USBHID攻擊與防護(hù)技術(shù)綜述

張欣

摘要

在諸多USB攻擊技術(shù)中，USBHID可以說是近些年興起的一種新型的攻擊技術(shù)，其比傳統(tǒng)的攻擊技術(shù)復(fù)雜性更高，而且隱蔽性也更大，產(chǎn)生的危害也是非常大的。伴隨著科學(xué)技術(shù)的迅速發(fā)展，有很多研究人員以及開發(fā)人員都在研究這種攻擊方式，而且購買者可以通過非常低的價(jià)格就能夠購買到這種功能的硬件，正是因?yàn)槠鋬r(jià)格比較低，而且自動化又非常高，使其在市場上普及的非?？欤纱藥淼膫€人隱私安全問題也非常的嚴(yán)重。

【關(guān)鍵詞】USBHID設(shè)備 攻擊與防護(hù)

1 USBHID攻擊技術(shù)研究

1.1 USBHID攻擊技術(shù)介紹

USBHID設(shè)備是USB設(shè)備中比較常用的一種，主要是被人們應(yīng)用到少量的實(shí)時(shí)數(shù)據(jù)傳輸和人機(jī)交互中，主要的設(shè)備有鼠標(biāo)、鍵盤等。這類設(shè)備可以實(shí)現(xiàn)通信的原理主要是通過主機(jī)端定義的HID類型的接口，但是有的HID設(shè)備不具備人機(jī)交互的功能。設(shè)備當(dāng)中有支持HID報(bào)表格式的固定的軟件，數(shù)據(jù)報(bào)表可以通過HID實(shí)現(xiàn)接受和傳輸，當(dāng)前已經(jīng)有著較為廣泛的應(yīng)用，能夠基本實(shí)現(xiàn)處理所有的數(shù)據(jù)。所以，需要傳送的相關(guān)數(shù)據(jù)是可以是鼠標(biāo)和鍵盤的滾動值的位移，也可以是普通的數(shù)據(jù)，在HID的每筆交易的過程中可以攜帶一些數(shù)據(jù)。8B是地宿舍唄交易處理中的最大值，64B是全速設(shè)備交易處理中的最大值，在不同種類的商速設(shè)備中每筆父易的最大值可以是1024B。USBHID攻擊使用USB接口技術(shù)是一種偽造用戶擊鍵行為實(shí)施攻擊的方式?？梢酝ㄟ^對主機(jī)的惡意偽造發(fā)送錯誤的指令，改變系統(tǒng)的設(shè)置，能夠嚴(yán)防惡意軟件的運(yùn)行。和原有的USB技術(shù)相比，該技術(shù)有著很大的不同之處，在USB設(shè)備固件中，可以藏匿惡意代碼，導(dǎo)致設(shè)備遭受一定的侵害，影響整體運(yùn)行。首先，模仿用戶按鍵操作是實(shí)施隱藏的主要目的，這種攻擊可以很好地避開防毒的檢測和抵抗。此外，在芯片固件中也可以隱藏這種惡意代碼，而這部分代碼是難以被殺毒軟件檢測到的，所以隱藏性是這種攻擊的最大特點(diǎn)。其次，此項(xiàng)技術(shù)已經(jīng)有了較為廣泛的供給范圍，黑客可以供給基本所有的含有USB接口的設(shè)備，此種供給有著較大的跨平臺操作的功能，不管是移動操作系統(tǒng)還是三大桌面操作系統(tǒng)，基本都支持HID協(xié)議，這就為攻擊操作提供的途徑。最后，此種攻擊方式主要是銅鼓模擬用戶操作的方法，所以操作權(quán)限比較高，在攻擊過程中能夠?qū)υO(shè)備開展惡意操作，能夠用管理員的權(quán)限將腳本、密碼等進(jìn)行傳該。由于具有這種特點(diǎn)，所以在攻擊過程中能夠有很高的操作權(quán)限，能夠有效地實(shí)現(xiàn)攻擊運(yùn)行。其中惡意靠背、系統(tǒng)設(shè)置修改、惡意程序下載等都是典型的攻擊方法，嚴(yán)重危害了設(shè)備的安全性和操作性。出現(xiàn)這種攻擊后，USB設(shè)備便成為了一項(xiàng)非常大的安全隱患，攻擊者利用USB設(shè)備攻擊設(shè)備。如果用戶誤用了他人帶有病毒的鼠標(biāo)、鍵盤、優(yōu)盤等設(shè)備就非常容易遭受攻擊，所以，很多人認(rèn)為這種攻擊技術(shù)中USB設(shè)備成為了攻擊行為的幫兇。

1.2 USBHID攻擊原理

USBHID是需要通過HID設(shè)備與不同的設(shè)備進(jìn)行握手、枚舉的，只有這樣才可以與主機(jī)建立通信關(guān)系。主機(jī)枚舉過程是要求配置信息在主機(jī)的設(shè)備中的，并根據(jù)具體的要求準(zhǔn)備好的通訊條件和其他類型的對接口，設(shè)備中所使用的HID接口是可以和其他的與其是相同類型接口的設(shè)備進(jìn)行定義，也可以將同一個負(fù)荷的定義在主機(jī)上進(jìn)行定義，設(shè)備的類型與其使用的數(shù)量是由設(shè)備的原固件所決定的。

