USB设备对你的企业安全构成严重威胁吗?在2014年黑帽大会上,专家展示了一种新的威胁,被称为“BadUSB”,这种恶意软件可能通过常用USB设备渗透到你的网络中。
对于USB用户来说,上周四是糟糕的一天。即使你不使用这些无处不在的U盘设备,其他各种设备都在使用相同的协议,例如一些笔记本电脑的内置摄像头、插入式网卡以及偶尔使用的辅助显示器。
在2014年美国黑帽大会上,柏林SRLabs的安全研究人员Jakob Lell和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当不值得信任的状态。
无法检查的感染
BadUSB主要依靠USB拇指驱动器的构建方式,USB通常有一个大的可重写的内存芯片用于实际的数据存储,以及一个独立的控制器芯片。下图展示了一个被打开的USB的存储芯片;控制器芯片在电路板的另一侧。
这个控制芯片实际上是一个低功耗计算机,并且与你的笔记本电脑或台式机一样,它通过从内存芯片加载基本的引导程序来启动。类似于笔记本电脑的硬盘驱动器包含一个隐藏的主引导记录(Master Boot Record),内存芯片中内存单元的第一段包含让USB记录的编程。
对于启动程序,我们要记住两个重要的事情:它可以被重写,并且没有办法知道在内存芯片的隐藏部分正包含着什么。除了拆开内存芯片,使用非常先进的微电子设备进行检查外,我们没有办法检查里面包含正确的代码还是有一些已被恶意地替换。“为了检查被感染的USB设备,你必须寻找确证感染的症状,”Nohl表示,“你可以直接扫描USB。”
由于这种USB标准非常普及,攻击者的选择多种多样。Nohl和Lell展示的一个概念证明型攻击重新编程了USB设备,让它看起来像是一个USB连接的网卡。这个攻击重置了计算机用来对Web网址进行DNS解析的地址。由于USB实际并没有连接到网络,流量并不会发送到该USB。但通过正常的现有的网络或无线卡的Web请求将会使用恶意DNS服务器,这样一来,发送到银行等机构的请求将会被重定向到这些网站的黑客副本。Lell和Nohl现场展示了这种攻击,发送到eBay.com的浏览器请求被重定向到另一个网站。
重新启动也没有用
即使你扔掉感染的USB设备,聪明的攻击者将通过受害者电脑的USB端口来传播这种感染,可能通过系统中不太明显的USB驱动的组件。即使你完全清楚和重新加载电脑,当你重新启动时,其他电脑仍将会被感染,并会进一步传播感染。
Nohl表示:“我们可以让一个USB设备感染一台计算机,然后这台计算机感染其他USB设备。”这种BadUSB类型的病毒依赖于用来控制USB设备的芯片,并不是所有设备都使用这种相同的芯片。但是,现在市场上大约一半的拇指驱动器都在使用相同的芯片组,而这恰好是他们这三个概念证明型攻击所针对的芯片组。
“可以说,没有谁做错了什么,”Nohl在会议演示后的新闻发布会上表示,“USB的设计原理就是这样。你能够将所有不同类型的设备放到端口,并且它们都可以运作。你没有办法可以解决这个问题。只要我们有USB,就意味着我们有设备可以伪装成其他设备。这是USB如此受欢迎,而其他标准没有受欢迎的原因。”
由于USB无处不在,Nohl表示:“在未来10年左右的时间内,我们都将面对这个问题,只要我们在电脑中使用USB设备。这并不是修复和重新启动可以解决的问题,这是结构性的安全问题。”
虽然在黑帽大会上只展示了概念证明型攻击,USB安全讨论的一个重要因素已经很明显:这种攻击很可能已经出现在网络中。当在新闻发布会上被问及这种可能性时,Nohl表示,他们在黑帽大会上展示的一切(包括这个攻击)都出现在被泄露的美国安全局的文件中。更重要的是,在他们发现之前就已经出现。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
风险重播:2017黑帽大会亮点
2017黑帽大会(Black Hat 2017)充斥着新鲜的漏洞和新兴的威胁,包括针对移动设备的毁灭性概念攻击(proof-of-concept attack),以及旨在搞垮电网的首个恶意软件样本。
-
2015黑帽大会:机器学习安全需增加多样性
与扫描已知签名的系统相比,机器学习可更好地检测恶意软件。而在2015年黑帽大会上,研究人员称机器学习增加多样性可进一步拉开这个差距。
-
2015黑帽大会开篇:“互联网自由和开放正走向消亡”
法律专家Jennifer Granick在美国黑帽大会进行的开幕演讲中,为与会人士带来这样一个警示:互联网自由和开放正走向消亡。
-
漏洞频出现 供应商加紧推出新的Bash补丁
供应商正在迅速部署之前发布的针对“Shellshock”Bash漏洞的新补丁,然而,研究人员已发现了更多的Bash漏洞,企业将需要及时进行修复。