ロックされたPCのログイン情報をUSB接続のネットワークアダプターに偽装したデバイスで取得する方法 23
ストーリー by headless
手間 部門より
手間 部門より
USB接続のネットワークアダプターに偽装したデバイスを用い、ユーザーがログイン後にロックされたPCからログイン情報を取得する方法をセキュリティ研究者のRob Fuller氏(mubix)が検証している(Room362の記事、
The Registerの記事、
Softpediaの記事、
Ars Technicaの記事)。
この方法はUSBデバイス上でResponderを実行することでゲートウェイやDHCPサーバー、WPADサーバーなどとして機能させ、PC側から送られてくるログイン情報を保存するというものだ。USBデバイスの中にはドライバーのインストール時にユーザーの操作が必要なものもあるが、USBネットワークアダプターの場合は自動でドライバーがインストールされる。
検証に使用したデバイスはUSB ArmoryとLAN Turtleの2種類。USB ArmoryはUSBフラッシュメモリーサイズのコンピューターで、ネットワークアダプターのほかマスストレージやHIDなどをエミュレートできる。LAN TurtleはUSBネットワークアダプターとして動作するハッキング用デバイスで、Responderのモジュールも標準で組み込まれている。
この方法はUSBデバイス上でResponderを実行することでゲートウェイやDHCPサーバー、WPADサーバーなどとして機能させ、PC側から送られてくるログイン情報を保存するというものだ。USBデバイスの中にはドライバーのインストール時にユーザーの操作が必要なものもあるが、USBネットワークアダプターの場合は自動でドライバーがインストールされる。
検証に使用したデバイスはUSB ArmoryとLAN Turtleの2種類。USB ArmoryはUSBフラッシュメモリーサイズのコンピューターで、ネットワークアダプターのほかマスストレージやHIDなどをエミュレートできる。LAN TurtleはUSBネットワークアダプターとして動作するハッキング用デバイスで、Responderのモジュールも標準で組み込まれている。
実験ではWindows 98 SE/2000 SP4/XP SP3/7 SP1/10(Enterprise/Home)のほか、OS X El Capitan/Mavericksでログイン情報の取得に成功したという。ただし、OS Xについてはまぐれで取得できたものか、設定によるものかといった点について確認中とのこと。Linuxについては今後検証を行い、あらためて結果を公表するそうだ。
検証動画ではログイン情報の保存状況がLEDで確認できるようにしたUSB Armoryを用い、バーチャルマシンに新規インストールしたWindows 10から接続後30秒ほどで取得を完了している。環境によって所要時間は異なるが、平均13秒で処理は完了するとのことだ。なお、取得可能なパスワードはNTLMv1またはNTLMv2ハッシュなので、別途クラックする必要がある。
何を取得したのだろうか (スコア:2)
よくあるチャレンジ-レスポンスな部分が漏れるだけなら、割とどうでも良いのだけど、どういう事なのか読み取れない。
Re: (スコア:0)
ホントなー、通信の盗聴とどう違うのかの説明が欲しい。
それ以前に、なんでログイン情報がLANを流れるのかが分からない。
Re:何を取得したのだろうか (スコア:3)
ドメインにログオンしている場合に、そうなる...のかな?
https://ja.wikipedia.org/wiki/NT_LAN_Manager#NTLMv1 [wikipedia.org]
NTLMv1の場合、DESを6個解けば良いらしい。
Re: (スコア:0)
ドメインコントローラ偽装というわけではなく、wpadをいじってプロキシが必要なネットワークであるように見せかけているような?プロキシ接続するときユーザ名とパスワードが必要と返事すれば、Windowsは自動的にログインユーザ名とハッシュを投げてしまうという仕様だったっけ?