2 USBHIS攻擊防護(hù)技術(shù)研究與發(fā)展

在2010年以后，惡意攻擊軟件攻擊技術(shù)出現(xiàn)了，其中最具代表性的就是teensy，研究人員認(rèn)為：USB設(shè)備具有一定的安全性能，也可以起到對設(shè)備進(jìn)行安全監(jiān)控的效果，主機(jī)和設(shè)備間的認(rèn)證過程是建立在原有的USB協(xié)議主機(jī)與設(shè)備進(jìn)行枚舉前的基礎(chǔ)之上的。協(xié)議的計(jì)算方法和Diffie-Hellman加密，要想繼續(xù)enumeration簽名只有利用主機(jī)認(rèn)證設(shè)備。運(yùn)用這個方法可以將通用的USB協(xié)議進(jìn)行修改，并且這個協(xié)議只適合在USB設(shè)備上使用，而且可以與比起高一層的主機(jī)設(shè)備進(jìn)行通信連接，但是現(xiàn)在人們普遍使用的與這個設(shè)備并不能兼容。結(jié)果表明，這個方法雖然保護(hù)性較高，但是局限性還是很大的。同時(shí)，一些研究者已經(jīng)注意到，HID的主要特征是可以經(jīng)過隱藏然后會模擬用戶敲門。在對擊鍵動力學(xué)進(jìn)行分析后，我們可以很快的找出此種惡意設(shè)備和一般用戶間的區(qū)別，并可以對可以設(shè)備進(jìn)行較準(zhǔn)確的判斷。隨著“壞USB”“捕鼠器”的問世和對USB設(shè)備的原有固件進(jìn)行調(diào)整，可以使其成為對HID進(jìn)行攻擊的主要方式。這種攻擊方式是對原始的設(shè)備進(jìn)行感染，這種方式與其他方式相較有著更強(qiáng)的威脅性和隱蔽性，同時(shí)還具有一定的感染力。所以，目前也逐漸加大對USB原有固件防更改技術(shù)的研究力度，與其相關(guān)的技術(shù)主要是軟件和硬件。對于硬件的保護(hù)是持久的，可以破壞對USB芯片的破壞來編寫線路的固件故障，可以有效的防止被篡改。目前，較多的USB設(shè)備的工作任務(wù)具有單一性，固定的任務(wù)可以由U盤，鍵盤，鼠標(biāo)和其它設(shè)備來完成，所以制造商將安裝原生的USB固件的芯片進(jìn)行一次性的安裝，并且不再去進(jìn)行變更，這也是這個行業(yè)內(nèi)經(jīng)常使用的一種方法。

3 結(jié)語

USBHID作為一種攻擊技術(shù)。其兼顧了軟件和硬件的特點(diǎn)，自出現(xiàn)以來，就展現(xiàn)了其強(qiáng)大的的破壞力和攻擊力，由此給人們的生產(chǎn)和生活安全帶來了很大的威脅。該種攻擊技術(shù)主要是以硬件設(shè)備黑盒的特點(diǎn)，在現(xiàn)有的操作系統(tǒng)下從底層硬件向操作系統(tǒng)發(fā)起攻擊，現(xiàn)有的安全體系沒有考慮這樣的防護(hù)措施。該技術(shù)快速地發(fā)展已經(jīng)威脅到了人們的隱私安全，同時(shí)也顛覆了傳統(tǒng)的信息安全觀念。有研究者指出硬件設(shè)備不可靠的根本原因，并且對現(xiàn)有的防護(hù)機(jī)制進(jìn)行有效的反思，主動認(rèn)證的思想正是嘗試解決這個問題的合適的思路。通過對使用者的鼠標(biāo)、擊鍵特征、各類行為模式等進(jìn)行直接認(rèn)證，由此對授權(quán)用戶以及攻擊者進(jìn)行實(shí)時(shí)甄別，從而有效的解決硬件可靠性存在的安全盲點(diǎn)，最終建立一種實(shí)時(shí)可靠的安全系統(tǒng)認(rèn)證機(jī)制。

參考文獻(xiàn)

[1]張慧敏.USB存儲設(shè)備安全機(jī)制的研究與實(shí)現(xiàn)[D].電子科技大學(xué)，2016.

[2]呂志強(qiáng)，劉喆，常子敬，張寧，姜建國.惡意USB設(shè)備攻擊與防護(hù)技術(shù)研究[J].信息安全研究，2016，2（02）：150-158.

[3]談?wù)\，鄧入弋，王麗娜，馬婧.針對APT攻擊中惡意USB存儲設(shè)備的防護(hù)方案研究[J].信息網(wǎng)絡(luò)安全，2016（02）：7-14.