研究人員公布BadUSB攻擊測試(exploit)代碼
責編:admin |2014-10-11 20:32:17在2014年美國黑帽大會上,柏林SRLabs的安全研究人員JakobLell和獨立安全研究人員Karsten Nohl展示了他們稱為“BadUSB”(按照BadBIOS命名)的攻擊方法,這種攻擊方法讓USB安全和幾乎所有和USB相關的設備(包括具有USB端口的電腦)都陷入相當危險的狀態。
我一直在關注由兩個安全研究人員曝光的一個漏洞利用(exploit):SR實驗室的亞當·考迪爾和布蘭登·威爾遜。他們對影響數以百萬計的設備的USB固件進行了逆向,可以讓黑客向計算機中插入惡意代碼。
令人喜憂參半的是研究人員在Github公布了BadUSB的利用代碼,任何互聯網用戶都可以輕易獲取。
先前,卡斯滕·諾爾和雅各布·萊爾在拉斯維加斯的BlackHat 2014大會演示了BadUSB利用方法,聲稱由臺灣制造商群聯發布的USB固件能夠被注入不可檢測、不可修復的惡意代碼。
至關重要的是,盡管當時諾爾并未公布漏洞利用代碼,但是考迪爾和威爾遜隨后在最近的DerbyCon會議上公布了有關BadUSB的更為全面的信息。
“我們所持有的理念是BadUSB的所有細節都應公之于眾,不應藏著掖著。因此,我們公布了所知道的全部信息”。考迪爾告訴DerbyCon會上的聽眾。“如果你能夠證明那里確實存在一個缺陷,你理應公布相應資料來幫助人們來共商對策”。
該漏洞可以修改USB設備固件,以一種不可檢測的方式在U盤和其他設備中隱藏惡意代碼。即使擦除設備的內容也是無濟于事,Wired稱該漏洞為“實際上不可修復的”。一旦USB設備被感染,它會試圖感染連接的任何設備。
研究人員指出黑客可以使用一個USB微控制器偽裝成計算機上的鍵盤并運行數據竊取的命令。在這種方式下,攻擊者訪問一臺計算機僅需幾秒鐘,指示計算機執行一系列命令,包括竊取數據、禁用安全策略、安裝惡意軟件。
鑒于BadUSB的特性,攻擊可以悄無聲息的進行,即使設備連接的系統上安裝了反病毒軟件。因為該漏洞難以修復,許多USB設備可能需要重新設計,而現有的USB設備無法確保安全。
諾爾承認“大部分情況下該漏洞是無法修復的”,實現全面防護需要花費幾年,甚至十幾年。值得注意的是,斯諾登披露的數據暗示NSA有一個間諜設備“ Cottonmouth”(單詞意思是水腹蛇或百步蛇),可以利用一個USB漏洞來轉發信息和監控計算機,揭示了BadUSB的潛在危害。
在GitHub上公布BadUSB代碼意味著黑客可以利用公開信息來實現漏洞利用,也極大地增加了消費者所面臨的風險。換個調度來說,漏洞利用代碼的發布也將幫助研究人員盡快提出防護方案。(這是把研究人員直接丟進沸水里面煮,能不趕緊拿方案嘛)。
研究人員表示他們正在致力于另一個漏洞利用,當文件從USB設備拷貝到PC上時,可以將惡意代碼偷偷地注入到文件中。在惡意代碼中增加一個USB感染功能,就有可能利用U盤來快速傳播惡意代碼,先感染計算機,然后被感染的計算機再感染接入的其他USB設備。
在這種情況下,你當然會希望傳統的反病毒軟件可以檢測到位于計算機上的已感染惡意代碼的文件 – 如果沒有在USB設備上。
“難以尋找到‘證明該漏洞是有可能存在的’和‘讓人們確實輕易的利用該漏洞’之間的一個平衡點”考迪爾說“此時存在著一個道德困境。我們希望我們站在正確的一邊。”
就個人而言,我希望考迪爾和威爾遜找到了一個兩全其美的方法,既增強了人們對該安全漏洞的防范意識,又沒有給犯罪分子提供利用漏洞所需的全部拼圖。不管怎么說,根據他們已發布的信息,黑客能夠加速地利用該漏洞。
既然天機已經泄漏,我們應該給USB制造商的施壓,讓他們一起行動起來,否則很多人都將成為受害者。我還建議人們使用USB設備應當小心。在條件允許的情況下,只使用他人未曾接觸過的USB設備。