USB 장치는 우리가 상상했던 것보다 분명히 더 위험합니다. 이건 아니에요 Windows에서 자동 실행 메커니즘을 사용하는 맬웨어 — 이번에는 USB 자체의 근본적인 설계 결함입니다.
관련 : 자동 실행 맬웨어가 Windows에서 문제가 된 방법 및 해결 방법 (대부분)
이제 주변에 누워있는 의심스러운 USB 플래시 드라이브를 집어 들고 사용해서는 안됩니다. 악성 소프트웨어가 없는지 확인하더라도 악성 소프트웨어가 펌웨어 .
모든 것이 펌웨어에 있습니다.
USB는 "범용 직렬 버스"를 의미합니다. 컴퓨터에 다양한 장치를 연결할 수있는 범용 포트 및 통신 프로토콜이어야합니다. 플래시 드라이브 및 외장 하드 드라이브, 마우스, 키보드, 게임 컨트롤러, 오디오 헤드셋, 네트워크 어댑터 및 기타 여러 유형의 장치와 같은 저장 장치는 모두 동일한 유형의 포트를 통해 USB를 사용합니다.
이러한 USB 장치 및 컴퓨터의 기타 구성 요소는 "펌웨어"라는 소프트웨어 유형을 실행합니다. 기본적으로 기기를 컴퓨터에 연결하면 기기의 펌웨어가 기기가 실제로 작동하도록합니다. 예를 들어, 일반적인 USB 플래시 드라이브 펌웨어는 파일을 앞뒤로 전송하는 것을 관리합니다. USB 키보드의 펌웨어는 키보드의 물리적 키 누름을 USB 연결을 통해 컴퓨터로 전송되는 디지털 키 누름 데이터로 변환합니다.
이 펌웨어 자체는 실제로 컴퓨터에서 액세스 할 수있는 정상적인 소프트웨어가 아닙니다. 기기 자체를 실행하는 코드이며 USB 기기의 펌웨어가 안전한지 실제로 확인하고 확인할 수있는 방법은 없습니다.
악성 펌웨어가 할 수있는 작업
이 문제의 핵심은 USB 기기가 다양한 작업을 수행 할 수 있다는 설계 목표입니다. 예를 들어 악성 펌웨어가있는 USB 플래시 드라이브가 USB 키보드로 작동 할 수 있습니다. 컴퓨터에 연결하면 컴퓨터 앞에 앉아있는 누군가가 키를 입력하는 것처럼 키보드 누르기 동작을 컴퓨터로 보낼 수 있습니다. 키보드 바로 가기 덕분에 키보드로 작동하는 악성 펌웨어는 명령 프롬프트 창을 열고 원격 서버에서 프로그램을 다운로드하고 실행 한 다음 동의 할 수 있습니다. UAC 프롬프트 .
좀 더 은밀하게 USB 플래시 드라이브가 정상적으로 작동하는 것처럼 보일 수 있지만 펌웨어는 파일이 장치를 떠날 때 파일을 수정하여 감염시킬 수 있습니다. 연결된 기기는 USB 이더넷 어댑터로 작동하고 악성 서버를 통해 트래픽을 라우팅 할 수 있습니다. 자체 인터넷 연결이있는 휴대 전화 또는 모든 유형의 USB 기기는이 연결을 사용하여 컴퓨터의 정보를 전달할 수 있습니다.
관련 : 모든 "바이러스"가 바이러스는 아닙니다 : 10 가지 맬웨어 용어 설명
수정 된 저장 장치는 컴퓨터가 부팅 중임을 감지하면 부팅 장치로 작동 할 수 있으며 컴퓨터는 USB에서 부팅되어로드됩니다. 멀웨어 (루트킷이라고 함) 그러면 실제 운영 체제가 부팅되고 그 아래에서 실행됩니다.
중요한 것은 USB 장치에 여러 프로필이 연결될 수 있다는 것입니다. USB 플래시 드라이브를 삽입하면 플래시 드라이브, 키보드, USB 이더넷 네트워크 어댑터라고 주장 할 수 있습니다. 다른 작업을 수행 할 권리를 보유하면서 일반 플래시 드라이브로 작동 할 수 있습니다.
이것은 USB 자체의 근본적인 문제 일뿐입니다. 한 가지 유형의 기기 일뿐 아니라 다른 유형의 기기 인 것처럼 가장 할 수있는 악성 기기를 생성 할 수 있습니다.
컴퓨터가 USB 장치의 펌웨어를 감염시킬 수 있음
이것은 지금까지 다소 끔찍하지만 완전하지는 않습니다. 예, 누군가가 악성 펌웨어로 개조 된 기기를 만들 수는 있지만 아마 발견하지 못할 것입니다. 특별히 제작 된 악성 USB 장치를받을 확률은 얼마나됩니까?
