惡意USB設備攻擊與防護技術研究

呂志強 劉 喆 常子敬,2 張 寧 姜建國,4

1(中國科學院信息工程研究所 北京 100093)2(中國科學院大學 北京 100049)3(國家保密科技測評中心 北京 100044)4(北京交通大學 北京 100044)

?

惡意USB設備攻擊與防護技術研究

呂志強1劉 喆3,4常子敬1,2張 寧1姜建國1,4

1(中國科學院信息工程研究所 北京 100093)2(中國科學院大學 北京 100049)3(國家保密科技測評中心 北京 100044)4(北京交通大學 北京 100044)

(lvzhiqiang@iie.ac.cn)

討論了近年來出現的惡意USB設備的攻擊和防護技術.惡意設備可以利用USB接口協議，獲得計算機管理員權限，自動運行惡意程序，獲取所存資料甚至遠程控制計算機等.為了研究并防護此類USB安全問題，設計開發了1款可以偽裝成鍵盤的惡意USB設備.在網絡隔離環境下，成功打開目標電腦中的程序，獲取計算機內文件.整個過程不觸發任何操作系統規則，發現后不能通過軟件清除，對涉密計算機有較大的威脅.針對此類惡意USB設備研究了相應的防護技術.

惡意USB設備；HID接口；數據傳輸；HID鍵盤；安全性分析；用戶權限；USB復合設備

隨著技術的發展，惡意程序制造者的目光已經不僅僅局限于軟件程序上，越來越多的研究開始轉向硬件.惡意硬件的出現使得人們改變了對硬件的認識，將安全防護帶入到了新的領域.所謂惡意硬件就是1種通過篡改芯片電路、利用電路漏洞或篡改固件程序等手段使芯片具有執行惡意程序功能的技術.USB接口是目前電腦使用最多、最通用的外設接口，市場上大多數的電腦外設都可以通過USB接口與電腦進行通信.利用USB這種廣泛使用的通用接口制作的惡意硬件更是受到了黑客們的重視，也是惡意硬件中比較流行的幾種技術之一.利用這種被稱為惡意USB設備的新型惡意設備可以有效地向大多數計算機發動攻擊.相比之前出現的U盤病毒，通過感染USB存儲設備進行傳播不同，惡意USB硬件設備是將惡意程序直接通過固件或者硬件電路的形式植入到USB設備中，當設備插入計算機中，在特定條件下觸發激活惡意代碼，執行惡意程序.根據文獻[1]的報道，2009年研究人員Chen等人在Defcon安全會議上，展示了利用蘋果鍵盤的固件攻擊Mac系統的方法.2014年曝光的“棱鏡門”事件披露了美國國家安全局研發的1種間諜工具——“水腹蛇1號”.這是一種植入在USB接口的微型間諜設備，連接到目標電腦后在黑客的控制下植入惡意程序，通過無線芯片向外發送數據.這樣即使是計算機與網絡物理隔離，也可以通過這種惡意硬件獲得數據.根據文獻[2]的報道，在2014年美國黑帽大會上，柏林SRLabs的安全研究人員Lell等人展示了他們稱為“BadUSB”的攻擊方法.這種方法通過在修改USB存儲設備的引導程序，植入惡意程序，在設備運行時向電腦注入惡意程序.根據文獻[3]的報道，在此之前，還有人利用USB微控制器的開發板Teensy USB寫入惡意代碼，利用模擬鍵盤的敲擊向目標電腦植入惡意代碼.通過表1的對比可以看出，隱藏在硬件芯片中的惡意USB設備相比惡意軟件具有更大的威脅，由于惡意程序隱藏在芯片內部，只要不激活就很難被發現，可以在目標系統中長期潛伏，常規檢測方式難以發現和處理，即使被發現也難以通過軟件清除，給計算機安全帶來了新的挑戰.

表1 惡意USB硬件與軟件惡意代碼比較

因此，針對惡意USB設備的研究就非常有意義.通過研究找到這些惡意設備利用的安全漏洞，可以針對性地預防惡意硬件的攻擊.本文通過分析USB協議和電腦操作系統對USB設備的管理，發現了一些可以利用的協議漏洞，提出了1種偽裝成鍵盤的USB惡意硬件技術，并且設計實現了用于驗證的原型機.通過無線設備控制鍵盤植入惡意程序，在操作者的控制下獲取目標計算機內的文件數據.

