Güvenilmeyen bir USB sürücüyü takma ve tarama tehlikesi nedir?


132

Birinin bazı dosyaları USB belleğine kopyalamamı istediğini varsayalım. AutoRun devre dışı bırakılmış (Grup İlkesi ile) tamamen yamalı Windows 7 x64 kullanıyorum. USB sürücüsünü yerleştiriyorum, Windows Gezgini'nde açıyorum ve bazı dosyaları kopyaladım. Var olan dosyaların hiçbirini çalıştırmıyorum veya görüntülemiyorum. Bunu yaparsam ne kötü şeyler olabilir?

Peki ya bunu Linux'ta yaparsam (diyelim, Ubuntu)?

Benim aradığım unutmayınız detaylar arasında belirli riskleri (varsa) değil, "Bunu yapmazsanız daha güvenli olurdu".


6
Dizin listesine bakmak bir risk olabilir. Kötü amaçlı bir PDF'yi Adobe okuyucunun eski yamalı sürümünde açmak büyük bir risk olabilir. Bazı durumlarda, bir resim önizlemesi veya bir dosya simgesi bile bir istismar içerebilir.
david25272

12
@ david25272, bir dizin listesine bakmak bile riskli olabilir .
tanr,

5
Bir yabancıyla asansöre
binmek

59
Uranyum santrifüjünüzü
bozabilirsiniz

1
@tangrs, aradığım şeyin türüne harika bir örnek. Neden cevap olarak göndermediniz?
EM0

Yanıtlar:


45

Daha az etkileyici bir şekilde, GUI dosya tarayıcınız genellikle küçük resimler oluşturmak için dosyaları arayacaktır. Sisteminizde çalışan herhangi bir pdf tabanlı, ttf tabanlı, (burada turing özellikli dosya türünü ekleyin) tabanlı bir kullanım, dosyayı düşürerek ve küçük resim oluşturucu tarafından taranmasını bekleyerek potansiyel olarak pasif olarak başlatılabilir. Bununla ilgili bildiğim istismarların çoğu Windows için geçerli, ancak libjpeg için yapılan güncellemeleri hafife almıyorlar.


1
Bu bir olasılık, yani +1. Windows Gezgini (veya Nautilus), küçük resimleri hiç görmeseniz de bunu yapar mı?
EM0

1
@EM Olabilir - explorer'ın son sürümleri, örneğin, bu alt klasörler hiçbir zaman küçük resimler göstermeyecek şekilde ayarlanmış olsalar bile, kökteki güzel klasör simgeleri için alt klasörlerde küçük resimler oluşturabilir.
03'te 03

Ya da belki küçük resimleri görüntülemek için çalışmayın, fakat meta veri ziyade bir çeşit
O Brezilyalı Guy

1
Bu USB bağlantılı bir dosya sistemine özgü değildir. Bir dosya tarayıcısının bir güvenlik açığı varsa, bilgisayarınıza indirilen veya e-posta ekleri veya tarayıcı yoluyla indirilenler gibi başka yollarla bilgisayarınıza da indirilmiş olabilir.
HRJ

186

Olabilecek en kötüsü, yalnızca saldırganın hayal gücü ile sınırlıdır. Paranoyak olacaksanız, herhangi bir cihazı fiziksel olarak sisteminize bağlamak, bunun tehlikeye girebileceği anlamına gelir. Şüphesiz ki bu cihaz basit bir USB çubuğa benziyorsa.

Ya bu ise? görüntü tanımını buraya girin

Yukarıda gösterilen, normal bir kalem sürücüye benzeyen ancak bilgisayarınıza keyfi tuş vuruşları sağlayabilen küçük bir cihaz olan meşhur USB lastik kazası . Temel olarak, istediğini bir klavye olarak kaydettirdiği ve istediği tuş sırasına girdiği için istediği gibi yapabilir. Bu tür bir erişim sayesinde, her türlü kötü şeyi yapabilir (ve bu Google’da bulduğum ilk hit). Şey yazı yazılabilir, gökyüzü sınırdır.


