« 9.18で改ざんされたWebサイトをMaltegoで見てみた | メイン | 健康保険組合になりすました不審なメールについて »

2014年10月 3日 (金)

DEF CON 22で仕入れた悪意のあるUSBデバイス

世界最大級のハッカーの祭典であるDEF CON22で仕入れたハッキング用USBデバイスをご紹介します。デバイス制御の製品をすり抜け、脆弱性もマルウェアも利用しないため、検知がとても難しい代物となります。

こちらがその写真です。なんの変哲もないUSBメモリに見えます。

Badusb

図、悪意のあるUSBデバイス



■攻撃デモ

中身をご紹介する前に当該USBデバイスを用いた攻撃をご覧ください。

動画が見れない方はこちらから動画ファイルをダウンロードしてください。

動画のホストには以下の一般的な対策が施されています。

  • 最新のOS/アプリのパッチ適用済み
  • 最新パターンファイルで動作しているウィルス対策
  • USBマスストレージデバイスをブロックするデバイスコントロール対策
  • CDデバイスによる自動実行(Autorun)の無効化

しかし、USBデバイスを挿入後、勝手にメモ帳が立ち上がり、メッセージが打ち込まれました。



■攻撃の仕組み

では、その仕組みを解説します。当該USBデバイスは一見するとUSBメモリに見えますが、OSはキーボードとして認識しています。

Devicemanager_2図、デバイスマネージャ

USBデバイスを分解すると...

Badusb__2図、デバイスの中身

デバイス内にはMicroSDカードがあり、その中に攻撃者が用意した「デバイスを挿入した時にタイピングする文字列」が含まれています。上記の動画であれば、以下のような文字列になります。

[Windows]キー + [R] (ファイル名を指定して実行のショートカットキー)

notepad.exe [Enter] (メモ帳の起動)

You are hacked. (メッセージ)

これらの文字列は攻撃者が任意に設定できるため、たとえば以下の攻撃のようなことが行えます。

  • マルウェアをダウンロードして実行するJScriptスクリプトを作成して、実行させる
  • コマンドプロンプトからnet user /addコマンドを利用してローカルのユーザを作成する
  • デスクトップ上のOffice文書をアップロードさせる

攻撃者がキーボードを乗っ取っている状態に等しく、キーボードが乗っ取れれば、ホストを乗っ取ることができるということです。

OSはUSBが挿入された場合、そのデバイスのデバイスクラスIDなどの情報を元にロードするドライバを決めています。そのため、USBデバイスがキーボードのクラスを「自称」すれば、OSはキーボードデバイスとして認識し、ドライバをロードします。

この仕組みを利用してBlack Hat USA 2014の一つのセッション(BADUSB - ON ACCESSORIES THAT TURN EVIL)では、キーボードだけでなく、Etherカードの振りをし、パケットをスニフィングするUSBデバイスやUSBブート型ブートキットなどの攻撃の可能性について発表していました。



■対策

上述の通り、マルウェアも脆弱性も利用していないので、ウィルス対策やパッチの適用では防げません。

もし、デバイス制御の対策があれば、USBストレージデバイスのみのブロックというようなブラックリスト方式ではなく、USBデバイスは全てブロックし、利用するデバイスのみをシリアル番号などの一意な識別子で許可をする必要があります。

ユーザに任意のマウス、キーボードを使わせたいという要望を受け入れるとホワイトリストの管理が煩雑さになったり、そもそも一意な識別子を持っていないデバイスもあったりして、根本的な対策はなかなか難しいと言えます。

ユーザに対する教育として以下の基本的な2点を厳守させることが最も手っ取り早い対策となるかもしれません。

  • 出所が不明な「いかなる」USBデバイスを接続しない
    • スマホ充電器も含む 
  • 離席時に画面ロックをする(攻撃者にUSBデバイスを接続されても、ログオン画面では悪いプログラムが発動できない)

« 9.18で改ざんされたWebサイトをMaltegoで見てみた | メイン | 健康保険組合になりすました不審なメールについて »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat