사악한 가정부 공격

Evil maid attack
표시된 노트북과 같은 무인 장치는 사악한 가정부 공격의 위험에 처해 있음

사악한 가정부 공격은 물리적 접근을 한 공격자가 나중에 장치나 그 위에 있는 데이터에 접근할 수 있도록 감지할 수 없는 방식으로 장치를 변경하는 무인 장치를 공격하는 것이다.

하녀가 호텔 객실에 방치된 기기를 전복시킬 수 있는 시나리오를 지칭하지만, 이 개념 자체가 공항이나 법 집행 요원에 의해 임시로 빼앗기거나 운송 중에 기기를 가로채는 등의 상황에도 적용된다.

개요

기원

2009년 한 블로그 게시물에서 보안 분석가 조안나 러트코프스카는 "Evil Maid Attack"이라는 용어를 만들어냈다. 호텔 방이 기기를 방치하는 흔한 장소이기 때문이다.[1][2]게시물에는 외부 USB 플래시 드라이브를 통해 무인 컴퓨터에서 펌웨어를 손상시키는 방법이 자세히 나와 있어 TrueCrypt 디스크 암호화를 우회하는 방법이 나와 있다.[2]

컴퓨터 보안 전문가인 디프리즈는 2011년 처음으로 안드로이드 스마트폰에 대한 사악한 가정부 공격 가능성을 언급했다.[1]그는 WhisperCore Android 배포와 안드로이드들에게 디스크 암호화를 제공하는 능력에 대해 이야기했다.[1]

공신력

2007년 카를로스 구티에레스 전 미국 상무장관이 중국 출장 중 악녀 공격을 당한 것으로 알려졌다.[3]그는 베이징에서 무역 담판을 하는 동안 컴퓨터를 방치했고, 그의 장치가 손상되었다고 의심했다.[3]아직 혐의가 확인되거나 부인되지는 않았지만 이번 사건으로 미국 정부는 물리적 공격을 더욱 경계하게 됐다.[3]

2009년, 시만텍 CTO 마크 브레그먼은 몇몇 미국 기관으로부터 중국으로 여행하기 전에 자신의 기기를 미국에 두고 가라는 조언을 받았다.[4]그는 떠나기 전에 새 것을 사고, 데이터를 회수하려는 물리적인 시도가 효과가 없게끔 그것들을 처분하라는 지시를 받았다.[4]

공격방법

클래식 악녀

공격은 피해자가 자신의 기기를 방치하면서 시작된다.[5]그러면 공격자는 시스템을 조작할 수 있다.피해자의 기기에 비밀번호 보호나 인증이 없는 경우 침입자는 컴퓨터를 켜고 즉시 피해자의 정보에 접근할 수 있다.[6]그러나 전체 디스크 암호화와 마찬가지로 장치가 암호로 보호되는 경우 장치의 펌웨어가 손상되어야 하며 일반적으로 외장 드라이브로 수행되어야 한다.[6]손상된 펌웨어는 종종 피해자에게 원본과 동일한 가짜 비밀번호 프롬프트를 제공한다.[6]일단 암호를 입력하면 손상된 펌웨어가 공격자에게 암호를 전송하고 재부팅 후 스스로 제거한다.[6]공격이 성공적으로 완료되려면 공격자가 두 번째로 무인화된 후 다시 디바이스로 돌아와 현재 액세스 가능한 데이터를 도용해야 한다.[5][7]

공격의 또 다른 방법은 물리적 주소 공간에 직접 연결되는 하드웨어 장치를 통해 공격자가 피해자의 정보에 접근하는 DMA 공격을 통해서이다.[6]공격자는 정보에 접근하기 위해 하드웨어 장치에 연결하기만 하면 된다.

네트워크 사악한 가정부

참고 항목: 피싱

사악한 가정부 공격은 희생자의 장치를 동일한 장치로 교체하는 것으로도 행해질 수 있다.[1]원래 장치에 부트로더 암호가 있는 경우 공격자는 부트로더 암호 입력 화면이 동일한 장치만 획득하면 된다.[1]그러나 장치에 잠금화면이 있으면 공격자가 배경화면을 획득해야 모방장치의 잠금화면에 부착할 수 있기 때문에 과정은 더욱 어려워진다.[1]어느 경우든 피해자가 허위장치에 비밀번호를 입력하면 장치는 원래장치의 소유자인 공격자에게 비밀번호를 보낸다.[1]그러면 공격자는 피해자의 데이터에 접근할 수 있다.[1]