" BadUSB ”개념 증명 맬웨어는이를 새롭고 더 무서운 수준으로 끌어 올립니다. SR Labs의 연구원들은 많은 장치에서 기본 USB 펌웨어 코드를 리버스 엔지니어링하는 데 2 개월을 보냈고 실제로 다시 프로그래밍하고 수정할 수 있음을 발견했습니다. 즉, 감염된 컴퓨터는 연결된 USB 장치의 펌웨어를 다시 프로그래밍하여 해당 USB 장치를 악성 장치로 바꿀 수 있습니다. 그런 다음 해당 장치는 연결된 다른 컴퓨터를 감염시킬 수 있으며 장치는 컴퓨터에서 USB 장치로, 컴퓨터에서 USB 장치로, 그리고 계속해서 확산 될 수 있습니다.
관련 : "주스 잭킹"이란 무엇이며 공중 전화 충전기를 피해야합니까?
이 문제는 연결된 컴퓨터에서 자동으로 멀웨어를 실행하기 위해 Windows 자동 실행 기능에 의존하는 멀웨어가 포함 된 USB 드라이브에서 발생했습니다. 하지만 이제 바이러스 백신 유틸리티는 기기간에 확산 될 수있는이 새로운 유형의 감염을 감지하거나 차단할 수 없습니다.
이것은 잠재적으로 다음과 결합 될 수 있습니다. "주스 재킹"공격 악성 USB 포트에서 USB를 통해 충전되는 장치를 감염시킵니다.
좋은 소식은 이것이 가능하다는 것입니다. USB 장치의 약 50 % 나쁜 소식은 어떤 장치가 취약하고 어떤 장치가 열리지 않고 내부 회로를 검사하지 않고는 알 수 없다는 것입니다. 제조업체는 향후 펌웨어가 수정되지 않도록 USB 장치를보다 안전하게 설계 할 수 있기를 바랍니다. 그러나 그 동안에는 엄청난 양의 USB 장치가 재 프로그래밍되기에 취약합니다.
이것이 진짜 문제입니까?
지금까지 이것은 이론적 인 취약점으로 입증되었습니다. 실제 공격이 입증되었으므로 실제 취약성이지만 아직 실제 멀웨어에 의해 악용되지는 않았습니다. 일부 사람들은 NSA가이 문제에 대해 한동안 알고 사용했다고 이론화했습니다. NSA의 코튼 마우스 악용은 NSA가 이러한 USB 장치에 특수 하드웨어를 이식 한 것으로 보이지만 수정 된 USB 장치를 사용하여 대상을 공격하는 것으로 보입니다.
그럼에도 불구하고이 문제는 곧 발생할 문제가 아닐 것입니다. 일상적인 의미에서 친구의 Xbox 컨트롤러 또는 기타 의심스러운 기타 일반적인 장치를 볼 필요가 없을 것입니다. 그러나 이것은 수정해야 할 USB 자체의 핵심 결함입니다.
자신을 보호하는 방법
의심스러운 기기를 다룰 때는주의해야합니다. Windows 자동 실행 맬웨어 시대에는 회사 주차장에 USB 플래시 드라이브가 남아 있다는 소식을 가끔 들었습니다. 직원이 플래시 드라이브를 집어 회사 컴퓨터에 연결하면 드라이브의 멀웨어가 자동으로 실행되어 컴퓨터를 감염시키는 것이 희망이었습니다. 사람들이 주차장에서 USB 기기를 꺼내 컴퓨터에 연결하지 않도록 장려하는 캠페인이있었습니다.
이제 자동 실행이 기본적으로 사용 중지되어 있으므로 문제가 해결되었다고 생각하는 경향이 있습니다. 그러나 이러한 USB 펌웨어 문제는 의심스러운 장치가 여전히 위험 할 수 있음을 보여줍니다. 주차장이나 거리에서 USB 장치를 집어 연결하지 마십시오.
걱정할 정도는 당연히 당신이 누구이고 무엇을하고 있는지에 따라 다릅니다. 중요한 비즈니스 비밀 또는 재무 데이터가있는 회사는 USB 장치가 어떤 컴퓨터에 연결할 수 있는지에 대해 각별히주의하여 감염 확산을 방지 할 수 있습니다.
이 문제는 지금까지 개념 증명 공격에서만 발견되었지만 우리가 매일 사용하는 기기에 엄청난 핵심 보안 결함을 드러냅니다. 이는 염두에 두어야 할 사항이며, 이상적으로는 USB 자체의 보안을 개선하기 위해 해결해야하는 사항입니다.
이미지 크레딧 : Flickr의 Harco Rutgers
