いつものように、バックアップを作成することをお勧めします。このソリューションはWindows XP/Vista用に作成されましたが、7でも動作するはずです。
レジストリをザッピングするのは簡単です。必要なのは、.regファイルに以下に示す3行だけです。次に、ファイルをダブルクリックします。
このWebページから以下の3行をコピーするか、この投稿の下部にあるリンクを使用してファイルをダウンロードできます。ファイル名は「.reg」で終わる必要があることを除いて、重要ではありません。 Computerworldでは、「。reg」で終わるファイルをブログ投稿に添付することはできません。そのため、ファイルタイプは「.txt」であり、「。reg」で終わるように名前を変更する必要があります。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
ファイルには3行あり、中間の行はWebブラウザーで表示すると折り返される場合がありますが、.regファイルでは1行である必要があります。
ニック・ブラウンはこれが何をするかを説明します:
このハックは、AUTORUN.INFをWindows 95以前のアプリケーションの構成ファイルであるかのように処理するようにWindowsに指示します...「AUTORUN.INFと呼ばれるファイルを処理する必要があるときは常に、ファイルの値を使用しないでください。HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExistに代替値があります。そして、そのキーerが存在しないため、AUTORUN.INFが完全に空であるかのようになり、自動実行されず、エクスプローラーのダブルクリックアクションに何も追加されません。結果:ワームが侵入することはできません-実行可能ファイルをダブルクリックして実行を確認しない限り...
3行目の「DoesNotExist」というテキストは、レジストリ内に存在しない場所であることを意味しています。このザップが非常に人気が出た場合、マルウェアがそれを探す可能性があるため、少し変更しても害はありません。たとえば、コンピュータで@ = "@ SYS:DoesNotExistMichael"のようなものを使用する場合があります。明確にするために、これはまったく必要ありません。上記のザップは正常に動作します。
もちろん、これは、実際のシステムとは異なるものとしてシステムに提示されるUSBスティックに対してはあまり効果がありません。最善の解決策は、信頼できないデバイスを接続しないことです。また、信頼できるデバイスを、信頼できないシステムに接続しないでください。
Autorun/Autoplayとその機能の詳細については、すでに参照されているWebサイトを参照してください。また、以下のWikipediaリンクも確認してください。
https://secure.wikimedia.org/wikipedia/en/wiki/AutoRun
https://secure.wikimedia.org/wikipedia/en/wiki/AutoPlay
デフォルトの動作では、ポップアップが表示されます。ポップアップはメディアをスキャンしてファイルタイプを検出し、何をしたいかを適切に推測します。デフォルトの動作では、それを悪用する唯一の方法は、現時点では存在しないメディアのコンテンツを読み取るポップアップコードの脆弱性を利用することです。
あなたは保護されておらず、非常に危険にさらされています
Autorun.infは動作しないはずの古い攻撃ですが、これはUSBを使用した唯一の攻撃方法ではありません。
BadUSBは、他のデバイスをエミュレートし、その機能を拡張するために、ファームウェアがUSBデバイスで変更されている場所です。 USBは接続するデバイスの仕様にすぎず、さまざまなデバイスがさまざまなレベルまたは権限で実行されることを思い出してください。ストレージはキーボードと同じレベルでは実行されません。拡張機能を使用すると、ストレージデバイスは、マシンに接続するとキーボードのようになります。
考えられるシナリオは次のとおりです。
USBスティックをプラグインすると、次にコードが実行されていることがわかります。これは、デバイスがキーボードUSBデバイスをエミュレートし、PowerShellを開いてコードを実行するためのショートカットキーなどの入力をシステムに提供するために可能です。
BadUSBは、BashbunnyおよびRubber ducky。
さらに、ゼロから自分で作成するためのガイドもあります ここにあります
まったくそうではありません
自動実行の問題は修正される可能性がありますが、どのUSBデバイスも簡単にキーボードまたはマウスとしてオペレーティングシステムに表示され、これを使用してマルウェアをダウンロードできます。これは、プラットフォームに関係なく適用されるリスクです。ただし、ユーザーが新しいUSBデバイスをインストールする前に確認ダイアログが必要な場合を除きます。 mは何もしません。
そのような攻撃がどのように実行されるかについての概念実証を作成したい場合は、 10代 を調べてください。 信頼できるUSBデバイスのみをコンピュータに接続することが重要です。