デモ 1 USB メモリによるキーボードエミュレーションと USB ブートによるコンピュータへの感染 2

Transcription

1 BadUSB On accessories that turn evil Karsten Nohl Sascha Krißler Jakob Lell SRLabs Template v12

2 デモ 1 USB メモリによるキーボードエミュレーションと USB ブートによるコンピュータへの感染 2

3 アジェンダ USB の概要 USB デバイスの再プログラム USB の攻撃シナリオ 防御と次のステップ 3

4 ユーザからは見えない USB デバイスのマイクロコントローラ USB コントローラ フラッシュメモリ 8051 CPU ブートローダ コントローラファームウェア マスストレージ ユーザから見えるのはこの部分だけ 4

5 USB デバイスの認識 USB デバイスコネクタ + ハブホスト ルートハブ 識別子デバイスクラスエンドポイントシリアルナンバー 例 USB メモリ 8 マスストレージ 0 コントロール 1 データ転送 AA ウェブカメラ a. 1 オーディオ b.14 ビデオ 0 コントロール 1 ビデオデータ 6 音声データ 7 ビデオ割り込み 0258A350 5

6 USB デバイスの初期化ステップ USB デバイス 電源オン + ファームウェア初期化 USB プラグアンドプレイ登録アドレスの設定ディスクリプタの送信設定の送信通常の動作オプション : 登録の抹消再登録 ドライバのロード 別のドライバのロード デバイスは複数の識別子を持てる デバイスはディスクリプタを通じてその機能を通知する ウェブカメラとマイクといった複数のデバイスクラスをサポートする場合 デバイスは複数のディスクリプタを持つ デバイスは登録の抹消し 別のデバイスとして再登録できる 6

7 アジェンダ USB の概要 USB デバイスの再プログラミング USB 攻撃のシナリオ 防御と次のステップ 7

8 USB ファームウェアのリバースエンジニアリングとパッチ作成に必要な期間は 2 ヶ月以下 Aファームウェアアップデートプ B ファームウェアのリバースエ C ファームウェアをパッチロセスの文書化ンジニアリング 1. インターネット上で漏洩しているファームウェアと更新ツールを探す 2.Wireshark でアップデートの通信を解析 3. アップデートで使用された SCSI コマンドをリプレイ 4.( フラッシュのピンをショートさせ 文鎮化したデバイスをリセット ) 1. 逆アセンブラにロード ( 落とし穴 : MMU と同じようなメモリバンキング ). 経験則を当てはめる. 関数の開始位置と関数を呼び出すインストラクションのメモリアドレスを突き合わせる. ディスクリプタなどの既知の USB のビットフィールドを見つける 1. 通常のリバースエンジニアリング手法でフックポイントを見つける 1. ファームウェアにフックを追加して 機能を追加および変更 2. 専用のリンカスクリプトで C とアセンブラコードをコンパイルし 元のファームウェアの未使用部分に追加 標的になりうるデバイスここでは USB メモリを対象にしているが 同じアプローチは他のデバイスにも有効 外付けハードディスク ウェブカメラ キーボード おそらく他にも多数 8

9 アジェンダ USB の概要 USB デバイスの再プログラミング USB 攻撃のシナリオ 防御と次のステップ 9

10 デモ 2 USB メモリに感染した Windows で Linux を乗っ取る 10

11 感染と特権上昇に必要なのはキーボードエミュレーションだけ ( ソフトウェアの脆弱性は不要 ) 問題 Linux マルウェアは一般ユーザの権限で実行されるが 他の USB メモリに感染を広げるには root 権限が必要 解決策 sudo で使うパスワードをスクリーンセーバーで奪取 LD_PRELOAD でパスワード盗聴プログラムをリンクしたスクリーンセーバー ( もしくは policykit) を起動 ユーザがパスワードを入力し スクリーンロックを解除 マルウェアはパスワードを盗聴し sudo で root 権限を奪取 この特権上昇モジュールは Metasploit に投稿予定 11

12 デモ 3 USB メモリで Windows の DNS を変更 12

13 USB の DHCP によるネットワーク通信の転送 偽の USB イーサネットアダプタが DHCP で DNS 設定を変更 DNS クエリは攻撃者の DNS サーバへ 攻撃ステップ 1.USB メモリがイーサネットアダプタを偽装 2.DHCP リクエストにはデフォルトゲートウェイは変更せず インターネット上の DNS サーバのアドレスを返す 結果 1. インターネット通信は通常の WiFi 接続を通じて行われる 2. しかし DNS クエリは USB メモリが指定した DNS サーバに送られ リダイレクト攻撃が成立 13

14 ボーナス : 仮想マシンの脱獄 1. ゲストの仮想マシンが USB デバイスを書き換え (SCSI コマンドを使う ) ゲスト仮想マシン ホスト 1.USB デバイスが別のデバイスとしてホストマシンに接続 1.USB デバイスがキー入力を偽装 DNS 設定の変更 14

