상세 컨텐츠

본문 제목

강한 파괴력을 지닌 Bash Bunny

국내외 보안동향

by 알약(Alyac) 2017. 3. 17. 16:13

본문

강한 파괴력을 지닌 Bash Bunny

 

최근 "세계에서 가장 강력한 USB공격 툴"인 Bash Bunny가 공개되었습니다. 



Bash Bunny는 각종 침투테스트 및 IT자동화 업무를 단 몇초만에 해 낼 수 있는 툴 입니다. 각종 이더넷 카드, 직렬 장치, 플래시 메모리, 키보드 등의  USB디바이스등을 통하여 Bash Bunny는 PC에 저장되어 있는 각종 데이터, 파일들을 획득할 수 있으며, 백도어 설치 및 각종 exploit을 공격할 수 있습니다. 


디바이스는 간단한 스크립트 언어로 제작되었으며, 메모장과 같은 툴을 이용하여 인코딩 되었습니다. 각종 payload 코드는 github에 업로드 되어 있으며, 관련 공격을 검색하는 방법 역시 매우 쉽습니다. Bash Bunny를 통하여 공격하려면, 스위치를 arming mode로 전환한 후 payload 문서파일을 복사해 놓으면 됩니다. 사용방법을 일반 USB와 큰 차이가 없습니다.




 

여러 payload를 사용한 것은 Bash Bunny의 가장 큰 특징입니다. 스위치를 알맞는 payload 위치로 이동시킨 후, Bash Bunny를 타겟 디바이스에 꽂고 LED등의 변화를 통하여 공격과정을 확인합니다. 이 Bash Bunny에는 쿼드코더 CPU와 데스크탑 급의 SSD가 포함되어 있습니다. 이 Bash Bunny는 단 7초의 공격시간을 필요로 합니다. 이밖에 이 Bash Bunny 는 Linux 디바이스의 각종 기능을 포함하고 있으며, 특정 직렬포트를 이용하여 shell에 접근할 수 있습니다. 대부분의 침투테스트 툴의 기능들도 모두 여기 포함되어 있습니다. 



고급공격


일반적으로 PC들은 플래시 메모리, 이더넷 어댑터, 키보드 등의 디바이스들을 신뢰하도록 설정되어 있습니다. 이런 디바이스들은 컴퓨터 사용에 있어서 꽤 중요하기 때문입니다. 하지만 각각의 디바이스들을 공격하는 방식들은 모두 다르며, 만약 이런 공격방식들을 모두 결합해 놓는다면 그 가능성은 매우 무궁무진 할 것입니다. Bash Bunny는 이러한 각도에서 착안해 낸 툴 입니다. 


각종 공격 혹은 payload는 모두 “Bunny Script”로 제작되었으며, 그중 중앙 payload 라이브러리는 이론상으로 소셜네트워크 개발자의 도움을 받아 점점 더 강력해 지도록 설계되어 있으며, git에서 파일을 내려받아 Bash Bunny에 로드하기만 하면됩니다. 



하드웨어


디바이스 내부는 리눅스 라고 볼 수 있으며, 왠만큼 유명한 툴에 포함되어 있는 기능들은 모두 포함하고 있습니다. Bash Bunny는 쿼드코어 CPU와 PC급의 SSD를 내장하고 있기 때문에, 매우 빠르며, 공격시간은 단 7초입니다. Payload 스위치 및 RGB 3색 등을 통하여 공격의 선택과 공격 현황을 확인할 수 있습니다. 포트에 연결하면 Linux터미널에 접속할 수도 있습니다. 


특정 payload를 이용하면WiFi Pineapple과 결합할 수도 있습니다. Bash Bunny 는 매우 강력한 WiFi 감시툴을 이용하여 한층 더 강화된 침투능력과 더 넓은 침투범위를 지원합니다. 


네트워크 하이재킹


로컬 네트워크 공격을 사용하여 Bash Bunny는 특정 NIC로 위장할 수 있습니다. 타겟 PC에 드라이버가 필요없을 경우, Bash Bunny를 NIC로 인식하게 됩니다. 위장한 NIC는 2Gbps의 속도를 지원하며, DHCP서비스도 포함하고 있습니다. 이러한 방식으로 로컬PC는 Bash Bunny의 트래픽을 신뢰하게 되며, 공격 트래픽들이 아무런 문제없이 통과될 수 있는 것입니다. 


이러한 공격방식은 완전히 플랫폼을 장악하는 것으로, ECM Ethernet공격모드는 Mac, Linux, Android디바이스를 모두 지원하며, MS전용의 RNDIS Ethernet 공격모드는 Windows디바이스를 지원합니다. 


이와 유사한 QuickCreds 공격은 잠겨있는 컴퓨터 중에서 몇초만에 신원증명 해쉬값을 탈취해 낼 수 있는 공격입니다. Bash Bunny를 컴퓨터에 연결하면, 몇초 후 LED 등이 녹색으로 변하는데 바로 공격이 완료되었다는 뜻입니다. Bash Bunny에는 완전한 TCP/IP스택과 각종 Linux 툴, 네트워크 공격 툴 등이 포함되어 있습니다. 


키스트록크 인젝션(KEYSTROKE INJECTION)


모든 USB 키보드는 HID 표준을 사용하고 있는데, 한 PC에서 만약 어떠한 디바이스가 자신이 키보드라고 한다면, 그 디바이스를 키보드로 인식합니다. 그 후 해당 키보드의 입력과정은 플래시 메모리 중에 저장하는데, 이는 사회공학적 기법의 성공률을 높일 수 있습니다. 


Bash Bunny는 Ducky Script언어를 분석하여, HID공격을 할 수 있는 HID공격모드를 개발하였습니다. HID공격과 Bash Bunny가 지원하는 다른 공격들을 결합하면, 더 강력한 공격을 진행할 수 있습니다. 


정보탈취


Bash Bunny의 스토리지 공격 모드는, 각종 자료들을 탈취하는 모드입니다. Payload 스위치를 arming mode로 설정해 놓고, Bash Bunny를 PC혹은 스마트폰에 연결하기만 하면 됩니다. 표준 플래시메모리 디바이스로서, 사용이 매우 간단하며, 문서편집기를 통하여 paylaod를 수정할 수도 있습니다. 


파일 복사를 통하여, 해당 payload설정을 다른 스위치 위치에 설정할 수도 있습니다. 또한 플래시메모리 저장 구역에서 모든 payload라이브러리를 확인할 수 있으며, loot 폴더 하위에서 탈취한 데이터들을 확인할 수도 있습니다. 조작방식은 매우 직관적 입니다. 


Shell 접근


Bash Bynny는 전문 Shell 접근콘솔을 제공하며, 리눅스 터미널 접근역시 매우 간단하게 만들었습니다. 각종 Payload를 설정할 수 있으며, 공격모드도 선택할 수 있습니다. 


Payloads


Payload.txt를 Bash Bunny 디바이스 중의 관련 폴더에 복사 하는 것으로 payload 설치는 완료됩니다. 그렇기 때문에 여러 종류의 paylaod를 사용하고 싶다면, 각기 다른 payload의 변환도 매우 쉽습니다. 스위치를 통해 payload를 선택한 후, Bash Bunny를 목표 디바이스에 연결하면 됩니다. 





참고 : 

http://wiki.bashbunny.com/#!index.md

https://hakshop.com/products/bash-bunny



관련글 더보기

댓글 영역