1 USB設備分析

1.1 USB設備概述

USB只是1個總線型數據通路，在這條總線上傳輸的數據通過定義不同的接口指定了數據的傳輸類型，接口之中又定義了端點，用于交換數據.操作系統根據不同的接口，將數據交給不同的應用程序.數據根據指定的端點進行交換、傳輸.其中0端點是保留的控制端點，所有接口不可以使用.每次通信過程由主機發起，通過握手和設備建立通信.接口、端點、USB設備的識別碼等信息通過描述符形式告訴主機，這個過程稱為枚舉.成功枚舉后USB設備就可以和主機正常交換數據了.

截至2015年11月5日USB官方將USB分為22類，其中18類為接口類，常用的接口類包括HID接口類、CDC接口類、MSC接口類等[4].HID(human interface device)接口類是1種用于人機交互設備的通信接口，但不限于鍵盤、鼠標等設備，任何符合HID協議規范的接口都叫HID接口.CDC(communication device class)接口類是1種USB專門用于數據通信設備接口，主要包括一些通信應用,如VCP(virtual COM port).MSC(mass storage device class)接口類是主要應用于存儲類設備，如U盤、移動硬盤、USB光驅等.同時USB協議規定，同一個USB物理接口可以定義多個接口類，此類設備稱為復合類USB設備，即HID接口設備也可以同時定義MSC接口[5].

1.2 HID接口分析

HID接口是USB設備中運用最廣泛的一種，很多人機交互設備都使用這種接口，日常使用的鍵盤，鼠標都是采用這種接口.HID設備在電腦設備管理器中的顯示如圖1所示：

圖1 Windows系統設備管理器中HID設備

HID接口采用的是報表(report)的數據交換方式，每次數據通過報表的格式送達對方，設備的固件必須支持HID報表的格式.報表的格式非常有彈性，可以處理任何類別的數據.因此，傳送的數據可以是鍵盤的鍵值、鼠標的位移、滾輪的滾動值甚至可以是普通的數據[6].

HID設備和其他USB設備一樣需要先經過枚舉才能和主機建立通信.在USB1.1協議中定義了設備描述符(device descriptor)、配置描述符(configuration descriptor)、接口描述符(interface descriptor)、端點描述符(end descriptor)以及字符串描述符(string descriptor).HID描述符結構如圖2所示:

圖2 HID描述符結構

與HID接口相關的描述定義在接口描述符中，接口描述符主要記錄了接口編號、接口的端點數、接口所使用的類、子類和協議等[5].區別HID接口的不同用途主要通過不同的協議編號.目前HID接口規定在協議字段中有3個選項：0是數據通道(none)，1是鍵盤(keyboard)，2是鼠標(mouse)，協議還預留了3～255的選項供用戶自行定義.已有定義的3個選項都對應操作系統中不同的驅動程序，而且在Windows XP之后的系統和大多數Linux系統下均是免驅的，由操作系統自行加載驅動[7].不同品牌的硬件均可以在操作系統下正常工作，應用開發者不需要考慮如何編寫驅動，只需要調用系統自帶的API即可和HID設備通信，很大程度上降低了開發難度，受到很多開發者的青睞.HID接口除了USB鍵盤、鼠標之外廣泛用于低速數據傳輸、信號控制.

1.2.1 HID接口用于權限提升

USB 設備便捷的背后，隱藏著安全隱患.首先是按鍵和鼠標在操作系統的設置有問題.在計算機中，操作系統中HID設備最初設計的目的是人機交互的接口，鍵盤、鼠標就是人類的代表，它的每個操作、每組數據都是在用戶的允許和操作下發出的，收到數據后，操作系統直接調用驅動程序響應操作.這個過程中缺少校驗環節，無條件信任本身就違反了安全設計準則.不作校驗就使用的這些數據，給操作系統帶來了很大的安全隱患，相關的安全策略更是直接放行這部分的操作，缺少相關的限制.惡意USB設備通過獲取HID接口，模擬計算機管理員的操作，繞過安全策略，獲取操作系統權限.

由于這種HID設備直接代表用戶，所以有很高的操作權限.雖然自從Windows 7系統引入權限控制的機制，但是來自鍵盤鼠標的操作依然代表著用戶的最高權限.既然是高權限，USB協議并未對這部分設備作有效的管控，任何1個USB設備都可以通過枚舉成為HID設備，如果1個USB設備能以HID鍵盤設備出現在電腦中，那么意味著它將獲得很大的權限自由.比如模擬用戶的操作、運行應用程序，這樣1個普通的USB端口就可以完成很多用戶操作.目前已知的幾種惡意USB設備都是通過這種HID接口提升權限，運行惡意程序.

