직장 주차장에서 찾은 USB 스틱을 어떻게 안전하게 조사합니까?

저는 임베디드 소프트웨어 회사에서 일합니다. 오늘 아침에 나는 건물 앞 주차장에서 USB 스틱을 발견했습니다. "삭제 된 USB 스틱 공격"에 대한 모든 이야기를 염두에두고 랩톱에 연결하지는 않을 것입니다. OTOH, 이것이 실제로 시스템을 손상시키려는 시도인지 아니면 누군가 실수로 USB 스틱을 잃어버린 무고한 사례인지 궁금합니다. 노출 위험없이 USB 스틱을 안전하게 검사하려면 어떻게합니까?

멀웨어와 조작 된 파일 시스템 이미지 만 걱정하지 않습니다. 전력 서지 공격과 같은 것들도 있습니다.
'USB Killer 2.0'은 대부분의 USB 지원 장치가 전력 서지 공격에 취약하다는 것을 보여줍니다 .

편집 : 많은 답변은 내가 드라이브를 유지하고 나중에 사용하고 싶다고 가정하는 것 같습니다. 나는 전혀 관심이 없으며 USB 스틱이 싸다는 것을 알고 있으며 어쨌든 그것을 지키는 것이 아닙니다. 나는 이것이 실제로 반 표적 공격인지 여부를 알고 싶습니다. 실제로 보안 서류뿐만 아니라 동료들에게 경고 할 수 있도록 실제 생활에서 발생하는지 여부에 대한 호기심으로 부분적으로 호기심을 나타냅니다.

스틱에 악성 프로그램이 포함되어 있는지 확인하는 방법을 알고 싶습니다. 그리고 그것은 드라이브 내용을보고 의심스러운 autorun.inf 또는 조심스럽게 만들어진 손상된 파일 시스템을 보는 것의 문제가 아닙니다-나는 또한 펌웨어를 검사하는 방법을 원합니다. 나는 그것을 추출하고 알려진 좋은 또는 알려진 나쁜 바이너리와 비교할 수있는 도구가있을 것으로 예상했다.

당신이 그것을 사용하고 싶지 않지만 호기심이 있다면-실제로 케이스를 열어 (매우 신중하게) 시작하고 내부의 칩을 살펴 보는 것부터 시작합니다.

알아. 이것은 미친 듯이 들리지만 식별 가능한 컨트롤러와 플래시 칩이 있으면 USB 고무 오리 또는 USB 킬러와 같은 것이 아니라 실제 USB 드라이브 일 가능성이 높습니다.

그리고 다른 사람이 시사하는 일을하고 일회용에 대한 테스트는 다음, 설치뿐만 아니라 몇 부팅 바이러스 스캐너를 실행 하면 당신이 안전 확신, 닦으십시오.

수십

주차장에서 발견 된 의심스러운 USB 플래시 드라이브를 테스트하기위한 좋은 보안 배포판은 이전에 LPS (Lightweight Portable Security)라고하는 TES ( Trusted End Node Security )로, Linux 보안 배포판은 RAM에서 부팅 될 때 RAM에서 완전히 실행됩니다. 부팅 가능한 USB 플래시 드라이브. TENS Public은 신뢰할 수없는 시스템 (예 : 가정용 컴퓨터)을 신뢰할 수있는 네트워크 클라이언트로 바꿉니다. 로컬 컴퓨터 하드 드라이브에 작업 활동 (또는 맬웨어)의 흔적을 기록 할 수 없습니다.

보안 기능 외에도 TENS에는 또 다른 유용한 목적이 있습니다. RAM에서 완전히 실행되므로 TENS는 거의 모든 하드웨어에서 부팅 할 수 있습니다. 이것은 대부분의 다른 라이브 부팅 가능한 USB ISO 이미지를 부팅 할 수없는 컴퓨터의 USB 포트를 테스트하는 데 유용합니다.

USBGuard

Linux를 사용하는 경우 USBGuard 소프트웨어 프레임 워크는 장치 속성을 기반으로 기본 화이트리스트 및 블랙리스트 기능을 구현하여 악성 USB 장치로부터 컴퓨터를 보호합니다. 사용자 정의 정책을 시행하기 위해 2007 년 이후 Linux 커널에 구현 된 USB 장치 인증 기능을 사용합니다.

기본적으로 USBGuard는 데몬 시작 전에 연결된 모든 새로 연결된 장치와 장치를 그대로 둡니다.