Re: (スコア:0)
ネットワークアダプタに偽装しても結局はパスワードハッシュしか貰えないので
攻撃を実際に成功させるにはNTLMハッシュのレインボーテーブルを事前に用意する必要が有りますね。
(レインボーテーブル自体は計算済みのものがダウンロード出来るので難しくは無さそう)
Re: (スコア:0)
「ローカル」ログイン情報じゃなくて
ネットワークドライブなんかへのアクセスする際の
「リモート」ログイン情報だったり
# LANに生パスワードは流れんもん
どのOSの話か知りませんが(棒読み) (スコア:0)
>USBネットワークアダプターの場合は自動でドライバーがインストールされる
USBネットワークアダプターと偽装さえすれば差すだけでドライバーを偽装したソフトを自由に実行出来ると?
Re:どのOSの話か知りませんが(棒読み) (スコア:2)
Re: (スコア:0)
USBネットワークアダプタのドライバがインストールされることで、
ネットワークアダプタを介して、通信が可能です。
解析ソフトを実行するのはUSBネットワークアダプタに偽装した、差し込まれた方のコンピュータですよ。
Re: (スコア:0)
ちょっとちがうんではないか
1.USB Ehterアダプタを偽装する -> 標準ドライバが入る(のはず、どっちにしろ署名ドライバ)
2.Ehterが映えたのでネットワーク/プロトコルスタックのセットアップがなされるが、これに対してDHCP/WPADの疑似応答を返すなどして、WindowsがLANに流すログイン情報を入手する
Re: (スコア:0)
ちょっとどころか全く違うわね
新しい…のか? (スコア:0)
なんか当たり前のような、そうでもないような、微妙な技法だ。
Re:新しい…のか? (スコア:2, おもしろおかしい)
謎デバイスを差すとなんか表面に一杯数字が出た後にパスワード解除
確かによくフィクションでは見る技法の気がする
#単にそれがやりたかっただけかも
Re: (スコア:0)
むしろ、こんな「正攻法」で各OSが軒並みヤラれてしまうところが問題では。
Re: (スコア:0)
せめてロック中に差し込まれたデバイスはロックが解除されるまで接続しないようにするとか。
Re: (スコア:0)
で、ロック中にUSBキーボード抜いて詰むと。。
まあ、ロック中に初めて刺した場合のみブロックだと思うが。
LANの口 (スコア:0)
素直にイーサネットの線を引っこ抜いて攻撃用ケーブルを突き刺してやれば良いような気がする。
抜き差しを検出してセキュリティレベルを上げるような設定もあるのかもしれないけど、それなら、USBの方も対策しろよという話だし。
Re: (スコア:0)
> 素直にイーサネットの線を引っこ抜いて攻撃用ケーブルを突き刺してやれば良いような気がする。
LANケーブル差し替えよりは目立たないのは結構大きなな利点(?)のような気がする。
Re: (スコア:0)
別に攻撃用のスティック型コンピューターがつながった本物のUSBネットワークアダプターでも構わんのだろう?
Re: (スコア:0)
別にそれでもいいけどまあ目的次第でしょうね。通信内容を記録する装置をランケーブルの途中に繋いでみてもいいわけですし。
その方法だと攻撃者が求める情報を攻撃者が接続した本物のネットワークアダプタ経由で送信させる方法を別に用意する必要があるような。
この手法だとほしい情報をピンポイントで取れるところが素敵なんでしょうな。ただしそのためにはUSB ArmoryとLAN Turtleのドライバを導入する必要があると。で理想としてはUSB ArmoryやLAN Turtleのドライバを自動でインストールしたい。と同時にパソコンの仕様者に気付かれないように作業したい。そ
Re: (スコア:0)
新しいネットワークに接続したときに流される情報を入手するという話なので、すでにデバイスとして認識されているイーサネットの線をつなぎ変えても同じ攻撃はできないのでは。
Re: (スコア:0)
同じ感想。取れる情報はLANタップするのと同じ。
取り立てて記事にするような新発見でも新たな脅威でもないよねこれ。
Re: (スコア:0)
今回の方法だと、有線でも無線でも出来るでしょう。
有線オンリーが標的じゃないからだと思いますよ。