이지우
(Kookmin University Department of Mathematics)
,
심보연
(Kookmin University Department of Mathematics)
,
박애선
(Kookmin University Department of Financial Information Security)
,
한동국
(Kookmin University Department of Mathematics)
최근 무선 키보드, 무선 마우스의 사용이 증가하는 추세에 따라 무선 통신 과정에서의 물리적 취약성을 이용하여 사용자의 입력 정보를 탈취하거나 원격으로 컴퓨터를 제어하는 공격들이 보고되고 있다. 특히 바스틸 네트워크에서 발표한 MouseJack 공격은 각 제조사별 수신기의 취약성을 이용하여 2.4 GHz 무선 키보드 및 마우스를 공격하였다. MouseJack 공격은 기존에 공개된 공격들과는 달리 AES 암호화가 적용된 무선 키보드를 대상으로 공격이 가능하다는 특징이 있다. 하지만 공격에 대한 개요만 설명할 뿐 공격 방법에 대한 구체적인 정보를 제공하지 않는다. 따라서 본 논문에서는 마이크로소프트 2.4 GHz 무선 마우스 패킷 구조를 분석하고 무선 마우스로 가장한 글쇠 주입 공격이 가능한 마우스 패킷 설정 방법을 제안한다. 또한 제안된 패킷을 이용하여 2.4 GHz AES 무선 키보드 글쇠 주입 공격 시스템을 구성하고, 실제 이를 통해 키보드 글쇠 주입이 가능함을 실험을 통해 보인다.
최근 무선 키보드, 무선 마우스의 사용이 증가하는 추세에 따라 무선 통신 과정에서의 물리적 취약성을 이용하여 사용자의 입력 정보를 탈취하거나 원격으로 컴퓨터를 제어하는 공격들이 보고되고 있다. 특히 바스틸 네트워크에서 발표한 MouseJack 공격은 각 제조사별 수신기의 취약성을 이용하여 2.4 GHz 무선 키보드 및 마우스를 공격하였다. MouseJack 공격은 기존에 공개된 공격들과는 달리 AES 암호화가 적용된 무선 키보드를 대상으로 공격이 가능하다는 특징이 있다. 하지만 공격에 대한 개요만 설명할 뿐 공격 방법에 대한 구체적인 정보를 제공하지 않는다. 따라서 본 논문에서는 마이크로소프트 2.4 GHz 무선 마우스 패킷 구조를 분석하고 무선 마우스로 가장한 글쇠 주입 공격이 가능한 마우스 패킷 설정 방법을 제안한다. 또한 제안된 패킷을 이용하여 2.4 GHz AES 무선 키보드 글쇠 주입 공격 시스템을 구성하고, 실제 이를 통해 키보드 글쇠 주입이 가능함을 실험을 통해 보인다.
Due to a recent rise in use of a wireless keyboard and mouse, attacks which take user's input information or control user's computer remotely exploiting the physical vulnerability in the wireless communication have been reported. Especially, MouseJack, announced by Bastille Network, attacks 2.4 GHz ...
Due to a recent rise in use of a wireless keyboard and mouse, attacks which take user's input information or control user's computer remotely exploiting the physical vulnerability in the wireless communication have been reported. Especially, MouseJack, announced by Bastille Network, attacks 2.4 GHz wireless keyboards and mice through exploiting vulnerability of each manufacturer's receiver. Unlike other attacks that have been revealed, this allows to attack AES wireless keyboards. Nonetheless, there is only a brief overview of the attack but no detailed information on this attacking method. Therefore, in this paper we will analyze the Microsoft 2.4 GHz wireless mouse packet and propose a way to set the packet configuration for HID packet injection simulating a wireless mouse. We also develop a system with 2.4 GHz AES wireless keyboard HID packet injection using the proposed packet and demonstrate via experiment that HID packet injection is possible through the system we built.