USBGuard로부터 시스템을 보호하기 위해 USBGuard를 사용하는 빠른 방법은 먼저 시스템에 대한 정책 을 생성하는 것입니다. 그런 다음 명령으로 usbguard-daemon을 시작하십시오 sudo systemctl start usbguard.service. 당신이 사용할 수있는 usbguard명령 줄 인터페이스 명령 및 generate-policy하위 명령을 ( usbguard generate-policy대신 처음부터 하나를 작성하는 시스템에 초기 정책을 생성). 이 도구는 현재 실행중인 시스템에 현재 연결된 모든 장치에 대한 허용 정책을 생성합니다. ¹

풍모

• USB 장치 인증 정책을 작성 하기 위한 규칙 언어
• 동적 상호 작용 및 정책 시행을위한 IPC 인터페이스가있는 데몬 구성 요소
• 실행중인 USBGuard 인스턴스와 상호 작용하기위한 명령 줄 및 GUI 인터페이스
• 공유 라이브러리에서 구현 된 데몬 구성 요소와 상호 작용하기위한 C ++ API

¹ _{개정 : USBGuard를 통한 USB 보안 공격 방지 기능}

설치

USBGuard는 기본적으로 RHEL 7에 설치됩니다.

Ubuntu 17.04 이상에서 USBGuard를 설치하려면 터미널을 열고 다음을 입력하십시오.

sudo apt install usbguard  

Fedora 25 이상에서 USBGuard를 설치하려면 터미널을 열고 다음을 입력하십시오.

sudo dnf install usbguard   

CentOS 7 이상에서 USBGuard를 설치하려면 터미널을 열고 다음을 입력하십시오.

sudo yum install usbguard  

USBGuard 소스에서 컴파일 하려면 다른 여러 패키지를 종속성으로 설치해야합니다.

다양한 접근 방법이 있지만 해당 스틱에 펌웨어 내장 맬웨어가있는 경우 실제로 매우 위험합니다.

한 가지 방법은 많은 LiveCD Linux 배포판 중 하나를 다운로드하고 하드 드라이브와 네트워크 연결을 분리 한 다음 살펴 보는 것입니다.

나는 찬장에서 오래된 노트북을 꺼내서 그것을 연결 한 다음 큰 망치로 때리는 것이 좋습니다.

최선의 방법-궁금하지 마십시오! :)

하지마 쓰레기 나 타임 스탬프와 함께 분실물 보관소에 버립니다. USB 스틱은 멀웨어 나 물리적 방해 행위를 제거하는 데 소요되는 시간보다 훨씬 저렴합니다. USB 스틱이있어 커패시터에 충전을 저장하고 갑자기 PC로 방전하여 파멸시킵니다.

이 스레드는 지상에서 두 개의 USB 스틱을 발견했습니다. 이제 뭐? . 다른 스레드에는 innaM의 답변과 같은 기술적이지 않은 고려 사항이 포함되어 있습니다.이 내용은 귀하의 비즈니스가 아니며 사업주에게 반환하기 위해 간단히 제출해야하며 Mike Chess의 답변에는 드라이브에 정부가 포함될 수 있다고 언급합니다 비밀, 테러 문서, 신분 도용에 사용 된 데이터, 아동 포르노 그라피 등.

두 스레드에 대한 다른 답변은 콘텐츠를 탐색하는 동안 맬웨어로부터 자신을 보호하는 방법을 다루지 만이 답변이이 질문에서 제기 된 "킬러 USB"로부터 보호하지는 않습니다. 다른 답변에서 다룬 내용을 다시 해치지는 않지만 맬웨어 (키 스트로크를 주입하는 고무 오리 포함)로부터 자신을 보호하는 것에 대한 모든 조언이 적용된다고 말하면 충분합니다.

가치와 브랜드 이름

그러나 플래시 드라이브가 너무 저렴하여 귀찮고 위험할만한 가치가 없다는 크리스토퍼 호스 티지의 요점부터 시작하겠습니다. 소유자가 드라이브를 고지하지 않고 모든 경고를 고려한 후에는 드라이브의 가치를 고려하여 안전하고 사용 가능하도록 만들어야한다고 결정합니다. 용량이 낮고 표준 속도이며 알 수없는 이름의 드라이브가없는 경우 몇 달러에 새 드라이브로 교체 할 수 있습니다. 드라이브의 남은 수명을 모릅니다. "신선한"상태로 복원하더라도 안정성 또는 남은 서비스 수명을 신뢰할 수 있습니까?

공식적으로 당신의 청구되지 않은 드라이브의 경우, 그리고 :

• 그것은 신뢰성과 성능을 인정받는 고용량, 고속, 브랜드 드라이브입니다.
• 새로운 상태, 아마도 최근에 출시 된 제품인 것 같습니다.

