USB设备对你的企业安全构成严重威胁吗?在2014年黑帽大会上,专家展示了一种新的威胁,被称为“BadUSB”,这种恶意软件可能通过常用USB设备渗透到你的网络中。
对于USB用户来说,上周四是糟糕的一天。即使你不使用这些无处不在的U盘设备,其他各种设备都在使用相同的协议,例如一些笔记本电脑的内置摄像头、插入式网卡以及偶尔使用的辅助显示器。
在2014年美国黑帽大会上,柏林SRLabs的安全研究人员Jakob Lell和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当不值得信任的状态。
无法检查的感染
BadUSB主要依靠USB拇指驱动器的构建方式,USB通常有一个大的可重写的内存芯片用于实际的数据存储,以及一个独立的控制器芯片。下图展示了一个被打开的USB的存储芯片;控制器芯片在电路板的另一侧。
这个控制芯片实际上是一个低功耗计算机,并且与你的笔记本电脑或台式机一样,它通过从内存芯片加载基本的引导程序来启动。类似于笔记本电脑的硬盘驱动器包含一个隐藏的主引导记录(Master Boot Record),内存芯片中内存单元的第一段包含让USB记录的编程。
对于启动程序,我们要记住两个重要的事情:它可以被重写,并且没有办法知道在内存芯片的隐藏部分正包含着什么。除了拆开内存芯片,使用非常先进的微电子设备进行检查外,我们没有办法检查里面包含正确的代码还是有一些已被恶意地替换。“为了检查被感染的USB设备,你必须寻找确证感染的症状,”Nohl表示,“你可以直接扫描USB。”
由于这种USB标准非常普及,攻击者的选择多种多样。Nohl和Lell展示的一个概念证明型攻击重新编程了USB设备,让它看起来像是一个USB连接的网卡。这个攻击重置了计算机用来对Web网址进行DNS解析的地址。由于USB实际并没有连接到网络,流量并不会发送到该USB。但通过正常的现有的网络或无线卡的Web请求将会使用恶意DNS服务器,这样一来,发送到银行等机构的请求将会被重定向到这些网站的黑客副本。Lell和Nohl现场展示了这种攻击,发送到eBay.com的浏览器请求被重定向到另一个网站。
重新启动也没有用
即使你扔掉感染的USB设备,聪明的攻击者将通过受害者电脑的USB端口来传播这种感染,可能通过系统中不太明显的USB驱动的组件。即使你完全清楚和重新加载电脑,当你重新启动时,其他电脑仍将会被感染,并会进一步传播感染。
Nohl表示:“我们可以让一个USB设备感染一台计算机,然后这台计算机感染其他USB设备。”这种BadUSB类型的病毒依赖于用来控制USB设备的芯片,并不是所有设备都使用这种相同的芯片。但是,现在市场上大约一半的拇指驱动器都在使用相同的芯片组,而这恰好是他们这三个概念证明型攻击所针对的芯片组。
“可以说,没有谁做错了什么,”Nohl在会议演示后的新闻发布会上表示,“USB的设计原理就是这样。你能够将所有不同类型的设备放到端口,并且它们都可以运作。你没有办法可以解决这个问题。只要我们有USB,就意味着我们有设备可以伪装成其他设备。这是USB如此受欢迎,而其他标准没有受欢迎的原因。”
由于USB无处不在,Nohl表示:“在未来10年左右的时间内,我们都将面对这个问题,只要我们在电脑中使用USB设备。这并不是修复和重新启动可以解决的问题,这是结构性的安全问题。”
虽然在黑帽大会上只展示了概念证明型攻击,USB安全讨论的一个重要因素已经很明显:这种攻击很可能已经出现在网络中。当在新闻发布会上被问及这种可能性时,Nohl表示,他们在黑帽大会上展示的一切(包括这个攻击)都出现在被泄露的美国安全局的文件中。更重要的是,在他们发现之前就已经出现。