신뢰할 수없는 USB 드라이브를 삽입하고 탐색 할 때의 위험은 무엇입니까?


132

누군가가 일부 파일을 USB 스틱에 복사하려고한다고 가정 해보십시오. 그룹 정책을 통해 자동 실행이 비활성화 된 상태에서 완전히 패치 된 Windows 7 x64를 실행하고 있습니다. USB 드라이브를 넣고 Windows 탐색기에서 열고 일부 파일을 복사합니다. 기존 파일을 실행하거나 보지 않습니다. 이렇게하면 어떤 나쁜 일이 일어날 수 있습니까?

Linux에서이 작업을 수행하면 (예 : Ubuntu) 어떻습니까?

특정 위험 (있는 경우)에 대한 세부 정보 를 찾고 있는데 "이 작업을 수행하지 않으면 더 안전 할 것"입니다.


6
디렉토리 목록을 보는 것이 위험하지는 않습니다. 패치되지 않은 이전 버전의 Adobe Reader에서 악성 PDF를 열면 큰 위험이 있습니다. 경우에 따라 이미지 미리보기 또는 파일 아이콘도 악용 될 수 있습니다.
david25272

12
디렉토리 목록을 보더라도 @ david25272 가 위험 할 수 있습니다 .
tangrs

5
그것은 대부분 낯선 사람과 함께 엘리베이터에 들어가는 것과 약간 비슷하지만, 낯선 사람이 한니발 렉터 일 경우 ...
PatrickT

59
우라늄 원심 분리기 en.wikipedia.org/wiki/Stuxnet
RyanS

1
@tangrs, 그것은 내가 찾고있는 종류의 훌륭한 예입니다. 왜 답변으로 게시하지 않습니까?
EM0

답변:


45

덜 인상적으로, GUI 파일 브라우저는 일반적으로 파일을 탐색하여 축소판을 만듭니다. 시스템에서 작동하는 PDF 기반의 ttf 기반 (Turing 가능 파일 형식을 여기에 삽입) 기반 익스플로잇은 파일을 삭제하고 썸네일 렌더러가 스캔 할 때까지 기다리면 수동적으로 시작될 수 있습니다. 내가 아는 대부분의 익스플로잇은 Windows 용이지만 libjpeg의 업데이트를 과소 평가하지는 않습니다.


1
가능성이 있으므로 +1입니다. 축소판을 보지 않아도 Windows 탐색기 (또는 노틸러스)에서이 작업을 수행합니까?
EM0

1
@EM이 발생할 수 있습니다. 예를 들어, 최신 버전의 탐색기는 하위 폴더가 축소판을 표시하지 않도록 설정하더라도 루트에있는 예쁜 폴더 아이콘에 대해 하위 폴더에 축소판을 구성 할 수 있습니다.
Tynam

아니면 썸네일을 표시하려고하지,하지만 메타 데이터가 아니라 어떤 종류의
그 브라질 가이

1
이것은 USB 마운트 파일 시스템에만 국한되지 않습니다. 파일 브라우저에 취약점이있는 경우 전자 메일 첨부 파일이나 브라우저를 통한 다운로드와 같은 다른 방법을 통해 컴퓨터로 다운로드 한 파일에 의해 트리거 될 수 있습니다.
HRJ

186

일어날 수있는 최악의 상황은 공격자의 상상력에 의해서만 제한됩니다. 편집증이 될 경우 거의 모든 장치를 시스템에 물리적으로 연결하면 장치가 손상 될 수 있습니다. 해당 장치가 간단한 USB 스틱처럼 보이는 경우에도 마찬가지입니다.

이게 어때? 여기에 이미지 설명을 입력하십시오

위의 그림은 악명 높은 USB 고무 오리입니다 . 일반적인 펜 드라이브처럼 보이지만 컴퓨터에 임의의 키 입력을 전달할 수있는 작은 장치입니다. 기본적으로 키보드 자체로 등록 된 다음 원하는 키 시퀀스를 입력하기 때문에 원하는대로 할 수 있습니다. 그런 종류의 액세스 권한을 사용하면 모든 종류의 불쾌한 일을 할 수 있습니다 (Google에서 찾은 첫 번째 히트 일뿐입니다). 상황은 스크립팅 가능하므로 하늘이 한계입니다.


