การสืบสวนดองเกิล RJ45 "อันตราย"

 (lcamtuf.substack.com)
1 คะแนน โดย GN⁺ 2025-01-18 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

การสืบสวนดองเกิล RJ45 "อันตราย"

  • ฮาร์ดแวร์รีเวิร์สเอนจิเนียริง
    การทำฮาร์ดแวร์รีเวิร์สเอนจิเนียริงอาจเป็นเรื่องยาก แต่บางครั้งแค่มีเก้าอี้นั่งสบายกับ Google Translate ก็เพียงพอแล้ว

  • ความจริงของการโจมตีห่วงโซ่อุปทาน
    ในด้านความปลอดภัยสารสนเทศ การโจมตีห่วงโซ่อุปทานเป็นเรื่องซับซ้อนและมีความเสี่ยง และมักจะถูกใช้เมื่อไม่มีทางเลือกอื่น โดยส่วนใหญ่แล้ว การขโมยข้อมูลรับรองหรือหลอกให้ดาวน์โหลดไฟล์อันตรายทำได้ง่ายกว่า

  • กระแสบนโซเชียลมีเดีย
    ผู้ประกอบการหนุ่มคนหนึ่งกลายเป็นกระแสบนโซเชียลมีเดีย หลังอ้างว่าอะแดปเตอร์ Ethernet-to-USB ที่ซื้อจากจีนเต็มไปด้วยมัลแวร์ แต่ภายหลังก็พบว่าเป็นข้อมูลที่คลาดเคลื่อน

  • การวิเคราะห์ไดรเวอร์
    ไดรเวอร์ที่เป็นประเด็นคือไดรเวอร์สำหรับชิป RJ45-to-USB ของ CoreChips Shenzhen ซึ่งเป็นเวอร์ชันที่มีการลงลายเซ็นแบบสาธารณะ คาดว่าเป็นชิ้นโคลนของ Realtek RTL8152B

  • บริบททางประวัติศาสตร์
    ไดรเวอร์นี้อิงจากดีไซน์เก่าที่เปิดตัวในปี 2013 ในช่วงเวลานั้นไดรฟ์ CD-ROM กำลังค่อย ๆ หายไป แต่คอมพิวเตอร์ไม่ได้ออนไลน์อยู่ตลอดเวลาเสมอไป ดังนั้นการที่อุปกรณ์แสดงตัวเป็นอุปกรณ์จัดเก็บข้อมูลขนาดใหญ่ที่มีไดรเวอร์ของตัวเองอยู่ภายในจึงถือว่าสมเหตุสมผล

  • บทบาทของหน่วยความจำแฟลช
    มีคำถามว่าเหตุใดอุปกรณ์จึงต้องมีหน่วยความจำแฟลชขนาด 512 kB โดยยังไม่ชัดเจนว่าใช้เก็บเฟิร์มแวร์หรือมีไว้เพื่อจุดประสงค์อื่น

  • เอกสารการออกแบบของ SR9900
    จากเอกสารการออกแบบของ SR9900 ยืนยันได้ว่าชิปแฟลชสามารถถูกใช้เป็นไดรฟ์ออปติคัลเสมือนได้ ซึ่งมีไว้สำหรับการติดตั้งไดรเวอร์

  • บทสรุป
    สิ่งที่ดูแปลกไม่ได้หมายความว่าเป็นสิ่งไม่ดีเสมอไป แม้ไม่มีห้องแล็บฮาร์ดแวร์ก็ยังสืบสวนได้ด้วยความอดทนและความสามารถในการค้นหา อย่างไรก็ตาม โค้ดภายในของ IC SR9900 เองก็ยังคงเป็นปริศนา

  • ข้อกังวลด้านความปลอดภัย
    ในบางสถานการณ์ ความเสี่ยงจากดองเกิล USB อันตรายอาจมีอยู่จริง แต่สำหรับการใช้งานเครือข่ายภายในบ้านทั่วไปก็ไม่จำเป็นต้องกังวลมากนัก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-01-18
ความคิดเห็นจาก Hacker News

