可以通过查看其中的形状和控制器模型来避免 BadUSB 吗?

信息安全 恶意软件 视窗 硬件 USB
2021-08-24 15:30:05

我是一个普通用户。我不参加或从事任何危险的工作。

我知道这种类型的攻击没有固定的解决方案。但是,我认为 USB 仍然是普通用户的常用设备。很多普通用户仍然使用 USB 作为键盘、鼠标、加密狗将数据从手机传输到 PC 等。但是在了解了 BadUSB 之后,我意识到了这一点。所以我的目标是作为普通用户防止 badusb 攻击。

通过阅读文章、在几个论坛上搜索和查看 Github,我已经审查了大约 30 种类型的 BadUSB。

我有一些过早的结论,即 BadUSB 内部的大多数硬件明显不同于商店中的普通或标准 USBBadUSB 的示例列表,

  1. 马尔杜伊诺(https://maltronics.com/collections/malduinos
  2. TinyDuck ( https://github.com/justcallmekoko/Tinyduck )
  3. USB 按键注射器(https://github.com/AmirrezaNasiri/usb-keystroke-injector
  4. USBDriveBy (Samy.pl)
  5. RubberDucky ( https://shop.hak5.org/products/usb-rubber-ducky-deluxe )
  6. 优步HID(https://github.com/kripthor/UberHid
  7. USBSamurai(https://securityaffairs.co/wordpress/89978/hacking/usbsamurai-usb-hid.html
  8. USBKeylogger ( https://github.com/justcallmekoko/USBKeylogger )

我只发现了由 BrandonLW 和 Adam Caudill (github.com/brandonlw/Psychson) 制造的 1(一个)BadUSB 类型,看起来与标准 USB 完全一样。但是,他们的代码仅适用于几个 USB 控制器。DevElectron 在 Hak5 论坛上的声明也证实了这一点。(“我必须首先提到它不能用所有你需要的 U 盘来完成,你需要一个带有特定 Nand 芯片组的 U 盘。”

  • forums.hak5.org/topic/34950-how-to-make-a-usb-rubber-ducky-using-a-normal-usb-stick -

那么,你怎么看呢?我对 BadUSB 的理解正确吗?

或者官方商店的任何类型的 USB 都容易受到这种攻击?

如果任何一种 USB 都容易受到攻击,这意味着这种攻击甚至可以应用于 SSD 外部和 HDD 外部,对吧?

那么,如何确保官方品牌的 SSD 或 USB 不受 BadUSB 的影响?

2个回答

不,你看不出来。

你的推理有两个错误。一是您混淆了两种攻击方法:修改现有设备和从头开始制作设备。另一个是您的研究显然存在观察偏差(大概是因为您正在寻找在网络上更容易找到的东西)。

最初,BadUSB 是对现有 USB 设备固件的利用。与任何固件漏洞一样,它特定于特定设备或使用类似固件的一组设备。许多设备的固件都容易受到这种漏洞的影响,但必须为每个设备编写漏洞。此漏洞利用的目标是利用现有的“无害”设备,例如 USB 闪存驱动器,并通过添加集线器的功能将其变成多功能设备(以便设备继续为其原始目的工作)和恶意设备,例如用于注入恶意命令的键盘。它之所以有效,是因为从计算机的角度来看,该设备只是在遵循 USB 协议的线路上发送流量。如果设备可以重新编程以发送流量说它是集线器,那么就计算机而言,它是一个集线器。这种类型的设备显然看起来没有冒犯性,因为它的物理特性与您认为的完全一样:只有设备上运行的软件是恶意的。

“BadUSB”已扩展为这种攻击的一种变体,它通过不同的方式达到相同的目标。这种攻击的目标是拥有一个看起来像闪存驱动器的设备,但实际上是一个连接到闪存驱动器和键盘的集线器。您可以通过修改闪存驱动器或构建自己的设备来做到这一点。如果您构建自己的设备,您当然可以让它看起来像一个普通的闪存驱动器,但您不必这样做。展示这种可能性的业余爱好者和安全研究人员通常不会费心确保他们使用的芯片足够小以适合预期的体积并将它们成型在一个有形状的塑料外壳中。但也有人出于邪恶目的这样做,因此不介意支付一些制造成本。如果你'

您的研究主要发现了业余爱好者的项目,这些项目使用可以以便宜的价格少量购买的电子元件构建定制的 USB 存储+键盘设备。这是意料之中的:这些人制作网页来解释这一切是如何运作的。实际的黑帽子不会费心去做,所以他们的网络形象明显较低。

要实际评估 BadUSB(包括专用变体)是否可检测,您需要查看攻击者实际使用的设备,而不是教学设备。似乎没有很多关于这些的公开细节。但我确实找到了一篇带照片的文章

BadUSB 驱动器的照片

这看起来与任何其他 USB 拇指驱动器没有什么不同。

此类设备的售价仅略高于普通拇指驱动器。你甚至在你的问题中列出了一个,橡皮鸭

橡皮鸭

再一次,这看起来像一个普通的拇指驱动器。唯一使它与众不同的是徽标,这当然非常容易更改。即使看里面的电子设备,你也无法判断它不仅仅是一个拇指驱动器,除非你确切地知道这个特定模型在里面的样子。

您无法通过查看设备来避免 BadUSB。您需要了解设备的监管链。仅接受来自您认为没有恶意不会被恶意设备愚弄的人的 USB 设备。如果您绝对需要插入您不信任的 USB 设备,请将您的操作系统配置为仅自动接受 USB 存储设备并要求对任何其他类型的设备进行确认,并确保永远不要从该设备运行软件或打开可能包含恶意宏的文件(例如 Microsoft Office 文件)。

O.MG 电缆专为逃避视觉识别而设计。 https://twitter.com/_mg_/status/1304614171540033536?s=21

并且有多种电缆类型:https ://twitter.com/_mg_/status/1225821814296723457?s=21

还有 DemonSeed,它允许构建定制电缆,这使得视觉识别更加困难:https ://youtu.be/7hToZTe-1LI

它们都列在https://o.mg.lol

其它你可能感兴趣的问题
上一篇防御 DOS 攻击 下一篇所有 SSL/TLS 实现都容易受到 Heartbleed 错误的影响吗?