Due to a recent rise in use of a wireless keyboard and mouse, attacks which take user's input information or control user's computer remotely exploiting the physical vulnerability in the wireless communication have been reported. Especially, MouseJack, announced by Bastille Network, attacks 2.4 GHz wireless keyboards and mice through exploiting vulnerability of each manufacturer's receiver. Unlike other attacks that have been revealed, this allows to attack AES wireless keyboards. Nonetheless, there is only a brief overview of the attack but no detailed information on this attacking method. Therefore, in this paper we will analyze the Microsoft 2.4 GHz wireless mouse packet and propose a way to set the packet configuration for HID packet injection simulating a wireless mouse. We also develop a system with 2.4 GHz AES wireless keyboard HID packet injection using the proposed packet and demonstrate via experiment that HID packet injection is possible through the system we built.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 무선 마우스로 가장한 글쇠 주입 공격 기반 2.4 GHz AES 무선 키보드 공격 시스템을 구축하였다. 분석 대상으로는 마이크로소프트 2.
본 절에서는 본 논문에서 제안하는 무선 마우스 패킷 구성을 통해 무선 마우스로 가장한 글쇠 주입 공격방법에 대해 설명한다.
이에 본 논문에서는 마이크로소프트 2.4 GHz 무선 마우스 패킷 구조를 분석하고, 무선 마우스로 가장한 글쇠 주입 공격이 가능한 마우스 패킷 설정 방법을 제안한다. 또한 제안된 패킷을 이용하여 2.
4 GHz 무선 키보드 분석 연구를 통해 일반 무선 키보드 패킷 구조는 보고된 바 있지만 AES 무선 키보드 및 마우스 패킷 구조는 공개된 자료가 없다. 이에 본 절에서는 마이크로소프트 2.4 GHz AES 무선 키보드 및 마우스 패킷 분석 결과를 소개한다.
가설 설정
공격 장비는 무선 키보드 및 마우스를 사용하는 사용자와 통신이 가능한 범위 안에 존재하고, 사용자는 세트로 구성된 마이크로소프트 2.4 GHz AES 무선키보드와 무선 마우스를 사용한다고 가정한다. 본 논문의 실험은 그림 7.
제안 방법
이는 전송된 신호의 오류를 탐지하는 영역으로, 계산된 CHECKSUM 값과 전송된 CHECKSUM 값이 동일하지 않을 경우 수신기는 신호를 수신하지 않는다. 따라서 본 논문에서는 수신된 신호 분석을 통해 그림 6.과 같이 무선 마우스의 CHECKSUM 계산법을 찾아 수신기가 정상적으로 신호를 수신할 수 있게 구성하였다.
이후 인터넷이 실행되면 주소창으로 포인터를 옮겨주는 ‘F6’ 글쇠 신호를 전송하고 프로그램을 내려 받을 수 있는 사이트의 주소를 입력한다. 본 논문에서는 그림 11과 같이 ‘AhnLab V3 Internet Security 9.0’ 설치 파일을 내려 받을 수 있도록 구성한 링크 주소에 대한 글쇠를 순차적으로 주입하고 ‘Enter’ 글쇠 신호를 전송하였다. 이후 설치 파일을 실행하기 위하여 ‘Alt+r’ 신호를 주입하면 프로그램이 설치된다.
4 GHz AES 무선키보드와 무선 마우스를 사용한다고 가정한다. 본 논문의 실험은 그림 7.의 실험 환경과 같이 공격 시스템을 이용하여 공격자가 임의의 프로그램을 인터넷을 통해 사용자의 컴퓨터에 다운로드 및 설치하는 공격을 수행한다.
본 장에서는 마이크로소프트 2.4 GHz 무선 마우스패킷을 분석하고, 2장에서 언급된 무선 마우스로 가장한 글쇠 주입 공격 방법을 이용하기 위한 마우스 패킷을 설계하여, 이를 기반으로 2.4 GHz AES 무선 키보드 공격 시스템 구축 방법을 제안한다.
