신뢰할 수 없는 USB 스틱을 Linux 시스템에 연결하고(사용자로서) 일부 파일을 찾아보고 복사한다고 가정합니다(아마도 그래픽 인터페이스를 사용하여).
USB 스틱을 제거한 후(더 이상 사용할 수 없음) 스틱이 내 시스템에 악의적인 작업을 수행했는지 확인하려면 무엇(예: 특정 로그 파일)을 확인해야 합니까?
분명히 이것은 가능한 모든 공격을 탐지할 수 없으며 가장 좋은 아이디어는 스틱을 PC에 연결하지 않는 것이지만 이 상황에서 가장 좋은 조치는 무엇입니까(시스템 재설치 외에)?
답변1
내가 알고 있는 데스크톱 환경의 이동식 장치에서 기본 자동 실행과 같은 기능은 없습니다. 따라서 실행되는 유일한 악성 코드는 파일 시스템의 버그(가능성 없음)와 파일을 여는 데 사용되는 응용 프로그램의 버그입니다. 내가 사용하는 프로그램(예: LibreOffice 등)에서 알려진 보안 문제를 검색합니다. 이를 찾을 수 있는 위치는 프로그램과 배포판에 따라 다릅니다.
또 다른 아이디어는 스틱만 사용하고 루트가 아닌 사용자 권한으로만 파일을 여는 경우 루트 권한이 있는 모든 파일을 페이로드인 다른 위치(예: 문서, 사진, 음악 등)에 복사하는 것입니다. 다른 위치로 이동하려면 홈 디렉토리를 비우고 /etc/skel/*을 여기에 복사한 다음 저장된 데이터를 다시 이동하고 "깨끗한" 홈 디렉토리로 다시 시작하세요.
보안 편집증이 완전히 잘못된 것은 아니지만 현실적으로 최신 Linux 설치는 스틱의 바이너리/스크립트가 실행되지 않을 때 괜찮을 것입니다.
Jofer가 지적했듯이 스틱의 악성 펌웨어에 문제가 있을 수 있습니다. USB 드라이브가 아닌 연결된 USB 장치에 대한 힌트가 syslog에 있는지 확인해야 합니다(dmesg는 확실하지 않음).
이제 드라이브에 키로거 또는 악성 su/sudo가 설치되어 있고 DE에서 루트 액세스 권한을 얻으려고(사용자 환경에서 루트 비밀번호 입력) 로그가 변경되었을 수 있습니다. 장치에 루트 액세스 권한이 부여되면 다시 설치하는 것 외에는 안전을 유지할 수 있는 방법이 없습니다.