USB設(shè)備對(duì)你的企業(yè)安全構(gòu)成嚴(yán)重威脅嗎?在2014年黑帽大會(huì)上，專家展示了一種新的威脅，被稱為“BadUSB”，這種惡意軟件可能通過常用USB設(shè)備滲透到你的網(wǎng)絡(luò)中。

對(duì)于USB用戶來說，上周四是糟糕的一天。即使你不使用這些無處不在的U盤設(shè)備，其他各種設(shè)備都在使用相同的協(xié)議，例如一些筆記本電腦的內(nèi)置攝像頭、插入式網(wǎng)卡以及偶爾使用的輔助顯示器。

在2014年美國黑帽大會(huì)上，柏林SRLabs的安全研究人員Jakob Lell和獨(dú)立安全研究人員Karsten Nohl展示了他們稱為“BadUSB”(按照BadBIOS命名)的攻擊方法，這種攻擊方法讓USB安全和幾乎所有和USB相關(guān)的設(shè)備(包括具有USB端口的電腦)都陷入相當(dāng)不值得信任的狀態(tài)。

無法檢查的感染

BadUSB主要依靠USB拇指驅(qū)動(dòng)器的構(gòu)建方式，USB通常有一個(gè)大的可重寫的內(nèi)存芯片用于實(shí)際的數(shù)據(jù)存儲(chǔ)，以及一個(gè)獨(dú)立的控制器芯片。下圖展示了一個(gè)被打開的USB的存儲(chǔ)芯片;控制器芯片在電路板的另一側(cè)。

[[118092]]

這個(gè)控制芯片實(shí)際上是一個(gè)低功耗計(jì)算機(jī)，并且與你的筆記本電腦或臺(tái)式機(jī)一樣，它通過從內(nèi)存芯片加載基本的引導(dǎo)程序來啟動(dòng)。類似于筆記本電腦的硬盤驅(qū)動(dòng)器包含一個(gè)隱藏的主引導(dǎo)記錄(Master Boot Record)，內(nèi)存芯片中內(nèi)存單元的第一段包含讓USB記錄的編程。

對(duì)于啟動(dòng)程序，我們要記住兩個(gè)重要的事情：它可以被重寫，并且沒有辦法知道在內(nèi)存芯片的隱藏部分正包含著什么。除了拆開內(nèi)存芯片，使用非常先進(jìn)的微電子設(shè)備進(jìn)行檢查外，我們沒有辦法檢查里面包含正確的代碼還是有一些已被惡意地替換。“為了檢查被感染的USB設(shè)備，你必須尋找確證感染的癥狀，”Nohl表示，“你可以直接掃描USB。”

由于這種USB標(biāo)準(zhǔn)非常普及，攻擊者的選擇多種多樣。Nohl和Lell展示的一個(gè)概念證明型攻擊重新編程了USB設(shè)備，讓它看起來像是一個(gè)USB連接的網(wǎng)卡。這個(gè)攻擊重置了計(jì)算機(jī)用來對(duì)Web網(wǎng)址進(jìn)行DNS解析的地址。由于USB實(shí)際并沒有連接到網(wǎng)絡(luò)，流量并不會(huì)發(fā)送到該USB。但通過正常的現(xiàn)有的網(wǎng)絡(luò)或無線卡的Web請(qǐng)求將會(huì)使用惡意DNS服務(wù)器，這樣一來，發(fā)送到銀行等機(jī)構(gòu)的請(qǐng)求將會(huì)被重定向到這些網(wǎng)站的黑客副本。Lell和Nohl現(xiàn)場(chǎng)展示了這種攻擊，發(fā)送到eBay.com的瀏覽器請(qǐng)求被重定向到另一個(gè)網(wǎng)站。

重新啟動(dòng)也沒有用

即使你扔掉感染的USB設(shè)備，聰明的攻擊者將通過受害者電腦的USB端口來傳播這種感染，可能通過系統(tǒng)中不太明顯的USB驅(qū)動(dòng)的組件。即使你完全清楚和重新加載電腦，當(dāng)你重新啟動(dòng)時(shí)，其他電腦仍將會(huì)被感染，并會(huì)進(jìn)一步傳播感染。

Nohl表示：“我們可以讓一個(gè)USB設(shè)備感染一臺(tái)計(jì)算機(jī)，然后這臺(tái)計(jì)算機(jī)感染其他USB設(shè)備。”這種BadUSB類型的病毒依賴于用來控制USB設(shè)備的芯片，并不是所有設(shè)備都使用這種相同的芯片。但是，現(xiàn)在市場(chǎng)上大約一半的拇指驅(qū)動(dòng)器都在使用相同的芯片組，而這恰好是他們這三個(gè)概念證明型攻擊所針對(duì)的芯片組。

“可以說，沒有誰做錯(cuò)了什么，”Nohl在會(huì)議演示后的新聞發(fā)布會(huì)上表示，“USB的設(shè)計(jì)原理就是這樣。你能夠?qū)⑺胁煌愋偷脑O(shè)備放到端口，并且它們都可以運(yùn)作。你沒有辦法可以解決這個(gè)問題。只要我們有USB，就意味著我們有設(shè)備可以偽裝成其他設(shè)備。這是USB如此受歡迎，而其他標(biāo)準(zhǔn)沒有受歡迎的原因。”

由于USB無處不在，Nohl表示：“在未來10年左右的時(shí)間內(nèi)，我們都將面對(duì)這個(gè)問題，只要我們?cè)陔娔X中使用USB設(shè)備。這并不是修復(fù)和重新啟動(dòng)可以解決的問題，這是結(jié)構(gòu)性的安全問題。”

雖然在黑帽大會(huì)上只展示了概念證明型攻擊，USB安全討論的一個(gè)重要因素已經(jīng)很明顯：這種攻擊很可能已經(jīng)出現(xiàn)在網(wǎng)絡(luò)中。當(dāng)在新聞發(fā)布會(huì)上被問及這種可能性時(shí)，Nohl表示，他們?cè)诤诿贝髸?huì)上展示的一切(包括這個(gè)攻擊)都出現(xiàn)在被泄露的美國安全局的文件中。更重要的是，在他們發(fā)現(xiàn)之前就已經(jīng)出現(xiàn)。