[[121017]]

世界上最邪惡的USB外設(shè) – BadUSB

在2014年美國黑帽大會上，柏林SRLabs的安全研究人員JakobLell和獨立安全研究人員Karsten Nohl展示了他們稱為“BadUSB”(按照BadBIOS命名)的攻擊方法，這種攻擊方法讓USB安全和幾乎所有和USB相關(guān)的設(shè)備(包括具有USB端口的電腦)都陷入相當(dāng)危險的狀態(tài)。

研究人員公布漏洞利用方法

我一直在關(guān)注由兩個安全研究人員曝光的一個漏洞利用(exploit)：SR實驗室的亞當(dāng)·考迪爾和布蘭登·威爾遜。他們對影響數(shù)以百萬計的設(shè)備的USB固件進行了逆向，可以讓黑客向計算機中插入惡意代碼。

[[121018]]

令人喜憂參半的是研究人員在Github公布了BadUSB的利用代碼，任何互聯(lián)網(wǎng)用戶都可以輕易獲取。

Github鏈接：https://github.com/adamcaudill/Psychson

先前，卡斯滕·諾爾和雅各布·萊爾在拉斯維加斯的BlackHat 2014大會演示了BadUSB利用方法，聲稱由臺灣制造商群聯(lián)發(fā)布的USB固件能夠被注入不可檢測、不可修復(fù)的惡意代碼。

至關(guān)重要的是，盡管當(dāng)時諾爾并未公布漏洞利用代碼，但是考迪爾和威爾遜隨后在最近的DerbyCon會議上公布了有關(guān)BadUSB的更為全面的信息。

“我們所持有的理念是BadUSB的所有細(xì)節(jié)都應(yīng)公之于眾，不應(yīng)藏著掖著。因此，我們公布了所知道的全部信息”。考迪爾告訴DerbyCon會上的聽眾。“如果你能夠證明那里確實存在一個缺陷，你理應(yīng)公布相應(yīng)資料來幫助人們來共商對策”。

該漏洞可以修改USB設(shè)備固件，以一種不可檢測的方式在U盤和其他設(shè)備中隱藏惡意代碼。即使擦除設(shè)備的內(nèi)容也是無濟于事，Wired稱該漏洞為“實際上不可修復(fù)的”。一旦USB設(shè)備被感染，它會試圖感染連接的任何設(shè)備。

研究人員指出黑客可以使用一個USB微控制器偽裝成計算機上的鍵盤并運行數(shù)據(jù)竊取的命令。在這種方式下，攻擊者訪問一臺計算機僅需幾秒鐘，指示計算機執(zhí)行一系列命令，包括竊取數(shù)據(jù)、禁用安全策略、安裝惡意軟件。

鑒于BadUSB的特性，攻擊可以悄無聲息的進行，即使設(shè)備連接的系統(tǒng)上安裝了反病毒軟件。因為該漏洞難以修復(fù)，許多USB設(shè)備可能需要重新設(shè)計，而現(xiàn)有的USB設(shè)備無法確保安全。

諾爾承認(rèn)“大部分情況下該漏洞是無法修復(fù)的”，實現(xiàn)全面防護需要花費幾年，甚至十幾年。值得注意的是，斯諾登披露的數(shù)據(jù)暗示NSA有一個間諜設(shè)備“ Cottonmouth”(單詞意思是水腹蛇或百步蛇)，可以利用一個USB漏洞來轉(zhuǎn)發(fā)信息和監(jiān)控計算機，揭示了BadUSB的潛在危害。

公布利用代碼是為了盡快產(chǎn)生防護方案

在GitHub上公布BadUSB代碼意味著黑客可以利用公開信息來實現(xiàn)漏洞利用，也極大地增加了消費者所面臨的風(fēng)險。換個調(diào)度來說，漏洞利用代碼的發(fā)布也將幫助研究人員盡快提出防護方案。(這是把研究人員直接丟進沸水里面煮，能不趕緊拿方案嘛)。

研究人員表示他們正在致力于另一個漏洞利用，當(dāng)文件從USB設(shè)備拷貝到PC上時，可以將惡意代碼偷偷地注入到文件中。在惡意代碼中增加一個USB感染功能，就有可能利用U盤來快速傳播惡意代碼，先感染計算機，然后被感染的計算機再感染接入的其他USB設(shè)備。

在這種情況下，你當(dāng)然會希望傳統(tǒng)的反病毒軟件可以檢測到位于計算機上的已感染惡意代碼的文件 – 如果沒有在USB設(shè)備上。

“難以尋找到‘證明該漏洞是有可能存在的’和‘讓人們確實輕易的利用該漏洞’之間的一個平衡點”考迪爾說“此時存在著一個道德困境。我們希望我們站在正確的一邊。”

就個人而言，我希望考迪爾和威爾遜找到了一個兩全其美的方法，既增強了人們對該安全漏洞的防范意識，又沒有給犯罪分子提供利用漏洞所需的全部拼圖。不管怎么說，根據(jù)他們已發(fā)布的信息，黑客能夠加速地利用該漏洞。

既然天機已經(jīng)泄漏，我們應(yīng)該給USB制造商的施壓，讓他們一起行動起來，否則很多人都將成為受害者。我還建議人們使用USB設(shè)備應(yīng)當(dāng)小心。在條件允許的情況下，只使用他人未曾接觸過的USB設(shè)備。

參考信息來源blog.lumension.com，內(nèi)容有所刪減，盡量保留了原文本意。