通常のコンピュータマウス内部に悪意のあるコード実行機能を偽装する、新しいハードウェアベースの脅威が出現しました。
「EvilMouse」と名付けられたこの隠密キーストロークインジェクターは、わずか44ドルの部品で日常的な周辺機器が強力な攻撃ツールになりうることを実証しています。
EvilMouseは、よく知られたUSB Rubber Ducky侵入テストツールと同様に動作します。
しかし、重要な違いがあります。悪意のある機能を隠しながら、完全なマウス機能を維持しています。
ターゲットシステムに接続されると、デバイスは数秒以内にマシンを侵害するために、事前にプログラムされたコマンドを自律的に実行します。
このコンセプトは、セキュリティ意識における重要なギャップを悪用しています。ほとんどの従業員はUSBフラッシュドライブを潜在的な脅威として認識していますが、機能するマウスは無害に見え、疑念を抱かせません。
技術的構造
このデバイスは、RP-2040 Zeroマイクロコントローラー(3ドル)、USBハブブレイクアウトボード(5ドル)、標準的なAmazon Basicsマウス(6ドル)など、いくつかの手頃な価格のコンポーネントを組み合わせています。
作成者は、指定された攻撃者制御のホストにWindowsアンチウイルス安全なリバースシェルを配信するCircuitPythonでカスタムファームウェアをプログラムしました。
EvilMouseの構築には、コンパクトなマウスシェル内のスペース制約を克服する必要がありました。作成者はプラスチックのリブを取り除き、USBブレイクアウトボードへの接続を慎重にはんだ付けし、絶縁にKaptonテープを使用しました。
セキュリティ研究者Jonah Owenによると、組み立てプロセス全体は重大なはんだ付けの課題を提示しましたが、最終的には成功しました。
テストでは、デバイスは接続から数秒以内に管理者レベルのシステムアクセスを提供しました。
ターゲットコンピュータに接続されると、EvilMouseは攻撃者のマシンへのリバースシェル接続を確立し、侵害されたシステムの完全な制御を付与しました。
攻撃は静かに実行され、標準的なアンチウイルスソフトウェアをバイパスします。
セキュリティへの影響
この概念実証は、ハードウェア信頼の前提における脆弱性を浮き彫りにしています。従来のセキュリティトレーニングは疑わしいUSBドライブに焦点を当てていますが、一見正当に見える周辺機器を見落としています。
高度な永続化メカニズムは、最初の検出後もアクセスを維持できる可能性があります。
作成者は、このツールが教育目的で開発されたものであり、悪意のある使用については責任を負わないことを強調しています。
オープンソースコードは、セキュリティ研究者が研究し、対策を開発するためにGitHubで入手可能です。
組織は、すべての周辺機器デバイスを潜在的な脅威として扱う厳格なハードウェアポリシーを実装する必要があります。
USBポートロック、異常なHID動作を監視するエンドポイント検出システムの使用、新しいデバイス接続に管理者の承認を要求することを検討してください。
定期的なセキュリティ意識向上トレーニングは、USBドライブを超えてすべての外部ハードウェアを含むように拡大する必要があります。
この44ドルの攻撃は、高度なシステム侵害には高価なツールは必要なく、創造性と基本的な電子工学の知識だけで十分であることを示しています。
翻訳元: https://gbhackers.com/44-evilmouse-malware/
