BadUSB
BadUSB 是什么?
BadUSB通过重写 USB 设备控制器固件,使其在接入系统时伪装为键盘、网卡或存储分区等恶意身份的一类攻击。
BadUSB 由 Karsten Nohl 与 SR Labs 在 2014 年 Black Hat 大会上披露。它利用了多数 USB 设备具备可重写的控制器固件,且操作系统对 USB 设备默认信任的特性。攻击者刷新 U 盘、充电器或外设的固件,使其在接入时呈现额外的 USB 描述符:一个会自动输入命令的 HID 键盘、一个将 DNS 重定向的网卡,或者一个携带恶意软件的隐藏分区。由于恶意行为驻留在固件中,杀毒软件和格式化都无法清除。缓解措施包括使用具备签名固件的设备、按 VID/PID 进行 USB 白名单、关闭自动运行,以及把未知 USB 外设视为不可信。
● 示例
- 01
会议上派发的促销 U 盘被重新刷固件,接入时作为键盘运行 PowerShell。
- 02
被植入木马的 USB 以太网适配器悄悄劫持 DNS,重定向企业流量。
● 常见问题
BadUSB 是什么?
通过重写 USB 设备控制器固件,使其在接入系统时伪装为键盘、网卡或存储分区等恶意身份的一类攻击。 它属于网络安全的 攻击与威胁 分类。
BadUSB 是什么意思?
通过重写 USB 设备控制器固件,使其在接入系统时伪装为键盘、网卡或存储分区等恶意身份的一类攻击。
BadUSB 是如何工作的?
BadUSB 由 Karsten Nohl 与 SR Labs 在 2014 年 Black Hat 大会上披露。它利用了多数 USB 设备具备可重写的控制器固件,且操作系统对 USB 设备默认信任的特性。攻击者刷新 U 盘、充电器或外设的固件,使其在接入时呈现额外的 USB 描述符:一个会自动输入命令的 HID 键盘、一个将 DNS 重定向的网卡,或者一个携带恶意软件的隐藏分区。由于恶意行为驻留在固件中,杀毒软件和格式化都无法清除。缓解措施包括使用具备签名固件的设备、按 VID/PID 进行 USB 白名单、关闭自动运行,以及把未知 USB 外设视为不可信。
如何防御 BadUSB?
针对 BadUSB 的防御通常结合技术控制与运营实践,详见上方完整定义。
BadUSB 还有哪些其他名称?
常见的别称包括: 重编程 USB, USB 固件攻击。