사내 직원들이 보안을 고려하지 않고, 업무용 PC를 사용해서 많은 침해사고가 발생하고 있다. 이런 보안 이슈를 줄이고자 많은 기업들은 업무용 PC에 보안 솔루션을 설치 및 실행한다.
하지만, 직원들은 수 많은 보안 솔루션으로 인해 속도 느림, 불편함 등의 일을 겪고 있지만 보안을 향상시키려면 이런 것도 감수해야 된다.
PC 보안 솔루션은 기본적으로 USB 연결, 읽기, 쓰기 등을 차단한다. 하지만, 일부 PC 보안 솔루션에서 안전모드로 부팅 시 USB 연결을 제대로 차단하지 못하는 문제가 존재한다.
컴퓨터에 PC 보안 솔루션이 설치되어 있는 상태에서 USB 연결 차단을 우회하는 방법을 알아보자.
저장용 USB 포트 차단
USB 연결 차단을 우회하는 방법을 알아보기 앞서 저장용 USB 포트를 차단하는 방법부터 알아보자.
저장용 USB 포트를 차단하는 방법은 여러가지가 있는데, 이 중에서 레지스트리를 이용하면 간단하게 차단이 된다.
USBSTOR 경로로 이동하면 Start 값이 기본적으로 3으로 설정되어 있다. 이 값이 3이면 USB 포트가 활성화되고, 4이면 USB 포트가 비활성화 된다.
현재 윈도우 운영체제를 부팅한 상태에서 Start 값을 4로 변경하고, 저장용 USB를 연결해보면 내 컴퓨터에 해당 장치가 인식되지 않는다.
또한, 장치관리자의 범용 직렬 버스 컨트롤러에 해당 장치가 느낌표로 표시되어 있고, 장치를 더블클릭하면 사용할 수 없다고 나타난다.
HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR
- Start(3) : USB 활성화
- Start(4) : USB 비활성화
※ USB 키보드, USB 마우스는 정상적으로 작동
※ 재부팅 없이 바로 적용
USB 연결 차단 우회
컴퓨터에 PC 보안 솔루션이 설치되어 있는 상태에서 저장용 USB를 연결하면 보안 솔루션이 작동하여 차단한다.
▣ 유저모드 부팅 > PC 보안 솔루션 실행 > USB 장치 연결
⊙ 백그라운로드 실행중인 PC 보안 솔루션이 작동하여 USB 장치 연결을 차단
▣ 탐색기 실행 > E:\(USB 장치 연결 드라이브) 더블 클릭 > 액세스 거부
⊙ Vmware와 같은 느린 환경은 드라이브를 언로드하는데 약간의 딜레이가 있음
⊙ 실질적인 PC에서 실행하면 탐색기에서 드라이브가 보이지 않음
▣ 볼륨 목록 > E:\는 미디어가 없는 상태
안전모드로 부팅하여 USB를 연결하면 보안 솔루션이 차단하지 않는다. 하지만, 수 많은 보안 솔루션은 안전모드에서 작동한다.
▣ 안전 모드 부팅 > USB 장치 연결
⊙ 공개된 PC 보안 솔루션은 안전모드에서도 작동
⊙ 테스트용 PC 보안 솔루션은 USB 장치 연결을 차단하지 않음
▣ 탐색기 실행 -> E:\(USB 장치 연결 드라이브) 더블 클릭 -> 엑세스 거부
⊙ PC 보안 솔루션이 설치되어 있지 않는 환경에서 접근 시 엑세스 거부되지 않음
▣ 볼륨 목록 -> E:\에 정상적으로 연결되어 있는 상태
USB 장치가 연결된 드라이브를 삭제하고 비어있는 디렉토리로 연결한다.
▣ USB 장치가 연결된 드라이브 삭제 > 비어있는 디렉토리로 연결
⊙ 기본적으로 USB 장치를 연결하면 특정 드라이브로 연결된다. 하지만, 이것을 디렉토리로 연결하면 디렉토리에 USB 내용이 존재
⊙ 이것을 안전 모드에서 하는 이유는 유저 모드에서는 USB를 연결하자 마자 차단 및 언로드되므로 할 수 없음
유저모드로 부팅하여 USB를 연결하면 보안 솔루션이 차단하지 않아 정상적으로 연결된다.
▣ 유저 모드 부팅 > USB 장치 연결
⊙ PC 보안 솔루션이 해당 USB를 차단하지 않음
▣ 볼륨 목록 > C:\DazeHack(USB 장치 연결 디렉토리) > 정상적으로 연결
USB가 연결된 디렉토리로 이동하여 쓰기 작업을 수행하면 정상적으로 쓰기 작업이된다.
PC 보안 솔루션이 백그라운드로 구동중인데, 해당 USB를 연결 및 해제 반복을 해도 특정 디렉토리에 자동으로 연결된다. 즉, 디렉토리로 연결된 것은 차단하지 못한다.
▣ USB 장치가 연결된 디렉토리 이동 > 디렉토리 목록 조회 및 쓰기 가능
⊙ 기본적으로 탐색기 및 쉘에서 해당 디렉토리 접근 시 접근 거부
- 사용자 권한을 설정해도 접근 거부
- 이것을 해결하려면 권한 상승이 필요