무선 마우스 패킷 분석은 KeySweeper와 유사하게 Arduino 보드와 nRF24L01+ 칩을 기반으로 구성한 실험 장비를 사용하였다. 이때 위 장비로 확인이 어려운 PREAMBLE, CHECKSUM, CRC 값을 확인하기 위해 추가적으로 USRP(Universal Software Radio Peripheral)와 GNU Radio를 기반으로 구축한 SDR(Software Defined Radio) 시스템을 이용하였다.
대상 데이터
본 항에서는 무선 마우스로 가장한 글쇠 주입 공격을 위한 무선 마우스 패킷 구성 방법을 설명한다. 본 논문에서는 무선 마우스로 가장한 글쇠 주입 공격을 위해 무선 마우스 1의 패킷을 그림 8.과 같이 구성하였다. 무선 마우스의 HEADER 영역은 그대로 사용하고 META FLAGS 영역은 그림 9.
4 GHz AES 무선 키보드 공격 시스템을 구축하였다. 분석 대상으로는 마이크로소프트 2.4 GHz AES 무선 키보드 및 마우스를 선정하였고 공격에 앞서 무선 마우스의 송·수신 신호를 분석하였다. 이후 무선 마우스 패킷을 임의로 구성하여 무선 마우스를 통해 AES 무선 키보드를 사용하는 환경에 글쇠를 주입 할 수 있는 위협이 존재하는 것을 확인하였다
실험 대상 무선 마우스 1은 패킷을 송·수신할 때 암호화를 적용하지 않기 때문에 그림 8.과 같이 패킷을 구성하여 신호를 보내면 수신기는 무선 마우스의 신호로 인식하여 DATA에 포함된 모든 HID CODE[8]을 수신한다.
실험 환경은 그림 7.과 같이 구성하였으며 USRP와 GNU Radio를 기반으로 구축한 SDR 시스템을 이용하여 수행하였다.
앞서 언급한 바와 같이, 마이크로소프트 2.4 GHz무선 키보드 및 마우스는 2.4 GHz 무선통신을 위해 Nordic사의 nRF24L01 제품군을 사용한다. 따라서 전체적인 패킷 구조는 일반 무선 키보드의 패킷 구조[1]와 같지만 제조사에서 제어할 수 있는 PAYLOAD 구성 방법이 다르다.
성능/효과
4 GHz 무선 마우스 패킷 구조를 분석하고, 무선 마우스로 가장한 글쇠 주입 공격이 가능한 마우스 패킷 설정 방법을 제안한다. 또한 제안된 패킷을 이용하여 2.4 GHz AES 무선 키보드 글쇠 주입 공격 시스템을 구성하고 실제 이를 통해 키보드 글쇠 주입이 가능함을 실험을 통해 보인다. 본 실험은 공격자가 무선 키보드의 암호키를 모르더라도 사용자의 컴퓨터를 제어할 수 있는 매우 강력한 공격으로, 재전송 공격 대응기법도 적용되어 있는 마이크로소프트 2.
4 GHz AES 무선 키보드 글쇠 주입 공격 시스템을 구성하고 실제 이를 통해 키보드 글쇠 주입이 가능함을 실험을 통해 보인다. 본 실험은 공격자가 무선 키보드의 암호키를 모르더라도 사용자의 컴퓨터를 제어할 수 있는 매우 강력한 공격으로, 재전송 공격 대응기법도 적용되어 있는 마이크로소프트 2.4 GHz AES 무선 키보드를 무력화 시킬 수 있다.
본 장에서는 실제 2.4 GHz AES 무선 키보드를 사용하는 환경에서 구축한 시스템을 통하여 무선 마우스로 가장한 글쇠 주입 공격이 가능함을 실험을 통해 보인다.