11
좋은 하나, +1! 이 시나리오에서 USB 스틱은 실제 저장 장치로 알려져 있으며, 컴퓨터를 악의적으로 감염 시키지 않도록 나에게 준 사람을 신뢰 합니다. (주로 바이러스 자체의 희생자가 될까 걱정하고 있습니다.) 그러나 이것은 제가 고려하지 않은 흥미로운 공격입니다. 나는 이와 같은 키보드 에뮬레이터를 사용하여 이상한 일이 벌어 질 것이라고 생각하지만, 은밀한 방법이있을 수 있습니다 ...
EM0

3
이 답변을 승인합니다. OP가 생각하게 만듭니다 :)
steve

31
+1 "가능한 최악의 상황은 공격자의 상상력에 의해서만 제한됩니다."
Newb

9
Hak5-합법적으로 보입니다!
david25272

5
분명히 USB 연결 프로토콜은 이전 PS / 2 포트 프로토콜과 매우 유사하므로 USB가 일반적으로 마우스 및 키보드에 사용됩니다. (물론 틀릴 ​​수 있습니다-나는 주로 손실 압축을 특징으로하는 내 자신의 메모리에서 이것을 파고 있습니다)
Pharap

38

또 다른 위험은 리눅스가 무엇이든 마운트하려고 시도한다는 것입니다 (여기서 농담은 억제되었습니다) .

일부 파일 시스템 드라이버에는 버그가 없습니다. 이는 해커가 스쿼시, 미니, 비프, 크램프 또는 udf에서 버그를 발견 할 수 있음을 의미합니다. 그런 다음 해커는 해당 버그를 악용하여 파일을 생성하여 Linux 커널을 인수하여 USB 드라이브에 넣을 수 있습니다.

이것은 이론적으로 Windows에서도 발생할 수 있습니다. FAT 또는 NTFS, CDFS 또는 UDF 드라이버의 버그로 인해 Windows가 인계 될 수 있습니다.


+1 깔끔하고 완전히 가능한 익스플로잇
steve

17
더 아래로 전체 수준이 있습니다. 파일 시스템에는 버그가있을뿐만 아니라 전체 USB 스택에는 버그 가 있으며 커널에서 많은 부분이 실행됩니다.
가짜 이름

4
심지어 USB 컨트롤러의 펌웨어조차도 악용 될 수있는 취약점이있을 수 있습니다. 단순히 장치 열거 수준 의 USB 스틱으로 Windows에 충돌하는 악용이있었습니다 .
sylvainulg 2018 년

7
"리눅스 마운트 시도 중"은 시스템의 기본 동작은 아니지만 사전에 마운트하려고하는 파일 탐색기와 연결되어 있습니다. 나는 삐걱 거리는 맨 페이지가 이것을 비활성화하는 방법을 공개하고 "주문형으로 마운트"로 돌아갈 수 있다고 확신합니다.
sylvainulg 2018 년

5
Linux와 Windows는 모두 마운트하려고합니다. 유일한 차이점은 Linux가 실제로 성공할 수 있다는 것입니다. 이것은 시스템의 약점이 아니라 강점입니다.
terdon

28

Linux 또는 Windows 용 자동 실행 스크립트를 설정하여 맬웨어를 연결하자마자 자동으로 실행하는 몇 가지 보안 패키지가 있습니다. 신뢰할 수없는 장치를 연결하지 않는 것이 가장 좋습니다!

내가 원하는 거의 모든 종류의 실행 파일과 거의 모든 OS에 악성 소프트웨어를 첨부 할 수 있습니다. 자동 실행을 비활성화하면 안전해야하지만 다시는 의심의 여지가없는 장치를 신뢰하지 않습니다.

이 작업을 수행 할 수있는 작업의 예를 보려면 SET (Social-Engineer Toolkit)을 확인하십시오 .

진정으로 안전한 유일한 방법은 하드 드라이브를 분리 한 상태에서 라이브 Linux 배포를 부팅하는 것입니다. USB 드라이브를 마운트하고 살펴보십시오. 그 외에는 주사위를 굴리고 있습니다.

