恶意usb设备攻击与防护技术研究.docxVIP

恶意usb设备攻击与防护技术研究 随着技术的发展，恶意软件制造商的注意力不仅仅是软件，而且越来越多的研究开始转向硬件。恶意硬件的出现改变了人们对硬件的理解，并将安全保护引入了一个新领域。恶意硬件是一种使用芯片电路、电路漏洞或rootkit实现恶意程序的技术。usb接口是计算机最大的外部接口。市场上大多数计算机外壳可以通过usb接口连接到计算机。黑客们还开发了许多恶意软件硬件，比如使用usb接口。与之前的usb存储设备相比，恶意usb设备将恶意程序直接输入usb设备。当设备插入计算机时，它会触发激活的恶意代码并执行恶意代码以运行恶意代码。基于文献。 因此,针对恶意USB设备的研究就非常有意义.通过研究找到这些恶意设备利用的安全漏洞,可以针对性地预防恶意硬件的攻击.本文通过分析USB协议和电脑操作系统对USB设备的管理,发现了一些可以利用的协议漏洞,提出了1种伪装成键盘的USB恶意硬件技术,并且设计实现了用于验证的原型机.通过无线设备控制键盘植入恶意程序,在操作者的控制下获取目标计算机内的文件数据. 1 usb设备分析 1.1 usb设备概述 USB只是1个总线型数据通路,在这条总线上传输的数据通过定义不同的接口指定了数据的传输类型,接口之中又定义了端点,用于交换数据.操作系统根据不同的接口,将数据交给不同的应用程序.数据根据指定的端点进行交换、传输.其中0端点是保留的控制端点,所有接口不可以使用.每次通信过程由主机发起,通过握手和设备建立通信.接口、端点、USB设备的识别码等信息通过描述符形式告诉主机,这个过程称为枚举.成功枚举后USB设备就可以和主机正常交换数据了. 截至2015年11月5日USB官方将USB分为22类,其中18类为接口类,常用的接口类包括HID接口类、CDC接口类、MSC接口类等 1.2 hisd描述符 HID接口是USB设备中运用最广泛的一种,很多人机交互设备都使用这种接口,日常使用的键盘,鼠标都是采用这种接口.HID设备在电脑设备管理器中的显示如图1所示: HID接口采用的是报表(report)的数据交换方式,每次数据通过报表的格式送达对方,设备的固件必须支持HID报表的格式.报表的格式非常有弹性,可以处理任何类别的数据.因此,传送的数据可以是键盘的键值、鼠标的位移、滚轮的滚动值甚至可以是普通的数据 HID设备和其他USB设备一样需要先经过枚举才能和主机建立通信.在USB1.1协议中定义了设备描述符(device descriptor)、配置描述符(configuration descriptor)、接口描述符(interface descriptor)、端点描述符(end descriptor)以及字符串描述符(string descriptor).HID描述符结构如图2所示: 与HID接口相关的描述定义在接口描述符中,接口描述符主要记录了接口编号、接口的端点数、接口所使用的类、子类和协议等 1.2.1 移动设备自适应移动支付安全设计准则.进行了《usb接口》直接模拟用户,将背景 USB设备便捷的背后,隐藏着安全隐患.首先是按键和鼠标在操作系统的设置有问题.在计算机中,操作系统中HID设备最初设计的目的是人机交互的接口,键盘、鼠标就是人类的代表,它的每个操作、每组数据都是在用户的允许和操作下发出的,收到数据后,操作系统直接调用驱动程序响应操作.这个过程中缺少校验环节,无条件信任本身就违反了安全设计准则.不作校验就使用的这些数据,给操作系统带来了很大的安全隐患,相关的安全策略更是直接放行这部分的操作,缺少相关的限制.恶意USB设备通过获取HID接口,模拟计算机管理员的操作,绕过安全策略,获取操作系统权限. 由于这种HID设备直接代表用户,所以有很高的操作权限.虽然自从Windows 7系统引入权限控制的机制,但是来自键盘鼠标的操作依然代表着用户的最高权限.既然是高权限,USB协议并未对这部分设备作有效的管控,任何1个USB设备都可以通过枚举成为HID设备,如果1个USB设备能以HID键盘设备出现在电脑中,那么意味着它将获得很大的权限自由.比如模拟用户的操作、运行应用程序,这样1个普通的USB端口就可以完成很多用户操作.目前已知的几种恶意USB设备都是通过这种HID接口提升权限,运行恶意程序. 1.2.2 hid接口用于数据传输 分析HID接口定义,相关协议中bInterfaceP—rotocol字段有数据通道(data pipe)的选项 1.3 usb复合设备 1个HID接口只能定义1种协议类型,也就是传送的数据只能有1个目的地.希望利用可编程的芯片,将HID的2种协议结合在1个USB接口上,以便同时利用上文所述的2个特性,实现恶意利用的目的.要想实现复合功能有2种方法可以选择,一种是使用USB HUB