첫 번째 바이트는 암호화 알고리즘 및 적용 여부를 나타내며, 두 번째 바이트를 통해 PAYLOAD의 총 길이를 알 수 있다. 세 번째 바이트인 MODEL ID는 제품 종류에 따라 변하는 값이며, 마지막 바이트의 의미는 확인되지 않았다. SEQUENCE ID는 패킷이 전송될 때마다 하나씩 증가하며, META FLAGS 영역은 일반 무선 키보드의 경우 Ctrl, Alt, Shift 등의 메타 글쇠가 눌릴 때마다 값이 변경되고 그 외에는 0x4300이다.
이와 같이 실험을 통해 사용자 컴퓨터에 임의의 글쇠를 주입하여 임의의 프로그램을 다운로드 및 설치할 수 있음을 확인하였다. 이에 공격자는 사용자의 컴퓨터를 랜섬웨어와 같은 악성코드에 감염시키는 등 심각한 피해를 입힐 수 있다.
4 GHz AES 무선 키보드 및 마우스를 선정하였고 공격에 앞서 무선 마우스의 송·수신 신호를 분석하였다. 이후 무선 마우스 패킷을 임의로 구성하여 무선 마우스를 통해 AES 무선 키보드를 사용하는 환경에 글쇠를 주입 할 수 있는 위협이 존재하는 것을 확인하였다
따라서 암호키를 모르는 공격자는 키보드 신호 송·수신 공격을 수행할 수 없었다. 하지만 바스틸 네트워크에서 발표한 취약점을 기반으로 본 논문에서 공격 환경을 구성한 결과 무선마우스로 가장한 글쇠 주입 공격은 AES와 같은 강력한 암호화가 적용된 무선 키보드도 무력화 시킬 수 있음을 확인하였다. 이에 공격자는 사용자의 컴퓨터에 랜섬웨어와 같은 악성코드를 주입하는 등 심각한 피해를 입힐 수 있다.
후속연구
또한 현재 취약성이 검증된 무선 키보드 및 마우스는 모두 해외 제품으로 국내 제품에 대한 취약성 검증은 이루어지지 않고 있다. 따라서 이러한 실험 결과를 기반으로 국내 무선 키보드 및 마우스의 취약성 평가 기술력 또한 확보할 수 있음이 기대된다.
특히 무선 마우스로 가장한 글쇠주입 공격은 사용자가 AES 암호화 무선 키보드를 사용하는 환경에서도 공격이 가능하다. 따라서 이에 대한 대책을 마련하기 위해서는 공격 방법을 구성하고 실험을 통해 가능성 여부를 확인 후 취약성 대응 방안에 대한 연구가 필요하다.
하지만 본 논문의 공격 방법은 현재 마이크로소프트사의 일부 AES 암호화 무선 키보드에 한정되어있고 무선 마우스만을 사용하는 환경에의 적용이 어렵다. 따라서 향후 모든 AES 암호화 무선 키보드 또는 무선 마우스만 사용하는 환경에서도 공격이 가능할 수 있도록 일반화하는 연구를 진행할 계획이다.
무선 마우스로 가장한 글쇠 주입 공격을 수행하기 위해서는 공격하려는 AES 무선 키보드 및 마우스의 패킷 분석 연구가 선행되어야 한다. 하지만 지금까지 마이크로소프트 2.
질의응답
핵심어
질문
논문에서 추출한 답변
바스틸 네트워크에서 발표한 무선 키보드 및 마우스의 취약성을 이용한 공격은 어떻게 분류되어 있는가?
하지만 아직까지도 취약한 프로토콜을 사용하는 제품들이 많으며, 최근 미국의 보안업체인 바스틸 네트워크(Bastille Network)에서는 시중에 판매되고 있는 다양한 제조사의 무선 키보드 및 마우스의 취약성을 이용한 공격을 발표했다[6]. 바스틸 네트워크에서 발표한 공격은 MouseJack, KeyJack, KeySniffer로 분류되어 있고, MouseJack과 KeyJack은 AES와 같은 강력한 암호화가 적용되어 있는 무선 키보드에 글쇠 주입이 가능한 공격이다. MouseJack 공격 방법에는 공격자가 임의로 구성한 마우스 패킷 신호를 이용하여 키보드 신호를 주입하는 공격이 존재한다.