이러한 기준 중 하나는 실제로 드라이브가 사소한 것 이상의 가치가있을 수 있다는 것입니다. 그러나 두 번째 이유로 다른 것을 엉망으로하지 않는 것이 좋습니다. Journeyman Geek가 언급 한 것처럼 고무 오리와 USB 킬러는 일반적인 패키지로 제공됩니다. 브랜드 패키지는 값 비싼 장비없이 위조하기 어렵고, 감지 할 수없는 방식으로 브랜드 패키지를 변조하는 것은 어렵습니다. 따라서 친숙한 브랜드 드라이브로 제한하는 것은 그 자체로 약간의 보호를 제공합니다.

안전한 연결

첫 번째 질문은 킬러 USB가 될 수 있다면 어떻게 시스템에 물리적으로 안전하게 연결할 수 있는지에 대한 것입니다.

드라이브 검사

• 첫 번째 단서는 드라이브 그 자체입니다. 기본적으로 USB 커넥터에 미니어처 스타일이 있으며 플라스틱을 넣거나 꺼낼 수있는 충분한 플라스틱이 있습니다. 이 스타일은 특히 플라스틱에 브랜드 이름이있는 경우 안전 할 것입니다.

• 플립 스타일 드라이브는 고무 오리에게 인기가 있으므로 특히주의하십시오.

• 킬러 하드웨어를 담기에 충분한 표준 크기의 엄지 드라이브 인 경우, 위조품이거나 변조 된 흔적이 있는지 케이스를 검사하십시오. 브랜드 라벨이 부착 된 원래 케이스 인 경우 확대로 볼 수있는 표시를 남기지 않고 변조하기가 어렵습니다.

전기 절연

• 다음 단계는 시스템에서 드라이브를 분리하는 것입니다. 썸 드라이브의 잠재적 가치를 희생하고자하는 저렴한 USB 허브를 사용하십시오. 더 나은 방법은 여러 허브를 데이지 체인 방식으로 연결하는 것입니다. 이 허브는 고가의 컴퓨터를 "필수품"인 무료 킬러 USB 드라이브로부터 보호 할 수있는 어느 정도의 전기 절연을 제공합니다.

  경고 : 나는 이것을 테스트하지 않았으며 이것이 제공 할 안전성의 정도를 알 방법이 없습니다. 그러나 시스템 위험을 감수하려는 경우 시스템 손상을 최소화 할 수 있습니다.

LPChip이 질문에 대한 의견에서 제안했듯이, 그것을 테스트하는 유일한 "안전한"방법은 일회용으로 간주되는 시스템을 사용하는 것입니다. 그럼에도 불구하고 거의 모든 작동하는 컴퓨터가 유용 할 가능성이 있다고 생각하십시오. 고대의 저전력 컴퓨터에는 가벼운 메모리 상주 Linux 배포판을로드 할 수 있으며 일상적인 작업에 놀라운 성능을 제공합니다. 플래시 드라이브를 테스트하기 위해 휴지통에서 컴퓨터를 검색하지 않는 한 작동중인 컴퓨터의 값을 알 수없는 드라이브의 값과 비교하십시오.

USB 드라이브를 단순히 소유자를 식별하거나 용도를 바꾸지 않고 조사하는 것으로 목표를 설명하는 문제가 명확 해졌습니다. 이것은 매우 광범위한 질문이지만 일반적인 방법으로 다루려고 노력할 것입니다.

무엇이 문제 일 수 있습니까?

• "킬러 USB". USB 포트를 통해이 장르 펌프 고전압을 설계하여 컴퓨터를 튀 깁니다.
• 플래시 드라이브 패키지에 숨어있는 맞춤형 전자 제품. 이것은 디자이너가 발명 할 수있는 모든 것을 할 수 있습니다. 일반적인 현재 디자인은 키보드에서 할 수있는 모든 것을 주입하기 위해 키보드를 시뮬레이션하는 고무 오리입니다.
• 펌웨어가 수정 된 플래시 드라이브. 다시, 디자이너의 상상력에 의해서만 제한됩니다.
• 멀웨어에 감염된 플래시 드라이브. 이것은 사실상 모든 종류의 맬웨어 일 수 있습니다.
• 누군가를 붙잡기위한 플래시 드라이브. 이것은 정보 서비스, 법 집행 기관, 수사관이 사용하거나 민감한 콘텐츠를 보호하는 데 사용되는 종류의 것입니다. 드라이브에 액세스하면 어떤 형태의 경고가 트리거됩니다.
• 기밀 정보, 도난 된 정보, 아동 포르노 등의 정보를 소지 할 수있는 자료가 포함 된 플래시 드라이브
• 의도가 나쁜 사람들은 항상 불쾌한 일을하는 새로운 방법을 고안 할 것이므로 USB 패키지에 포함 된 모든 종류의 위험을 알 수는 없습니다.

