USB設備對你的企業安全構成嚴重威脅嗎?在2014年黑帽大會上，專家展示了一種新的威脅，被稱為“BadUSB”，這種惡意軟件可能通過常用USB設備滲透到你的網絡中。

對于USB用戶來說，上周四是糟糕的一天。即使你不使用這些無處不在的U盤設備，其他各種設備都在使用相同的協議，例如一些筆記本電腦的內置攝像頭、插入式網卡以及偶爾使用的輔助顯示器。

在2014年美國黑帽大會上，柏林SRLabs的安全研究人員Jakob Lell和獨立安全研究人員Karsten Nohl展示了他們稱為“BadUSB”(按照BadBIOS命名)的攻擊方法，這種攻擊方法讓USB安全和幾乎所有和USB相關的設備(包括具有USB端口的電腦)都陷入相當不值得信任的狀態。

無法檢查的感染

BadUSB主要依靠USB拇指驅動器的構建方式，USB通常有一個大的可重寫的內存芯片用于實際的數據存儲，以及一個獨立的控制器芯片。下圖展示了一個被打開的USB的存儲芯片;控制器芯片在電路板的另一側。

[[118092]]

這個控制芯片實際上是一個低功耗計算機，并且與你的筆記本電腦或臺式機一樣，它通過從內存芯片加載基本的引導程序來啟動。類似于筆記本電腦的硬盤驅動器包含一個隱藏的主引導記錄(Master Boot Record)，內存芯片中內存單元的第一段包含讓USB記錄的編程。

對于啟動程序，我們要記住兩個重要的事情：它可以被重寫，并且沒有辦法知道在內存芯片的隱藏部分正包含著什么。除了拆開內存芯片，使用非常先進的微電子設備進行檢查外，我們沒有辦法檢查里面包含正確的代碼還是有一些已被惡意地替換。“為了檢查被感染的USB設備，你必須尋找確證感染的癥狀，”Nohl表示，“你可以直接掃描USB。”

由于這種USB標準非常普及，攻擊者的選擇多種多樣。Nohl和Lell展示的一個概念證明型攻擊重新編程了USB設備，讓它看起來像是一個USB連接的網卡。這個攻擊重置了計算機用來對Web網址進行DNS解析的地址。由于USB實際并沒有連接到網絡，流量并不會發送到該USB。但通過正常的現有的網絡或無線卡的Web請求將會使用惡意DNS服務器，這樣一來，發送到銀行等機構的請求將會被重定向到這些網站的黑客副本。Lell和Nohl現場展示了這種攻擊，發送到eBay.com的瀏覽器請求被重定向到另一個網站。

重新啟動也沒有用

即使你扔掉感染的USB設備，聰明的攻擊者將通過受害者電腦的USB端口來傳播這種感染，可能通過系統中不太明顯的USB驅動的組件。即使你完全清楚和重新加載電腦，當你重新啟動時，其他電腦仍將會被感染，并會進一步傳播感染。

Nohl表示：“我們可以讓一個USB設備感染一臺計算機，然后這臺計算機感染其他USB設備。”這種BadUSB類型的病毒依賴于用來控制USB設備的芯片，并不是所有設備都使用這種相同的芯片。但是，現在市場上大約一半的拇指驅動器都在使用相同的芯片組，而這恰好是他們這三個概念證明型攻擊所針對的芯片組。

“可以說，沒有誰做錯了什么，”Nohl在會議演示后的新聞發布會上表示，“USB的設計原理就是這樣。你能夠將所有不同類型的設備放到端口，并且它們都可以運作。你沒有辦法可以解決這個問題。只要我們有USB，就意味著我們有設備可以偽裝成其他設備。這是USB如此受歡迎，而其他標準沒有受歡迎的原因。”

由于USB無處不在，Nohl表示：“在未來10年左右的時間內，我們都將面對這個問題，只要我們在電腦中使用USB設備。這并不是修復和重新啟動可以解決的問題，這是結構性的安全問題。”

雖然在黑帽大會上只展示了概念證明型攻擊，USB安全討論的一個重要因素已經很明顯：這種攻擊很可能已經出現在網絡中。當在新聞發布會上被問及這種可能性時，Nohl表示，他們在黑帽大會上展示的一切(包括這個攻擊)都出現在被泄露的美國安全局的文件中。更重要的是，在他們發現之前就已經出現。