  • น่าขำที่มีการพูดว่าต้องใช้สเปกอย่างน้อย Intel Pentium 166MHz ขึ้นไป ชอบงานแนว "คนฉลาดสายเนิร์ดทุ่มความคิดสร้างสรรค์และความพากเพียรอย่างน่าทึ่ง เพื่อให้ได้ผลลัพธ์ที่เห็นชัดด้วยสามัญสำนึก"

    • เห็นทวีตเกี่ยวกับดองเกิล "Evil" แล้วจำได้ว่าเป็นสิ่งเดียวกับที่ตัวเองเคยทำมาก่อน มันไม่ได้มุ่งร้าย แค่น่ารำคาญเท่านั้น
    • ปิดการทำงานของโมดูล SPI flash เพื่อไม่ให้แสดงตัวเป็นไดรฟ์ CD และผู้เขียนโพสต์นี้ก็พบในเอกสารว่า SPI เป็นตัวเลือกเสริม โพสต์นี้ให้เครื่องมือสำหรับแฟลช RJ45 ดองเกิลใหม่เพื่อทำให้มัน "มุ่งร้าย" ได้จริง

  • ชื่นชมที่อุปกรณ์ USB ปลอมตัวเป็นอุปกรณ์เก็บข้อมูลเพื่อส่งไดรเวอร์ของตัวเอง ทุกวันนี้การอัปโหลดไปยังเซิร์ฟเวอร์ของ Microsoft แล้วดาวน์โหลดสิ่งที่ต้องการอาจเป็นวิธีที่ "ถูกต้อง" แต่ก็สังเกตว่าหลายครั้งยังต้องติดตั้งไดรเวอร์ด้วยตนเอง

    • คิดว่าการที่อุปกรณ์ต่อพ่วงช่วยบูตสแตรปเป็นไอเดียที่ฉลาด และถ้าอุปกรณ์มีไดรเวอร์ติดมาด้วยก็ง่ายกว่าการไปหาแหล่งดาวน์โหลดมาตรฐาน

  • แต่ก่อนการติดแฟลชขนาดเล็กเข้ากับ IC ของอุปกรณ์ต่อพ่วง USB เพื่อเก็บ VID/PID และข้อมูลคอนฟิก USB อื่น ๆ เป็นเรื่องปกติ ขนาด 512kB อาจเป็นขนาดต่ำสุดที่หาได้ง่ายในซัพพลายเชน

    • วิธีแบบ ISO ค่อนข้างแปลก แต่เป็นวิธีที่สร้างสรรค์ในการเลี่ยงนโยบายความปลอดภัยของฝ่าย IT องค์กรที่จำกัดอุปกรณ์ USB mass storage ถ้ามันถูก enumerate เป็นอุปกรณ์แบบ composite ก็จะติดตั้งไดรเวอร์ได้แม้บนคอมพิวเตอร์ที่ล็อก USB drive ไว้

  • มีความเห็นจากคนที่ยืนยันว่าควรเรียก RJ45 ว่า 8P8C

  • มีเนื้อหาที่เกี่ยวข้องว่าตัวแปลง USB เป็น Ethernet แบบ RJ45 ราคาถูกอาจมีมัลแวร์ฝังมาได้

  • USB Ethernet ดองเกิลแบบ "มุ่งร้าย" อาจมีอยู่จริง และเกี่ยวข้องกับผลิตภัณฑ์ของ Hak5 ที่ชื่อ LAN Turtle

  • เมื่อหลายสิบปีก่อน อุปกรณ์เก็บข้อมูลแบบฝังตัวเป็นเรื่องที่พบได้ทั่วไปมาก โดยเฉพาะใน 3G USB modem และสามารถเปิด/ปิดได้ด้วยคำสั่ง AT

    • ที่มาของทฤษฎี "แฮ็กจีน" อาจเกิดจากการที่คนรุ่นใหม่ไม่คุ้นกับของเก่าเหล่านี้

  • การทำการเชื่อมต่อที่เป็นอันตรายผ่านพอร์ต Ethernet นั้นยากมาก แต่การทำการเชื่อมต่อที่เป็นอันตรายผ่านพอร์ต USB นั้นง่ายมาก ดังนั้นการเรียกมันว่า USB ดองเกิล "มุ่งร้าย" จึงเหมาะสม