GN⁺: "Evil" RJ45 동글 조사

 (lcamtuf.substack.com)
1P by neo 1달전 | ★ favorite | 댓글 1개

"악성" RJ45 동글 조사

  • 하드웨어 리버스 엔지니어링
    하드웨어 리버스 엔지니어링은 어려울 수 있지만, 때로는 편안한 의자와 Google 번역만으로도 충분함.

  • 공급망 공격의 현실
    정보 보안에서 공급망 공격은 복잡하고 위험하며, 대개 다른 방법이 없을 때 사용됨. 대부분의 경우, 자격 증명을 훔치거나 악성 파일을 다운로드하게 하는 것이 더 쉬움.

  • 소셜 미디어의 소동
    한 젊은 기업가가 중국에서 구매한 이더넷-USB 어댑터가 악성 소프트웨어로 가득 차 있다고 주장하며 소셜 미디어에서 화제를 모음. 그러나 이는 잘못된 정보로 밝혀짐.

  • 드라이버 분석
    문제의 드라이버는 CoreChips Shenzhen의 RJ45-to-USB 칩용 드라이버로, 공개적으로 서명된 버전임. 이는 Realtek RTL8152B의 복제품으로 추정됨.

  • 역사적 맥락
    드라이버는 2013년에 발표된 오래된 디자인을 기반으로 하며, 당시에는 CD-ROM 드라이브가 점차 사라지고 있었지만 모든 컴퓨터가 항상 온라인 상태가 아니었음. 따라서 장치가 자체 드라이버를 포함한 대용량 저장 장치로 나타나는 것이 합리적이었음.

  • 플래시 메모리의 역할
    장치에 512 kB의 플래시 메모리가 필요한 이유에 대한 의문이 제기됨. 이는 펌웨어 저장용인지, 아니면 다른 용도인지 불분명함.

  • SR9900의 설계 자료
    SR9900의 설계 자료를 통해 플래시 칩이 가상 광학 드라이브로 사용될 수 있음을 확인함. 이는 드라이버 설치를 위한 용도로 사용됨.

  • 결론
    이상한 것이 항상 나쁜 것은 아님. 하드웨어 실험실 없이도 인내심과 검색 능력만으로 충분히 조사 가능함. 그러나 SR9900 IC 자체의 내부 코드는 여전히 미지수로 남아 있음.

  • 보안 우려
    특정 상황에서는 악성 USB 동글의 위험이 있을 수 있지만, 일반적인 가정 네트워킹에서는 큰 걱정이 필요하지 않음.

neo 1달전  [-]
Hacker News 의견

  • Intel Pentium 166MHz 이상의 사양이 필요하다는 언급이 재미있음. "지루한 똑똑한 사람이 상식적으로 명백한 결과를 얻기 위해 놀라운 창의력과 끈기를 발휘하는" 장르를 좋아함

    • "Evil" 동글에 대한 트윗을 보고 자신이 이전에 작업했던 것과 동일한 것임을 인식함. 이는 악의적이지 않고 단지 성가신 것임
    • SPI 플래시 모듈을 비활성화하여 CD 드라이브로 나타나지 않도록 했으며, 이 게시물의 작성자는 SPI가 선택 사항임을 문서에서 발견함. 이 게시물은 실제로 RJ45 동글을 재플래싱하여 "악의적"으로 만들 수 있는 도구를 제공함

  • USB 장치가 자체 드라이버를 제공하기 위해 저장 장치로 위장하는 것을 높이 평가함. 요즘에는 Microsoft 서버에 업로드하여 필요한 것을 다운로드하는 것이 "올바른" 방법일 수 있지만, 수동으로 드라이버를 설치해야 하는 경우가 많음을 관찰함

    • 주변 장치가 부트스트랩을 돕는 것이 영리하다고 생각하며, 장치에 드라이버가 내장되어 있으면 표준 다운로드 소스를 찾는 것보다 더 쉬움

  • USB 주변 장치 IC에 VID/PID 및 기타 USB 구성 정보를 저장하기 위해 작은 플래시 장치를 부착하는 것이 일반적이었음. 512kB가 공급망을 통해 쉽게 구할 수 있는 최소 크기였을 수 있음

    • ISO 방식은 다소 이상하지만, 대량 저장 USB 장치를 제한하는 기업 IT 보안 정책을 피하려는 창의적인 방법임. 복합 장치로 열거되면 USB 드라이브가 잠긴 컴퓨터에서도 드라이버를 설치할 수 있음

  • RJ45를 8P8C라고 불러야 한다고 주장하는 사람의 의견이 있음

  • 저렴한 RJ45 이더넷에서 USB 어댑터가 악성 코드를 포함할 수 있다는 관련 내용이 있음

  • "악의적" USB 이더넷 동글이 존재할 수 있으며, 이는 Hak5의 제품인 LAN Turtle과 관련이 있음

  • 수십 년 전에는 임베디드 저장 장치가 매우 일반적이었으며, 주로 3G USB 모뎀에서 많이 볼 수 있었음. AT 명령어로 활성화/비활성화할 수 있었음

    • "중국 해킹" 이론의 기원은 젊은 사람들이 이러한 오래된 것들에 익숙하지 않다는 것에서 비롯될 수 있음

  • 이더넷 포트에 유해한 연결을 하는 것은 매우 어렵지만, USB 포트에 유해한 연결을 하는 것은 매우 쉬움. 이를 "악의적" USB 동글이라고 부르는 것이 적절함

답변달기