邪恶的USB驱动器可能无法检测到您的PC

如果您尚未在PC上关闭USB自动播放功能，则可以想象插入受感染的USB驱动器可能会在系统上安装恶意软件。 Stuxnet炸毁了铀净化离心机的工程师们知道了这一艰难的方法。 但是事实证明，自动播放恶意软件并不是USB设备可以武器化的唯一方法。 在2014年Black Hat会议上，来自柏林的SRLabs的两名研究人员揭示了一种修改USB设备的控制器芯片的技术，以便它可以“欺骗其他各种设备类型，以控制计算机，泄露数据或监视用户” ”。 这听起来有点不好，但实际上这确实非常可怕。

转向黑暗面

“我们是一个通常专注于嵌入式安全性的黑客实验室，”研究员Karsten Noll在一个拥挤的房间里说道。 “这是我们第一次看到具有嵌入式角度的计算机安全性。如何以恶意方式重新利用USB？”

研究人员Jakob Lell跳入了演示。 他将USB驱动器插入Windows计算机。 正如您所期望的那样，它以驱动器的形式出现。 但是不久之后，它重新定义为USB键盘，并发出了下载远程访问Trojan的命令。 鼓掌！

诺尔说：“我们不会谈论USB存储设备中的病毒。” “我们的技术适用于空磁盘。您甚至可以对其重新格式化。这不是可以修补的Windows漏洞。我们专注于部署，而不是木马。”

控制控制器

“ USB非常流行，” Noll说。 “大多数（如果不是全部）USB设备都有一个控制器芯片。您永远不会与该芯片进行交互，操作系统也不会看到它。但是，这个控制器就是'与USB对话'的东西。”

USB芯片会向计算机识别其设备类型，并且可以随时重复此过程。 Noll指出，有充分的理由使一台设备将自己呈现为多种设备，例如网络摄像头具有一个用于视频的驱动程序，而另一个用于所连接的麦克风的驱动程序。 真正识别USB驱动器非常困难，因为序列号是可选的，并且没有固定格式。

Lell遵循了团队采取的精确步骤，以对特定类型的USB控制器上的固件进行重新编程。 简而言之，他们必须监听固件更新过程，对固件进行反向工程，然后创建包含恶意代码的固件的修改版本。 诺尔指出：“我们并未破坏有关USB的 一切 。” “我们对两个非常流行的控制器芯片进行了逆向工程。第一个可能要花两个月，第二个要花一个月。”

自我复制

对于第二个演示，Lell从第一个演示中将一个全新的空白USB驱动器插入受感染的PC中。 被感染的PC重新编程了空白USB驱动器的固件，从而进行自我复制。 噢亲爱的。

接下来，他将刚感染的驱动器插入Linux笔记本电脑，该笔记本电脑会发出明显的键盘命令来加载恶意代码。 演示再次引起了观众的掌声。

窃取密码

Noll说：“这是第二个例子，其中一个USB回显了另一种设备类型，但这只是冰山一角。在下一个演示中，我们将USB 3驱动器重新编程为难于检测的设备类型。仔细观察，几乎看不到。”

确实，我无法检测到网络图标的闪烁，但是在插入USB驱动器之后，出现了一个新的网络。 Noll解释说，驱动器现在正在仿真以太网连接，从而重定向了计算机的DNS查找。 具体来说，如果用户访问PayPal网站，则会无形中将其重定向到密码窃取网站。 las，恶魔宣称这是一个魔鬼。 它没有用。

信任USB

Noll说：“让我们讨论一下我们对USB的信任。” “它之所以受欢迎，是因为它易于使用。通过USB交换文件比使用未加密的电子邮件或云存储要好。USB征服了世界。我们知道如何对USB驱动器进行病毒扫描。我们更加信任USB键盘。这项研究破坏这种信任。”

他继续说：“不仅仅是有人为您提供USB的情况。” “仅将设备连接到您的计算机即可感染它。在最后一个演示中，我们将使用最简单的USB攻击者，即Android手机。”

莱尔说：“让我们将这部标准的Android手机连接到计算机上，然后看看会发生什么。哦，突然有另外一个网络设备。让我们去PayPal并登录。没有错误信息，什么也没有。但是我们捕获了用户名和密码！” 这次，掌声雷动。

“您会检测到Android手机变成了以太网设备吗？” 诺尔问。 “您的设备控制或数据丢失防护软件是否可以检测到它？根据我们的经验，大多数设备没有检测到。大多数设备只专注于USB存储设备，而没有关注其他设备类型。”

引导区感染者的归还

Noll说：“ BIOS进行的USB枚举类型与操作系统不同。” “我们可以通过模拟两个驱动器和一个键盘的设备来利用它。操作系统只会看到一个驱动器。第二个驱动器仅出现在BIOS中，如果进行配置，它将从该驱动器引导。 ，我们可以发送任何击键（例如F12）以启用从设备启动。”

Noll指出，rootkit代码在操作系统之前加载，并且可以感染其他USB驱动器。 他说：“这是病毒的完美部署。” “在加载任何防病毒软件之前，它已经在计算机上运行。这是引导扇区病毒的返回。”

可以做什么？

Noll指出，要清除USB固件中存在的病毒将非常困难。 将其从USB闪存驱动器中取出，可能会通过USB键盘重新感染。 甚至连您PC内置的USB设备也可能受到感染。

Noll说：“不幸的是，没有简单的解决方案。几乎我们所有的保护理念都会干扰USB的实用性。” “您可以将受信任的USB设备列入白名单吗？好吧，如果USB设备是唯一可识别的，但您不能识别。

他继续说：“您可以完全阻止USB，但这会影响可用性。” “您可以阻止关键设备类型，但即使是非常基础的类也可能被滥用。删除这些设备后，剩余的资源就很少了。如何扫描恶意软件？不幸的是，要读取固件，您必须依靠固件本身的功能，因此恶意固件可能会欺骗合法固件。”

Noll说：“在其他情况下，供应商使用数字签名阻止恶意固件更新。” “但是很难在小型控制器上实现安全加密。无论如何，数十亿现有设备仍然容易受到攻击。”

Noll说：“我们想到的一个可行的想法是在工厂禁用固件更新。” “最后一步，就是做到了，这样就无法对固件进行重新编程。您甚至可以在软件中对其进行修复。刻录一个新的固件升级程序可阻止所有进一步的更新。我们可以征服受信任的USB设备领域的一小部分”。

Noll通过指出此处描述的控制器修改技术的一些积极用途来总结了这一点。 他说：“有必要为那些正在玩这个游戏的人辩护，但在可信赖的环境中则不然。” 我（其中之一）永远不会像以前那样看待任何USB设备。