15 デモ 4 Android で Windows マシンのデータをリダイレクト 15

16 そのパソコンでスマートフォンを充電してもらえないかな Android フォンが USB 攻撃のもっとも身近なプラットフォームに USB イーサネットアダプタが DHCP でデフォルトゲートウェイを変更 コンピュータからのインターネット通信はすべてスマートフォン経由に Preparation Android デバイスの Ethernet-over-USB 機能はほとんど設定を必要としない 攻撃 スマートフォンがデフォルトゲートウェイになり すべてのインターネット通信を傍受 srlabs.de/badu sb で実証コードを公開 第二要素認証によるハッキングウイルスに感染したスマートフォンは USB 接続したコンピュータにキーボードエミュレーションで侵入可能これによりオンラインバンキングの 二要素認証 セキュリティモデルを崩せる 16

17 ブートセクタウイルス : USB バージョン OS と BIOS のフィンガープリンティングパッチを当てた USB メモリファームウェアは USB まわりの挙動で Windows/Ma c/linux および BIOS を区別可能 OS やアンチウイルスからルートキットを隠す OS がアクセスしても見えるのは USB の内容のみ ブート時にマシンへ感染 BIOS が USB メモリにアクセスすると見えるのは Linux で ルートキットが起動してマシンに感染し USB メモリのファイルからブート USB メモリには Linux のインストールイメージなど 隠された Linux イメージ 17

18 USB による攻撃のバリエーションは多数 これまでに紹介した攻撃手法 キーボードエミュレーション ネットワークカードの偽装 USB ブートセクタ ウイルス 考えられる攻撃手法 USB メモリや外付けハードディスクにデータを隠蔽 書き込みデータの書き換え PC BIOS のアップデート ディスプレイの偽装 結果 外部ストレージはファイルを削除するかわりに隠してしまうことができる ストレージに追加されるファイルにウイルスを追加 アンチウイルスソフトウェアが最初にアクセスするとオリジナルのファイルが見えるが その後のアクセスではウイルスに ブート時にキーボードをエミュレートし USB メモリに隠された別の BIOS をインストール USB ディスプレイをエミュレートし CAPTCHAS や乱数表などのセキュリティ情報を取得 18

19 アジェンダ USB の概要 USB デバイスの再プログラミング USB 攻撃のシナリオ 防御と次のステップ 19

20 USB 攻撃に対する効果的な防御は存在しない 防御方法 USB デバイスのホワイトリス 重要なデバイスクラスもしくは USB そのものをブロック デバイスファームウェアのスキャン ファームウェアのアップデートにコード署名を使用 限界 USB デバイスのシリアルナンバーは必ずしもユニークではない ホワイトリストメカニズムを持つ OS は ( まだ ) 存在しない 当然ながら ユーザビリティに大きな影響を与える 非常に基本的なデバイスクラスでも悪用可能で それらをブロックするとほとんどの USB デバイスが使えなくなる 可能だとしても USB デバイスのファームウェアはそのファームウェアを通じてしか読めない 悪意のあるファームウェアは正常なファームウェアとして偽装できる 不適切な実装がファームウェアアップデートを許してしまう可能性は否定できない 小さなマイクロコントローラ上では 強固な暗号技術の実装は困難 既存の膨大なデバイスは脆弱なまま ハードウェアでファームウェアアップデートを無効に 単純で効果的 20

21 USB デバイスの再プログラムには生産的な目的も アイデア 1 データベースクエリの高速化 ホストにデータを返す前に ( もしくは返す代わりに )USB メモリ上でデータをパース A5/1 レインボーテーブルの参照を高速化するのが本来の動機 アイデア 2 低コストなチップの再利用 再プログラム可能なチップを USB ストレージ以外の用途に使用 flowswitch / phison プロジェクトの目的はローコストな USB 3.0-FPGA インターフェースの作成 21

22 BadUSB の責任の所在は曖昧 チップベンダーの反応はない 機器メーカーの反応はない OS ベンダーの反応はない 修正はまだ提供されていない 一番話題になっている Phison は改良したチップをすでに提供しているとするが 顧客は積極的に新チップを選択していない 他ベンダーは何の声明も出していない 影響を受けるベンダーでパッチやアドバイザリを公表したベンダーはない OS の実装サイドにも解決に向けた動きはない 例外は USB エニュメレーションを無効にする機能を実装した FreeBSD のみ v s. BadUSB マルウェアは現実的な脅威になりつつある Adam Caudill と Brandon Wilson は Phison の USB コントローラを標的にしたエクスプロイトを 9 月に開催された Dabycon で発表 回避策として公表されたのは GData の Keyboard Guard のみ 22

23 まとめ USB デバイスは多様な感染経路になりうる USB やその他の方法で感染すると マルウェアは USB デバイスをデータの隠し場所にすることができ マルウェアの駆除を無効化できる コントローラが再プログラム可能な USB デバイスは共用すべきではない ご質問は? 23