취약한 인터페이스

레거시 BIOS

레거시 BIOS는 사악한 가정부 공격에 대해 불안정한 것으로 간주된다.[8]아키텍처는 오래되고, 업데이트와 옵션 ROM서명되지 않으며, 구성은 보호되지 않는다.[8]또한 보안 부팅을 지원하지 않는다.[8]이러한 취약성으로 인해 공격자는 외장 드라이브에서 부팅하여 펌웨어를 손상시킬 수 있다.[8]그런 다음 손상된 펌웨어를 구성하여 공격자에게 원격으로 키 입력을 보낼 수 있다.[8]

유니파이드 확장 펌웨어 인터페이스

UEFI(Unified Extensible Firmware Interface)는 사악한 가정부 공격의 완화에 필요한 많은 기능을 제공한다.[8]예를 들어, 보안 부팅, 부팅 시 인증된 변수, TPM 초기화 보안을 위한 프레임워크를 제공한다.[8]이러한 이용 가능한 보안 대책에도 불구하고 플랫폼 제조사는 이를 사용할 의무가 없다.[8]따라서 이러한 미사용 기능이 공격자가 장치를 이용할 수 있게 할 때 보안 문제가 발생할 수 있다.[8]

전체 디스크 암호화 시스템

TrueCrypt, PGP 전체 디스크 암호화와 같은 많은 전체 디스크 암호화 시스템은 사용자 자신을 인증할 수 없기 때문에 사악한 가정부 공격에 취약하다.[9]공격자는 장치의 전원이 꺼지고 암호화된 상태에서도 디스크 내용을 수정할 수 있다.[9]공격자는 암호화 시스템의 로더 코드를 수정하여 피해자의 암호를 도용할 수 있다.[9]

부트 로더와 운영 체제 간에 통신 채널을 생성하여 FileVault 2로 보호되는 디스크의 암호를 원격으로 도용하는 기능도 살펴본다.[10]MacOS 시스템에서 이 공격은 사용자 계정 암호가 FileVault 암호 역할도 하는 "password Forwarding" 기술로 인해 추가적인 함의가 있어 권한 상승으로 추가 공격 표면을 가능하게 한다.

Thunderbolt

주요 기사:Thunderspy

2019년에는 많은 PC에서 발견된 Intel Thunderbolt 포트에서 "Thunderclap"이라는 취약성이 발표되어 불량 행위자가 DMA(Direct Memory Access)를 통해 시스템에 액세스할 수 있게 되었다.이는 입출력 메모리 관리 장치(IOMMU)를 사용함에도 불구하고 가능하다.[11][12]이 취약성은 주로 판매업자들에 의해 해결되었다.이는 2020년에 "Thunderspy"가 추적할 수 없고 DMA의 유사한 공격이 모든 보안 기능을 우회하여 시스템에 대한 전체 액세스 권한을 획득할 수 있다고 믿어지는 "Thunderspy"가 그 뒤를 이었다.[13]

무인 장치

어떤 무인 장치라도 네트워크 사악한 가정부 공격에 취약할 수 있다.[1]공격자가 피해자의 장치를 충분히 잘 알고 있다면, 그들은 암호 스털링 메커니즘으로 피해자의 장치를 동일한 모델로 교체할 수 있다.[1]따라서 피해자가 비밀번호를 입력하면 공격자에게 즉시 이를 통지하고 도난당한 기기의 정보에 접근할 수 있게 된다.[1]

완화

탐지

한 가지 접근방법은 누군가가 무인 장치에 가까이 있거나 취급하고 있다는 것을 감지하는 것이다.근접경보, 동작감지기경보, 무선카메라 등을 이용해 공격자가 기기 근처에 있을 때 피해자에게 경고할 수 있어 사악한 가정부 공격의 기습인자를 무효로 할 수 있다.[14]헤이븐 안드로이드 앱2017년 에드워드 스노든이 이 같은 모니터링을 하고 그 결과를 사용자의 스마트폰에 전송하기 위해 만든 앱이다.[15]

위와 같은 기술이 없는 경우 나사 구멍 위에 글리터 매니큐어를 붙이는 저비용 솔루션을 포함하여 다양한 종류의 조작 방지 기술을 사용하여 장치가 분해되었는지 여부를 감지할 수 있다.[16]

공격이 의심되면, 피해자는 악성코드가 설치되었는지 확인하기 위해 그들의 장치를 검사할 수 있지만, 이것은 어려운 일이다.제안된 접근방식은 선택한 디스크 섹터와 파티션의 해시를 확인하는 것이다.[2]

예방

장치가 항상 감시 대상일 경우 공격자는 사악한 가정부 공격을 수행할 수 없다.[14]장치를 방치할 경우 공격자가 장치에 물리적으로 접근할 수 없도록 잠금 상자 안에 장치를 둘 수도 있다.[14]다만, 공항이나 법 집행 요원에 의해 기기가 일시적으로 빼앗기는 등의 상황이 있을 것이다.

