信頼できないUSBドライブを挿入して閲覧する危険性は何ですか?

132

誰かがいくつかのファイルをUSBスティックにコピーしてほしいと思ったとします。AutoRunを無効にして(グループポリシー経由で)完全にパッチを適用したWindows 7 x64を実行しています。USBドライブを挿入し、Windowsエクスプローラーで開いて、いくつかのファイルをコピーします。既存のファイルを実行または表示しません。これを行うと、どのような悪いことが起こる可能性がありますか?

Linux(Ubuntuなど)でこれを行うとどうなりますか?

私が探していることに注意してください詳細特定のリスク(もしあれば)、ではない「あなたはこれを行わない場合、それはより安全になります」。

windows-7  linux  security  usb-flash-drive  autorun 
EM0
ソース
6
ディレクトリのリストを確認することはリスクとはなりません。パッチを当てていない古いバージョンのAdobe Readerで悪意のあるPDFを開くことは、大きなリスクになる可能性があります。場合によっては、画像のプレビューやファイルアイコンにも悪用が含まれる可能性があります。
david25272 14年
12
@ david25272、ディレクトリ一覧を見てもリスクになる可能性があります
タングル14年
5
それは見知らぬ人とエレベーターに入るのに少し似ていますが、ほとんどの場合は大丈夫ですが、見知らぬ人が別名ハンニバルレクターである場合
パトリックT 14年
59
あなたのウラン遠心分離機を破ることができますen.wikipedia.org/wiki/Stuxnet
RyanS 14年
1
@tangrs、それは私が探していた種類の良い例です。回答として投稿してみませんか?
EM0

回答:

45

それほど印象的ではありませんが、GUIファイルブラウザは通常、ファイルを探索してサムネイルを作成します。システムで動作するpdfベース、ttfベース(ここにチューリング可能なファイルタイプを挿入)ベースのエクスプロイトは、ファイルをドロップし、サムネイルレンダラーによるスキャンを待機することにより、潜在的に受動的に起動される可能性があります。私が知っているほとんどのエクスプロイトはWindows用ですが、libjpegの更新を過小評価していません。

シルヴァインウルグ
ソース
1
それは可能性なので、+ 1。サムネイルを表示したことがない場合でも、Windows Explorer(またはNautilus)はこれを行いますか?
EM0 14年
1
@EMが発生する可能性があります-たとえば、最近のバージョンのエクスプローラーでは、たとえサブフォルダーがサムネイルを表示しないように設定されていても、ルートにあるきれいなフォルダーアイコンのサブフォルダーにサムネイルを作成します。
タイナム14
または、サムネイルを表示するのではなく、何らかのメタデータを表示しようとするかもしれません
そのBrazilian Guy 14
1
これは、USBマウントされたファイルシステムに固有のものではありません。ファイルブラウザに脆弱性がある場合、電子メールの添付ファイルやブラウザからのダウンロードなど、他の方法でコンピュータにダウンロードされたファイルによって引き起こされる可能性があります。
HRJ
186

起こりうる最悪の事態は、攻撃者の想像力によってのみ制限されます。妄想的になりそうな場合、ほとんどすべてのデバイスをシステムに物理的に接続すると、そのデバイスが危険にさらされる可能性があります。そのデバイスが単純なUSBスティックのように見える場合は二重です。

これだとどうなる? ここに画像の説明を入力してください

上の写真は、悪名高いUSBラバーダッキーです。これは、通常のペンドライブのように見えますが、コンピューターに任意のキーストロークを送信できる小さなデバイスです。基本的に、キーボードとして登録し、必要なキーのシーケンスを入力するため、好きなように実行できます。そのようなアクセスで、それはあらゆる種類の厄介なことをすることができます(そしてそれは私がGoogleで見つけた最初のヒットです)。ものはスクリプト可能なので、空は限界です。

