[[121017]]

世界上最邪惡的USB外設(shè) – BadUSB

在2014年美國(guó)黑帽大會(huì)上，柏林SRLabs的安全研究人員JakobLell和獨(dú)立安全研究人員Karsten Nohl展示了他們稱為“BadUSB”(按照BadBIOS命名)的攻擊方法，這種攻擊方法讓USB安全和幾乎所有和USB相關(guān)的設(shè)備(包括具有USB端口的電腦)都陷入相當(dāng)危險(xiǎn)的狀態(tài)。

研究人員公布漏洞利用方法

我一直在關(guān)注由兩個(gè)安全研究人員曝光的一個(gè)漏洞利用(exploit)：SR實(shí)驗(yàn)室的亞當(dāng)·考迪爾和布蘭登·威爾遜。他們對(duì)影響數(shù)以百萬(wàn)計(jì)的設(shè)備的USB固件進(jìn)行了逆向，可以讓黑客向計(jì)算機(jī)中插入惡意代碼。

[[121018]]

令人喜憂參半的是研究人員在Github公布了BadUSB的利用代碼，任何互聯(lián)網(wǎng)用戶都可以輕易獲取。

Github鏈接：https://github.com/adamcaudill/Psychson

先前，卡斯滕·諾爾和雅各布·萊爾在拉斯維加斯的BlackHat 2014大會(huì)演示了BadUSB利用方法，聲稱由臺(tái)灣制造商群聯(lián)發(fā)布的USB固件能夠被注入不可檢測(cè)、不可修復(fù)的惡意代碼。

至關(guān)重要的是，盡管當(dāng)時(shí)諾爾并未公布漏洞利用代碼，但是考迪爾和威爾遜隨后在最近的DerbyCon會(huì)議上公布了有關(guān)BadUSB的更為全面的信息。

“我們所持有的理念是BadUSB的所有細(xì)節(jié)都應(yīng)公之于眾，不應(yīng)藏著掖著。因此，我們公布了所知道的全部信息”?？嫉蠣柛嬖VDerbyCon會(huì)上的聽(tīng)眾。“如果你能夠證明那里確實(shí)存在一個(gè)缺陷，你理應(yīng)公布相應(yīng)資料來(lái)幫助人們來(lái)共商對(duì)策”。

該漏洞可以修改USB設(shè)備固件，以一種不可檢測(cè)的方式在U盤和其他設(shè)備中隱藏惡意代碼。即使擦除設(shè)備的內(nèi)容也是無(wú)濟(jì)于事，Wired稱該漏洞為“實(shí)際上不可修復(fù)的”。一旦USB設(shè)備被感染，它會(huì)試圖感染連接的任何設(shè)備。

研究人員指出黑客可以使用一個(gè)USB微控制器偽裝成計(jì)算機(jī)上的鍵盤并運(yùn)行數(shù)據(jù)竊取的命令。在這種方式下，攻擊者訪問(wèn)一臺(tái)計(jì)算機(jī)僅需幾秒鐘，指示計(jì)算機(jī)執(zhí)行一系列命令，包括竊取數(shù)據(jù)、禁用安全策略、安裝惡意軟件。

鑒于BadUSB的特性，攻擊可以悄無(wú)聲息的進(jìn)行，即使設(shè)備連接的系統(tǒng)上安裝了反病毒軟件。因?yàn)樵撀┒措y以修復(fù)，許多USB設(shè)備可能需要重新設(shè)計(jì)，而現(xiàn)有的USB設(shè)備無(wú)法確保安全。

諾爾承認(rèn)“大部分情況下該漏洞是無(wú)法修復(fù)的”，實(shí)現(xiàn)全面防護(hù)需要花費(fèi)幾年，甚至十幾年。值得注意的是，斯諾登披露的數(shù)據(jù)暗示NSA有一個(gè)間諜設(shè)備“ Cottonmouth”(單詞意思是水腹蛇或百步蛇)，可以利用一個(gè)USB漏洞來(lái)轉(zhuǎn)發(fā)信息和監(jiān)控計(jì)算機(jī)，揭示了BadUSB的潛在危害。

公布利用代碼是為了盡快產(chǎn)生防護(hù)方案

在GitHub上公布BadUSB代碼意味著黑客可以利用公開(kāi)信息來(lái)實(shí)現(xiàn)漏洞利用，也極大地增加了消費(fèi)者所面臨的風(fēng)險(xiǎn)。換個(gè)調(diào)度來(lái)說(shuō)，漏洞利用代碼的發(fā)布也將幫助研究人員盡快提出防護(hù)方案。(這是把研究人員直接丟進(jìn)沸水里面煮，能不趕緊拿方案嘛)。

研究人員表示他們正在致力于另一個(gè)漏洞利用，當(dāng)文件從USB設(shè)備拷貝到PC上時(shí)，可以將惡意代碼偷偷地注入到文件中。在惡意代碼中增加一個(gè)USB感染功能，就有可能利用U盤來(lái)快速傳播惡意代碼，先感染計(jì)算機(jī)，然后被感染的計(jì)算機(jī)再感染接入的其他USB設(shè)備。

在這種情況下，你當(dāng)然會(huì)希望傳統(tǒng)的反病毒軟件可以檢測(cè)到位于計(jì)算機(jī)上的已感染惡意代碼的文件 – 如果沒(méi)有在USB設(shè)備上。

“難以尋找到‘證明該漏洞是有可能存在的’和‘讓人們確實(shí)輕易的利用該漏洞’之間的一個(gè)平衡點(diǎn)”考迪爾說(shuō)“此時(shí)存在著一個(gè)道德困境。我們希望我們站在正確的一邊。”

就個(gè)人而言，我希望考迪爾和威爾遜找到了一個(gè)兩全其美的方法，既增強(qiáng)了人們對(duì)該安全漏洞的防范意識(shí)，又沒(méi)有給犯罪分子提供利用漏洞所需的全部拼圖。不管怎么說(shuō)，根據(jù)他們已發(fā)布的信息，黑客能夠加速地利用該漏洞。

既然天機(jī)已經(jīng)泄漏，我們應(yīng)該給USB制造商的施壓，讓他們一起行動(dòng)起來(lái)，否則很多人都將成為受害者。我還建議人們使用USB設(shè)備應(yīng)當(dāng)小心。在條件允許的情況下，只使用他人未曾接觸過(guò)的USB設(shè)備。

參考信息來(lái)源blog.lumension.com，內(nèi)容有所刪減，盡量保留了原文本意。