Bad USB12/07/2014

#LT駆動開発 09もりたこ

About me

もりたこTwitter : @mrtc0

Blog : http://mrt-k.github.io/

ハニーポット観察

BadUSBを体験して なるほどね ってなった話です

2014年

「 2014年のセキュリティ事件に関する意識調査」2014年の 10 大セキュリティ事件ランキングを発表

http://www.mcafee.com/jp/about/news/2014/q4/20141112-02.aspx

…その他にも

● XPのサポート終了● IEの脆弱性● ShellShock● POODLE● wgetの脆弱性● Bad USB

…その他にも

● XPのサポート終了● IEの脆弱性● ShellShock● POODLE● wgetの脆弱性● Bad USB

Bad USB

● 2014年 7月に公表● 8月に Black Hat USA '14でデモ

– https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf

● 10月に別の研究者がGitHubで PoC公開– https://github.com/adamcaudill/Psychson

どんな USBなの ?

● ファームウェアが書き換えられた USB– ユーザーからは見えない部分– 脆弱性というより仕様– 携帯端末やゲーム機器のように書き換えのチェックを行っていない

● USBを接続すると任意のコマンドが実行されたりする

こわいところ

● USBストレージ内に不正アプリがあるわけではないので検知できない

● USBデバイスなら何でも BadUSBとして動作する可能性– キーボード ,マウス ,スマートフォン , 扇風機– OSが標準でドライバを用意している– プラグアンドプレイで勝手にインストール開始

● 一般ユーザーは気にも留めない (?)

＿人人人人人人人人人人人人人人人人人人人＿＞　いつからキーボードだと錯覚していた ?　＜￣ Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y￣

ただし

● 攻撃者側も (多少の )リスク– メーカーによっては無理– USBメモリが機能しなくなる危険性

● 記者は「 Bad USB」を試してみた、そして凍りついたhttp://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/110700106/?ST=security&P=2

● 攻撃者からすると USBの 1本や 2本どうでもいい (?)

具体的にどんなことができる？

可能な攻撃

● キーボードに偽装– キーボード入力をエミュレート

● ネットワークアダプタに偽装– DNS設定の書き換え– デフォルトゲートウェイになって盗聴

突然ですが

DEMOhttps://www.youtube.com/watch?v=KWaBweJMbrU

43:50~

Android端末でWindowsを乗っ取る● BadUSB : Nexus7● 被害者 : Windows 8.1

– Windows Defender,Firewall有効● キーボード入力をエミュレートし ,任意のコマンドを実行

攻撃者「ちょっと充電させてや」被害者「ええで」みたいな流れ

パケット

パケット

実行されたコマンド

実行されたコマンド

キーボードとして認識

防御策

(今のところは )ない

防御策と限界

● USBの使用禁止– 無理

● ホワイトリスト化– シリアルナンバーはユニークではないらしい

● ファームウェアに署名– サイズが小さいので強固な暗号実装は難しい

● 規格を一から作りなおす必要がある

まとめ

● 離席時には画面ロック● 不審なデバイスは接続しない● 煽りすぎ (?)

ご清聴ありがとうございました

参考

BadUSB - On accessories that turn evilhttps://pacsec.jp/psj14/PSJ2014_Karsten_141112.BadUSB-Pacsec.KN01.ja.pdf記者は「 BadUSB」を試してみた、そして凍りついたhttp://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/110700106/?ST=security