タードン
ソース
11
いいね、+ 1!私が念頭に置いたシナリオでは、USBスティックは実際のストレージデバイスであることが知られており、USBスティックをくれた人が私のコンピューターに悪意で感染しないことを信頼しています。(私は彼らがウイルス自身の犠牲者であるかもしれないことを主に心配しています。)しかしこれは私が考慮しなかった興味深い攻撃です。私は...私はおそらく奇妙な何かが起こって気づくと思いますが、ステルスの方法があるかもしれません。このようなキーボードエミュレータと仮定
EM0
3
私はこの答えに賛成です。OPに考えさせます:)
スティーブ14年
31
+1「起こりうる最悪の事態は、攻撃者の想像力によってのみ制限されます。」
Newb 14年
9
Hak5-合法的に見える!
david25272 14年
5
どうやら、USB接続プロトコルは古いPS / 2ポートプロトコルと非常によく似ているため、マウスとキーボードにUSBがよく使用されます。(私はもちろん間違っている可能性があります-私はこれを自分の記憶から掘り下げています、それは主に損失のある圧縮を特徴としています)
-Pharap
38

もう1つの危険は、Linuxが何かをマウントしようとすることです(ここではジョークは抑制されます)

一部のファイルシステムドライバーにはバグがありません。つまり、ハッカーは、squashfs、minix、befs、cramfs、udfなどのバグを潜在的に見つけることができるということです。その後、そのハッカーはそのバグを悪用してLinuxカーネルを引き継いでUSBドライブに置くファイルシステムを作成できます。

これは、理論的にはWindowsでも発生する可能性があります。FATまたはNTFSまたはCDFSまたはUDFドライバーのバグにより、Windowsが乗っ取られる可能性があります。

ザンリンクス
ソース
+1それはきちんとした完全に可能なエクスプロイトになるだろう
スティーブ14年
17
さらに下のレベル全体があります。ファイルシステムにバグがあるだけでなく、USBスタック全体にバグがあり、その多くがカーネルで実行されます。
偽の名前
4
また、USBコントローラーのファームウェアにも脆弱性があり、悪用される可能性があります。単にデバイス列挙レベルでUSBスティックを使用してWindowsにクラッシュするという悪用がありました。
シルヴァインウルグ14年
7
「Linuxが何かをマウントしようとする」ということに関しては、これはシステムのデフォルトの動作ではありませんが、積極的にマウントしようとするファイルエクスプローラにリンクされています。スペルマンのマンページは、これを無効にして「オンデマンドでのみマウント」する方法に戻ると確信しています。
シルヴァインウルグ14年
5
LinuxとWindowsは両方ともすべてをマウントしようとします。唯一の違いは、Linuxが実際に成功する可能性があることです。これはシステムの弱点ではなく、強みです。
テルドン14
28

LinuxまたはWindowsのいずれかで自動実行スクリプトを設定し、プラグインするとすぐにマルウェアを自動的に実行できるセキュリティパッケージがいくつかあります。信頼できないデバイスをプラグインしないことをお勧めします。

悪意のあるソフトウェアを、ほぼすべての種類の実行可能ファイル、およびほとんどすべてのOSに添付できることに注意してください。自動実行が無効になっている場合は、安全である必要がありますが、繰り返しますが、私が少しでも懐疑的なデバイスであることは信じていません。

これを実行できる例については、The Social-Engineer Toolkit(SET)をご覧ください

真に安全な唯一の方法は、ハードドライブを取り外した状態でライブLinuxディストリビューションを起動することです。そして、USBドライブをマウントして見てみましょう。それ以外は、サイコロを振っている。

以下に示すように、ネットワークを無効にする必要があります。ハードドライブが安全であり、ネットワーク全体が危険にさらされている場合は役に立ちません。:)

スティーブ
ソース
3
AutoRunが無効になっている場合でも、特定の真実を利用するエクスプロイトが存在します。もちろん、Windowsマシンに感染するより良い方法があります。そのタスク専用のハードウェア上の不明なフラッシュドライブをスキャンするのが最善です。このタスクは毎日消去され、再起動すると既知の構成に復元されます。
ラムハウンド14年
2
最後の提案として、ネットワークの切断も含めることをお勧めします。LiveCDインスタンスが感染した場合、ネットワーク上の他のマシンに感染し、より永続的な足がかりになる可能性があります。
スコットチェンバレン14年
6
Ramhound、あなたが言及したエクスプロイトの例を見たいです(おそらく今までにパッチが適用されています!)答えとしていくつか投稿していただけますか?
EM0 14年
5
@EM、アイコンがショートカットファイル(.lnkファイル)に表示される方法の脆弱性を利用するゼロデイエクスプロイトが少し前にありました。悪用コードをトリガーするには、ショートカットファイルを含むフォルダーを開くだけで十分です。ハッカーはそのようなファイルをUSBドライブのルートに簡単に置くことができたので、それを開くとエクスプロイトコードが実行されます。
タングル14年
4
>本当に安全な唯一の方法は、ハードドライブを取り外した状態でライブLinuxディストリビューションを起動することです…—いや、不正なソフトウェアもファームウェアに感染する可能性があります。彼らは最近非常に不十分に保護されています。
セージボルシュ
23

USBスティックは、実際には非常に充電されたコンデンサである可能性があります...現代のマザーボードがそのような驚きから保護されているかどうかはわかりませんが、ラップトップではチェックしません。(理論的にはすべてのデバイスを焼く可能性があります)

更新:

この回答を参照してください:https : //security.stackexchange.com/a/102915/28765

それからのビデオ: YouTube:USB Killer v2.0テスト。

サルゲ・ボルシュ
ソース
3
はい、彼らがやります。それらのほとんどすべてに小さなリセット可能なヒューズがあります。このelectronics.stackexchange.com/questions/66507/…が面白いと思いました。
ザンリンクス14年
このビデオは私の魂を傷つけます。
k.stm
6

フォルダーを開くと、一部のマルウェア/ウイルスがアクティブになります。ハッカーは、Windows(またはLinux with Wine)の機能を使用して、いくつかのファイル(.exe、.msi、.pifファイル、またはマルウェアアイコンのあるフォルダーなど)のアイコン/サムネイルを作成し始めます。フォルダ。ハッカーは、プログラムのバグ(サムネイルを作成するプログラムなど)を見つけて、マルウェアが動作できるようにします。

一部の障害のあるデバイスは、ハードウェア、特にマザーボードを殺す可能性があり、ほとんどの場合静かにそれを認識しない場合があります。

トッティ
ソース
5

どうやら単純なUSBデバイスでもマザーボード全体を炒めることができます。

「ダークパープル」として知られるロシアのセキュリティ研究者は、異常なペイロードを含むUSBスティックを作成しました。

マルウェアをインストールしたり、ゼロデイ脆弱性を利用したりしません。代わりに、カスタマイズされたUSBスティックは、USBインターフェイスの信号線を介して220ボルト(技術的には220ボルト)を送信し、ハードウェアをフライします。

https://grahamcluley.com/2015/10/usb-killer/

EM0
ソース
3

起こりうる最悪の事態は、悪名高いですBadBiosの感染症。これは、OSに関係なくUSBホストコントローラーをコンピューターに接続することで感染すると思われます。USBチップのメーカーの範囲は限られているため、それらすべてを活用することはそれほど難しくありません。

もちろん、誰もがBadBiosが本物であると信じているが、それはある USBドライブを接続してお使いのコンピュータに起こりうる最悪のこと。

ニック
ソース
2

これは、米国国防総省の機密ネットワーク全体がほぼどのように侵害されたかです。DODサイト外の駐車場の地面にUSBスティックが残っていました。何人かの天才はそれを拾い上げ、それを中に入れて差し込んだ。現代のスパイ活動はとても退屈だ。駐車場にあるUSBスティックを意味し、007を取り戻します!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

スクリーグ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.