11
Güzel, +1! Aklımdaki senaryoda, USB çubuğunun gerçek bir depolama aygıtı olduğu biliniyor ve bilgisayarımı kötü amaçlı bir şekilde etkilememesi için bana veren kişiye güveniyorum . (Çoğunlukla bir virüsün kurbanı olabileceğinden endişe duyuyorum.) Fakat bu, göz önünde bulundurmadığım ilginç bir saldırı. Sanırım böyle bir klavye öykünücüsü varken garip bir şeylerin olduğunu farkedeceğim, ama daha gizli yollar olabilir ...
EM0

3
Bu cevabı onaylıyorum. OP'yi düşündürür :)
Steve

31
+1 "Olabilecek en kötüsü, yalnızca saldırganın hayal gücü ile sınırlıdır."
14'te Yeni

9
Hak5 - okunaklı görünüyor!
david25272

5
Görünüşe göre USB bağlantı protokolü eski PS / 2 port protokolüne oldukça benziyor, bu yüzden USB genellikle Fare ve Klavyeler için kullanılıyor. (Tabii ki yanlış olabilirim - bunu çoğunlukla kayıplı sıkıştırma özelliğine sahip kendi hafızamdan
kazıyorum

38

Diğer bir tehlike, Linux'un bir şeyi monte etmeye çalışacağıdır (şaka burada bastırılmış) .

Dosya sistemi sürücülerinin bazıları hatasız değildir. Bu, bir hacker'ın squashfs, minix, befs, cramfs veya udf'ta bir böcek bulabileceği anlamına gelir. Sonra bu hacker, Linux çekirdeğini ele geçirmek ve bu USB sürücüye koymak için bu hatayı kullanan bir dosya sistemi yaratabilir.

Bu teorik olarak Windows'ta da olabilir. FAT veya NTFS veya CDFS veya UDF sürücüsündeki bir hata, Windows'u devralmaya açabilir.


+1 Bu temiz ve tamamen mümkün bir istismar olur
steve

17
Daha ileride bir seviye var. Sadece dosya sistemlerinde hata yok, aynı zamanda USB yığınının hepsinde de hata var ve çekirdekte çalışan bir sürü var.
Sahte Adı

4
Üstelik USB kontrol cihazınızın donanım yazılımı bile, kullanılabilecek zayıf yönlere sahip olabilir. Yalnızca aygıt numaralandırma düzeyinde bir USB çubuğu ile Windows'a çarpma bir yararlanma oldu .
sylvainulg

7
"Herhangi bir şeyi bağlamaya çalışırken linux" gelince, bu sistemin varsayılan davranışı değildir, ancak proaktif olarak bağlanmaya çalışan dosya gezgini ile bağlantılıdır. Spelunking manpages'ın bunun nasıl etkisizleştirileceğini ve “sadece talep üzerine monte edilmeye” geri döndüğünden eminim.
sylvainulg

5
Hem Linux hem de Windows her şeyi monte etmeye çalışır. Tek fark Linux'un başarılı olabileceği. Bu, sistemin bir zayıflığı değil, bir gücüdür.
terdon

28

Linux OR Windows için otomatik olarak çalışan bir komut dosyası hazırlamama izin veren ve kötü amaçlı yazılımımı ilk taktığınız anda otomatik olarak çalıştıran birkaç güvenlik paketi var. En iyisi, güvenmediğiniz cihazları takmamak!

Aklımda, istediğim her tür çalıştırılabilir dosyaya ve hemen hemen her işletim sistemi için kötü amaçlı yazılım ekleyebilirim. Otomatik çalıştırma devre dışı bırakıldığında, güvende olmanız gerekir, ama TEKRAR, şüphesiz en ufak bir parça olduğum cihazlara güvenmiyorum.

Bunun neler yapabileceğini gösteren bir örnek için, Sosyal-Mühendis Araç Seti'ne (SET) bakınız .

Gerçekten güvenli olmanın tek yolu, sabit sürücünüzün fişini çektiğinizde canlı bir Linux dağıtımını başlatmaktır. Ve USB sürücüyü takın ve bir göz atın. Bunun dışında, zar atıyorsun.