아래에서 제안한대로 네트워킹을 비활성화해야합니다. 하드 드라이브가 안전하고 전체 네트워크가 손상되면 도움이되지 않습니다. :)


3
자동 실행이 비활성화되어 있어도 특정 사실을 이용하는 익스플로잇이 여전히 존재합니다. 물론 Windows 시스템을 감염시키는 더 좋은 방법이 있습니다. 해당 작업으로 결정된 하드웨어에서 알 수없는 플래시 드라이브를 검색하는 것이 가장 좋습니다.이 작업은 매일 삭제되고 재부팅되면 알려진 구성으로 복원됩니다.
Ramhound

2
최종 제안을 위해 네트워크 연결을 끊는 것도 포함 할 수 있습니다. Live CD 인스턴스가 감염되면 네트워크의 다른 시스템을 감염시켜보다 지속적인 발판을 마련 할 수 있습니다.
Scott Chamberlain

6
Ramhound, 당신이 언급 한 익스플로잇의 예를보고 싶을 것입니다.
EM0

5
@EM, 아이콘이 바로 가기 파일 (.lnk 파일) 에 표시 되는 방식의 취약점을 이용하는 제로 데이 익스플로잇이 있었습니다 . 바로 가기 파일이 포함 된 폴더를 여는 것만으로 익스플로잇 코드를 트리거 할 수 있습니다. 해커는 이러한 파일을 USB 드라이브의 루트에 쉽게 넣을 수 있으므로 열면 익스플로잇 코드가 실행됩니다.
tangrs

4
> 진정한 안전을 보장하는 유일한 방법은 하드 드라이브의 플러그를 뽑은 상태에서 라이브 Linux 배포를 부팅하는 것입니다. – 불법 소프트웨어도 펌웨어를 감염시킬 수 있습니다. 그들은 오늘날 매우 잘 보호되지 않습니다.
Sarge Borsch

23

USB 스틱은 실제로 매우 충전 된 커패시터 일 수 있습니다 ... 현대 마더 보드가 그러한 놀라움으로부터 보호받을 수 있는지 확실하지 않지만 랩톱에서 확인하지는 않습니다. (이론적으로 모든 장치를 태울 수 있음)

최신 정보:

이 답변을 참조하십시오 : https://security.stackexchange.com/a/102915/28765

그리고 그것에서 비디오 : YouTube : USB 킬러 v2.0 테스트.


3
그렇습니다. 거의 모두 재설정 가능한 퓨즈가 작습니다. 이 electronics.stackexchange.com/questions/66507/… 가 흥미 롭다는 것을 알았습니다 .
Zan Lynx

이 비디오는 내 영혼을 아프게합니다.
k.stm

6

폴더를 열면 일부 맬웨어 / 바이러스가 활성화됩니다. 해커는 Windows (또는 Linux with Wine ) 기능을 사용하여 파일을 열 때 일부 파일 (예 : .exe, .msi 또는 .pif 파일 또는 맬웨어 아이콘이있는 폴더)의 아이콘 / 썸네일을 만들기 시작할 수 있습니다. 폴더. 해커는 프로그램에서 썸네일을 만드는 프로그램과 같은 버그를 발견하여 맬웨어가 실제로 작동 할 수 있도록합니다.

결함이있는 일부 장치는 하드웨어 , 특히 마더 보드를 죽일 수 있으며 대부분은 자동으로 작동하지 않을 수 있습니다.


5

분명히 간단한 USB 장치가 전체 마더 보드를 튀길 수도 있습니다.

"Dark Purple"이라는 러시아 보안 연구원이 특이한 탑재량을 포함하는 USB 스틱을 만들었습니다.

멀웨어를 설치하거나 제로 데이 취약점을 악용하지 않습니다. 대신, 맞춤형 USB 스틱은 USB 인터페이스의 신호 라인을 통해 220V (기술적으로 220V)를 전송하여 하드웨어를 튀 깁니다.

https://grahamcluley.com/2015/10/usb-killer/


3

일어날 수있는 최악의 일은 악명 높은 BadBios 감염입니다. 이것은 OS에 관계없이 USB 호스트 컨트롤러를 컴퓨터에 연결하여 감염시킵니다. 제한된 범위의 USB 칩 제조업체가 있으므로 모든 칩을 악용하는 것은 그리 어렵지 않습니다.

물론 모든 사람들이 BadBios가 실제라고 생각하는 것은 아니지만 USB 드라이브를 연결하여 컴퓨터에 발생할 수있는 최악의 상황입니다.


당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.