최신 펌웨어를 갖추고 방치하기 전에 장치를 종료하는 등의 기본적인 보안 조치는 레거시 아키텍처의 취약점을 악용하는 공격과 외부 장치를 개방 포트로 허용하는 공격을 각각 방지한다.[5]

TRESOR, Loop-Amnessory와 같은 CPU 기반 디스크 암호화 시스템은 DMA 공격이 시스템 메모리에 유출되지 않도록 보장하여 데이터가 DMA 공격에 취약하지 않도록 방지한다.[17]

TPM 기반 보안 부트는 사용자에게 장치를 인증함으로써 사악한 가정부 공격을 완화하는 것으로 나타났다.[18]사용자가 정확한 암호를 부여하고, 단말기에서 허가받지 않은 코드가 실행되지 않은 것으로 측정했을 경우에만 잠금 해제하는 방식으로 이를 수행한다.[18]이러한 측정은 마이크로소프트의 BitLocker와 인텔의 TXT 기술과 같은 신뢰 시스템에 의해 수행된다.[9]Anti Evil Maid 프로그램은 TPM 기반 보안 부팅을 기반으로 구축되며, 사용자에 대한 기기 인증을 추가로 시도한다.[1]

참고 항목

참조

  1. ^ a b c d e f g h i j k l Gotzfried, Johannes; Muller, Tilo. "Analysing Android's Full Disk Encryption Feature" (PDF). Innovative Information Science And Technology Research Group. Retrieved October 29, 2018.
  2. ^ a b c Rutkowska, Joanna (2009-10-16). "The Invisible Things Lab's blog: Evil Maid goes after TrueCrypt!". The Invisible Things Lab's blog. Retrieved 2018-10-30.
  3. ^ a b c "Did Chinese hack Cabinet secretary's laptop?". msnbc.com. 2008-05-29. Retrieved 2018-10-30.
  4. ^ a b Danchev, Dancho. "'Evil Maid' USB stick attack keylogs TrueCrypt passphrases ZDNet". ZDNet. Retrieved 2018-10-30.
  5. ^ a b c "F-Secure's Guide to Evil Maid Attacks" (PDF). F-Secure. Retrieved October 29, 2018.
  6. ^ a b c d e "Thwarting the "evil maid" [LWN.net]". lwn.net. Retrieved 2018-10-30.
  7. ^ Hoffman, Chris. "What Is an "Evil Maid" Attack, and What Does It Teach Us?". How-To Geek. Retrieved 2020-11-21.
  8. ^ a b c d e f g h i Bulygin, Yuriy (2013). "Evil Maid Just Got Angrier" (PDF). CanSecWest. Retrieved October 29, 2018.
  9. ^ a b c d Tereshkin, Alexander (2010-09-07). "Evil maid goes after PGP whole disk encryption". Proceedings of the 3rd international conference on Security of information and networks - SIN '10. ACM. p. 2. doi:10.1145/1854099.1854103. ISBN 9781450302340. S2CID 29070358.
  10. ^ Boursalian, Armen; Stamp, Mark (19 August 2019). "BootBandit: A macOS bootloader attack". Engineering Reports. 1 (1). doi:10.1002/eng2.12032.
  11. ^ Staff (26 February 2019). "Thunderclap: Modern computers are vulnerable to malicious peripheral devices". Retrieved 12 May 2020.
  12. ^ Gartenberg, Chaim (27 February 2019). "'Thunderclap' vulnerability could leave Thunderbolt computers open to attacks - Remember: don't just plug random stuff into your computer". The Verge. Retrieved 12 May 2020.
  13. ^ Ruytenberg, Björn (17 April 2020). "Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020" (PDF). Thunderspy.io. Retrieved 11 May 2020.
  14. ^ a b c Danchev, Dancho. "'Evil Maid' USB stick attack keylogs TrueCrypt passphrases ZDNet". ZDNet. Retrieved 2018-10-30.
  15. ^ Shaikh, Rafia (2017-12-22). "Edward Snowden Now Helps You Turn Your Phone into a "Guard Dog"". Wccftech. Retrieved 2018-10-30.
  16. ^ "Evil Maid attacks could allow cybercriminals to install a firmware backdoor on a device in just minutes Cyware". Cyware. Retrieved 2018-10-30.
  17. ^ Blass, Erik-Oliver; Robertson, William (2012-12-03). TRESOR-HUNT: attacking CPU-bound encryption. ACM. pp. 71–78. doi:10.1145/2420950.2420961. ISBN 9781450313124. S2CID 739758.
  18. ^ a b Rutkowska, Joanna (October 2015). "Intel x86 considered harmful". S2CID 37285788. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)