마이크로소프트 2.4 GHz AES 무선 키보드가 재전송 공격이 불가능한 이유는 무엇인가?
PAYLOAD의 길이는 HEADER부터 CHECKSUM까지의 길이를 의미하며, 일반 무선 키보드의 경우 16 바이트, AES 무선 키보드는 20 바이트, 무선 마우스는 19 바이트로 표현된다. AES 무선키보드는 HEADER 영역을 제외한 16 바이트가 AES암호화된다. 이 과정에서 임의의 데이터가 추가되어 그림 3.과 같이 ‘a’ 글쇠를 연속적으로 네 번 입력한 경우 20 바이트 중 HEADER 4 바이트를 제외한 16바이트가 매번 다른 값으로 표현된다. 따라서 마이크로소프트 2.
대부분의 제조사는 2.4 GHz 무선통신을 위해 무엇을 사용하는가?
특히 대부분의 제조사는 2.4 GHz 무선 통신을 위해 Nordic사의 nRF24L01 모듈을 이용하며, 사용자가 정의할 수 있는 통신 패킷 내부 영역을 제조사별 프로토콜에 따른 패킷 구조로 변형하여 사용한다. 하지만 인증 절차 없이 통신을 위해 필요한 MAC 주소로 XOR하는 것과 같은 취약한 프로토콜을 사용하기 때문에 이러한 취약점을 이용해 2009년부터 27 MHz 무선 키보드 및 nRF24L01 칩을 사용하는 2.
참고문헌 (12)
T. Schroder and M. Moser, KeyKeriki v2.0 - 2.4 GHz(2010), Retrieved Oct., 28, 2016, from http://www.remote-exploit.org/articles/keykeriki_v2_0__8211_2_4ghz/.
T. Schroder and M. Moser, KeyKeriki v1.0 - 27 MHz(2009), Retrieved Oct., 28, 2016, from http://www.remote-exploit.org/articles/keykeriki_v1_0_-_27mhz/.
Travis Goodspeed, Promiscuity is the nRF24L 01+'s Duty(2011), Retrieved Oct., 28, 2016, from http://travisgoodspeed.blogspot.kr/2011/02/promiscuity-is-nrf24l01s-duty.html.
S. Kamkar, KeySweeper(2015), Retrieved Oct., 28, 2016, from http://samy.pl/keysweeper/
S. J. Lee, "Study about vulnerability to 2.4GHz wireless keyboard with Arduino," M.S. Thesis, Kookmin university, 2015.
Bastille Network, MouseJack(2016), Retrieved Oct., 28, 2016, from https://www.bastille.net/technical-details.
NIST, "Announcing the Advanced Encryption Standard(AES)," FIPS PUB-197, Nov. 2002.
Universal Serial Bus, HID Usage Tables, Oct. 2004.
H. Y. Kim, "Study on the electromagnetic signal analysis of 27MHz wireless keyboards," M.S. Thesis, Kookmin university, 2014.
H. Y. Kim, B. Y. Sim, A. S. Park, and D. G. Han, "Analysis of 27MHz wireless keyboard electromagnetic signal using USRP and GNU radio," J. Korea Inst. Inf. Security and Cryptol., vol. 26, no. 1, pp. 81-91, Feb. 2016.
S. J. Lee, A. S. Park, B. Y. Sim, S. S. Kim, S. S. Oh, and D. G. Han, "Building of remote control attack system for 2.4 GHz wireless keyboard using an android smart phone," J. Korea Inst. Inf. Security and Cryptol., vol. 26, no. 4, pp. 871-883, Aug. 2016.
M. Fahnle and M. Hauff, "Analysis of unencrypted and encrypted wireless keyboard transmission implemented in GNU radio based software-defined radio," Univ. of Appl. Sci. Inst. Commun. Technol., Hochschul Ulm, 2011.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.