Aşağıda önerildiği gibi, ağı devre dışı bırakmanız gerekir. Sabit sürücünüzün güvende olup olmadığını ve tüm ağınızın güvenliğini aşmasına yardımcı olmaz. :)


3
AutoRun devre dışı bırakılsa bile, hala bazı gerçeklerden faydalanan var olan istismarlar var. Tabii ki bir Windows makinesine bulaşmanın daha iyi yolları var. Her gün silinen ve yeniden başlatılırsa bilinen bir yapılandırmaya geri yüklenen bu göreve algılanan donanımdaki bilinmeyen flash sürücüleri taramak en iyisidir.
Ramhound

2
Son öneriniz için, Live CD örneği etkilenirse, ağ bağlantısını kesmeyi de dahil etmek isteyebilirsiniz, ağda bulunan diğer makinelere daha kalıcı bir etki yaratabilir.
Scott Chamberlain

6
Ramhound, bahsettiğin istismarların örneklerini görmek isterdim (muhtemelen şu ana kadar yamalı!) Bazılarını cevap olarak gönderebilir misin?
EM0

5
@EM, bir süre önce simgenin bir kısayol dosyasında (.lnk dosyası) görüntülenme konusundaki güvenlik açığından yararlanan sıfır günlük bir istismar oldu . Sadece kısayol dosyasını içeren klasörü açmak, istismar kodunu tetiklemek için yeterlidir. Bir bilgisayar korsanı kolayca USB sürücüsünün köküne böyle bir dosya koyabilirdi, böylece açtığınızda, istismar kodu çalışacaktı.
Tanr,

4
> SADECE güvenli olmanın tek yolu, canlı bir Linux dağıtımını başlatmaktır, sabit sürücünüz takılı değilken… - hayır, haydut bir yazılım ürün yazılımını da etkileyebilir. Bugünlerde çok iyi korunmuyorlar.
Sarge Borsch

23

USB bellek aslında oldukça şarjlı bir kondansatör olabilir ... Modern anakartların bu tür sürprizlerden korunup korunmadığından emin değilim, ancak dizüstü bilgisayarımda kontrol etmem. (teorik olarak tüm cihazları yakabilir)

Güncelleme:

bu cevaba bakınız: https://security.stackexchange.com/a/102915/28765

ve ondan video: YouTube: USB Killer v2.0 testi.


3
Evet onlar yapar. Hemen hemen hepsinde küçük sıfırlanabilen sigortalar var. Bu electronics.stackexchange.com/questions/66507/… biraz ilginç buldum .
Zan Lynx,

Bu video ruhumu acıtıyor.
k.stm

6

Bir klasör açtığımızda bazı zararlı yazılımlar / virüsler devreye giriyor. Bilgisayar korsanı, Windows (veya Wine ile Linux ) özelliğini kullanarak, bazı dosyaların (örneğin .exe, .msi veya .pif dosyalarının, hatta kötü amaçlı yazılım simgesinin bulunduğu klasörlerin) bir simge / minik resmi yapmaya başlar. Klasör. Bilgisayar korsanı, kötü amaçlı yazılımın harekete geçmesini sağlamak için programlarda (küçük resim oluşturan program gibi) bir hata bulur.

Bazı hatalı cihazlar donanımınızı , özellikle anakartı ve çoğu zaman sessizce öldürebilir , bu yüzden farkında olmayabilir.


5

Görünüşe göre basit bir USB cihazı tüm anakartı bile kızartır:

"Koyu Mor" olarak bilinen bir Rus güvenlik araştırmacısı, alışılmadık bir yük içeren bir USB bellek oluşturdu.

Kötü amaçlı yazılım yüklemez veya sıfır günlük bir güvenlik açığından yararlanmaz. Bunun yerine, özelleştirilmiş USB çubuğu USB arayüzünün sinyal hatlarından donanımları kızartıp 220 Volt (teknik olarak eksi 220 Volt) gönderir.

https://grahamcluley.com/2015/10/usb-killer/


3

Olabilecek en kötü şey kötü BadBios enfeksiyonu. Bu, USB Ana Bilgisayar denetleyicinizi, işletim sisteminizden bağımsız olarak bilgisayarınıza bağlayarak bozar. Sınırlı sayıda USB yonga üreticisi vardır ve bu nedenle hepsini kullanmak çok da zor değil.

Tabii ki herkes BadBios gerçek olduğuna inandığını, ancak olan bir USB sürücü takarak bilgisayarınıza başına gelebilecek en kötü şey.


Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.