드라이브 조사

예비

가능성의 범위가 주어지면 드라이브를 조사하기 위해 자신을 완전히 보호하기가 어렵습니다.

• 잠재적 인 내용을 소유하고 검사 할 수있는 권한으로 시작하십시오. 인텔리전스 커뮤니티, 법 집행 기관에서 일하거나 법적 명령 또는 라이센스 형태가있는 경우 더 쉽습니다. 그보다는 결백 한 방법으로 당신의 손에 달려 있음을 증명하는 종이 트레일을 미리 설정하십시오. 내용이 불법 또는 조직 범죄 행위를하는 외국 요원의 소유물 인 경우, 귀하의 문서 추적은 많은 보호를 제공하지 않을 수 있습니다. :-)
• 인터넷에서 격리 된 작업. 내장 무선 송신기의 가능성으로부터 보호하려면 패러데이 케이지 내부에서 작업하십시오.
• 킬러 USB로부터 자신의 하드웨어를 보호하십시오.
  • 케이스를 열고 Journeyman Geek가 설명한대로 내장을 검사하십시오. 또한 플래시 드라이브 케이스에서 맞춤형 전자 장치를 식별 할 수 있습니다.
  • 드라이브를 전기적으로 분리하십시오. 광학적으로 고립 된 USB 허브를 사용할 수 있지만 일회용 컴퓨터보다 더 많이 쓸 수 있습니다. 다른 대답에서 제안한 것처럼, 휴지통에있는 컴퓨터에 연결된 저렴한 USB 허브를 데이지 체인 방식으로 연결할 수 있습니다.
• 낮은 수준의 공격으로부터 시스템을 보호하십시오. 복원이나 휴지통에 신경 쓰지 않는 값이 싼 여분의 컴퓨터를 사용하는 것 외에 펌웨어를 변경하는 것과 같은 것을 막을 수있는 방법이 확실하지 않습니다.
• 멀웨어로부터 시스템을 보호하십시오. 이것은 링크 된 스레드를 포함하여 다양한 답변으로 설명되며 라이브 Linux 세션 또는 VM과 같은 기술을 사용하여 자신의 OS, 소프트웨어 및 파일과 분리하여 작동하고 자동 실행을 비활성화하는 등의 방법으로 설명됩니다.

조사

• 패키지에 플래시 드라이브 전자 제품 이외의 제품이 포함 된 경우 케이스를 여는 것이 유일한 방법입니다. USB 인터페이스를 쿼리하여 어떤 모델 킬러 USB인지 물어볼 수 없습니다.
• 드라이브에 맬웨어가 포함 된 경우 다른 방법론을 사용하는 평판이 좋은 여러 프로그램을 사용하여 맬웨어 방지 검사를 실행하여 식별됩니다.
• 내용을 조사하는 것은 내용을 보는 데 사용되는 일반적인 도구를 사용하여 수행됩니다. 여기에는 숨어있는 물건을 숨기거나 위장한 물건을 찾는 것과 같은 약간의 탐정 작업이 포함될 수 있습니다. 내용은 암호화되거나 보호 될 수 있으며 이는 다른 논의입니다.
• 수정 된 펌웨어는 조사하기가 매우 어렵습니다. 펌웨어 코드에 액세스 할 수있는 도구와 일반 코드를 비교할 수있는 도구가 필요합니다 (독점적 일 수 있음). 동일하고 잘 알려진 드라이브와 펌웨어 코드에 액세스 할 수있는 도구를 가지고 있다면 비교할 수 있지만 해당 코드는 공급 업체와 잠재적으로 동일한 제품의 버전에 따라 다릅니다. 플래시 드라이브가 실제로 파괴적인 플랜트 인 경우 펌웨어를 리버스 엔지니어링하여 수행중인 작업을 파악해야합니다.

정말로, 정말로 이것을 원한다면, 나는 가장 저렴한 라즈베리 파이 클론을 사서 그것을 연결하려고합니다. 그것이 컴퓨터를 방해하면 많이 잃지 않았습니다. OS가 감염되지 않았으며 감염된 경우에도 어떻게됩니까?