早在2018年黑帽大会上,安全研究人员就公布了一种名为“Bad USB”的攻击方法,只需插上USB即可设备 在PC或主机上,可以通过编程操作设备,模拟键盘实施攻击。
近年来,利用USB协议和接口入侵计算机的事件时有报道。
在近日举办的第四届互联网安全领袖峰会(简称“CSS”)腾讯安全探索论坛(TSec)上,腾讯安全玄武实验室安全研究员马卓分享了团队在USB漏洞挖掘领域的最新研究成果。
独特的无硬件漏洞挖掘方法引起了观众的兴趣。
经过由100人组成的品鉴大师小组评审后,该主题被授予专业奖。
(腾讯安全玄武实验室安全研究员马卓)高效无硬件检测发现同样多的漏洞。
据马卓介绍,腾讯安全玄武实验室从2016年开始就关注USB安全问题,团队利用Windows Update上的驱动漏洞进行挖掘研究。
由于USB驱动程序漏洞是从系统级别进行检查的,因此这些驱动程序将对应大量的设备类型。
传统的一对一人工结合硬件的检测方法无法满足大规模漏洞挖掘的需求。
最终,马卓决定搭建一个无硬件的环境,进行大规模的模糊测试来发现漏洞。
根据USB协议中的VID(Vendor ID,供应商识别码)和PID(Product ID,产品识别码)编号规则,借助微软驱动数据库,研究人员获得了总共可以自动识别的USB驱动程序。
通过Windows Update安装,覆盖目前最主流的X86和X64版本的Win7和Win10系统。
为了对这些驱动进行模糊测试,腾讯安全玄武实验室的安全人员使用了一套代码来模拟整个USB协议,使用QEMU来模拟主机,使用USB Redirect协议来模拟硬件。
经过模糊测试,玄武实验室的研究人员发现了数百个漏洞。
研究人员对这些漏洞进行了详细的研究和分析,并申请了CVE编号(Common Vulnerativity & Exposures,公开漏洞和暴露)。
从系统驱动程序入手,为USB保护提供了新的思路。
计算机等智能设备与外部数据的交互主要基于网络和USB接口。
尽管来自网络通信的攻击和威胁日益增多,各种网络防火墙、入侵检测系统和防病毒软件也在不断提高其防护水平。
对USB接口的保护和检测措施一直以对USB存储设备的检测和文件病毒扫描为主。
除USB存储设备之外的许多USB设备(例如键盘、鼠标等)都是直接受信任的,这意味着USB攻击提供了漏洞。
目前,USB海量存储设备的扫描和检测大多集成到防病毒软件和入侵检测系统中。
这些解决方案要么牺牲了实际应用中的便利性,要么只能针对特定的USB设备。
业内人士表示,在可预见的未来,USB攻击仍将基于硬件和软件的结合,向目标设备注入恶意软件。
坏USB就是其代表之一。
然而,攻击者利用USB枚举类型的改变将使攻击过程变得越来越隐蔽。
如果攻击者利用操作系统的驱动程序漏洞,攻击将更加难以防御。
此次,腾讯安全玄武实验室从Windows Update中的驱动程序漏洞入手。
它不仅为Windows发现了新的攻击面,也为USB接口的保护和检测提供了新的思路。
在可能的攻击到来之前,检查系统内部是否存在漏洞并采取预防措施。