1.2.2 HID接口用于數據傳輸

分析HID接口定義，相關協議中bInterfaceProtocol字段有數據通道(data pipe)的選項[6].鍵盤和鼠標正是通過同樣的通道將信息傳輸給電腦.雖然鍵盤、鼠標是輸入設備，但是在通過USB HID接口與計算機通信的過程中，具有雙向傳輸的通道，利用這些通道進行數據的雙向傳輸.HID接口通過報表的格式交換數據，根據定義bInterfaceProtocol字段的值(1或2)，告訴操作系統此HID接口的報告類型(鍵盤或鼠標)，操作系統根據類型將數據交給相應的驅動程序，完成外設與操作系統的數據交換.利用這個過程，如果將bInterfaceProtocol字段的值定為0(數據通道)，這些數據就可以是自定義內容的普通數據.和串口的通信過程類似，系統中運行的1個程序打開特定的USB HID接口，就可以實現操作系統和外設的雙向通信[8].和串口相比，這種數據傳輸方式有很多優點，性能穩定，傳輸速度快，接口開啟方便，每個接口都有特定的標示ID不會出現串口端口占用的情況，只要知道USB設備的ID就可以直接打開接口傳輸數據.對比結果如表2所示:

表2 HID數據接口與USB虛擬串口對比

1.3 USB復合設備

1個HID接口只能定義1種協議類型，也就是傳送的數據只能有1個目的地.希望利用可編程的芯片，將HID的2種協議結合在1個USB接口上，以便同時利用上文所述的2個特性，實現惡意利用的目的.要想實現復合功能有2種方法可以選擇，一種是使用USB HUB的電路結構，將多個USB設備通過1個HUB芯片連接在一起，實現多個設備共用1個USB 物理接口的目的.另一種是使用USB復合接口.1個USB設備通過配置多個接口，并由不同接口來實現不同功能的設備叫作USB復合設備.相比復合設備，HUB有幾個缺點.首先增加了硬件，成本和體積都會增加.其次，驅動多個設備時HUB經常出現供電不足的情況.再次，很多設備插入HUB后會共享1個USB物理接口帶寬，受帶寬所限，無法滿足所有設備在最高速下運行[9].

1個USB設備意味著有1個地址，接口是端點的集合，多個接口可以對應同一個USB地址，通過不同的端點區分不同的USB接口.每個接口都需要各自的描述符通過枚舉得到，因此這種復合設備在枚舉時向主機發送多個描述符.每個設備都只有1個設備描述符，而配置描述符可以根據需求，為設備配置不同的接口.復合設備描述符結構如圖3所示.這種設計使得USB功能擴展靈活，可以根據需求添加接口.

圖3 復合設備描述符結構

借助USB復合設備的定義方式可以定義2個HID接口，1個使用鍵盤的協議，1個使用數據傳輸的協議.至此單個USB設備在理論上已經可以通過HID接口獲得用戶的大部分操作權限并且向外傳輸數據[7]，是否能利用這個通道從所連接的USB主機中獲得有價值的數據，本文通過設計實驗進行了驗證.

2 實驗驗證

2.1 設計實驗

以Windows操作系統為例，通過編寫單片機程序在主機上成功枚舉1個復合USB設備，使用2個HID接口和1個MSC接口.一個HID接口使用鍵盤協議，在日常情況下偽裝成鍵盤，連接在電腦上，執行普通的鍵盤功能，當收到無線控制指令時在不需要任何軟件漏洞的情況下提升權限執行用戶操作；另一個使用HID數據接收用來收發數據.在無人操作的情況下運行HID數據傳輸軟件，通過USB接口向單片機傳輸數據.MSC接口只在植入程序時運行，植入完成都立即卸載，在之后的任務中不再出現.本次實驗用于測試的目標電腦運行Windows10 64位操作系統.

2.1.1 復合設備描述符設計

首先需要了解的是USB配置的內容.決定USB設備屬性的是其描述符，如上文所述，USB1.1協議中主要有5類描述符，基本的設備描述符描述了設備的VID和PID值，根據USB官方的定義，每個廠商都有自己唯一的VID，PID由廠商自行分配.實驗沿用廠商的VID號，自行定義了PID防止和其他設備沖突.本實驗在配置描述符中定義的結構體變量abromConfigurationDescriptorHid：

structabromConfigurationDescriptorHid

{

Interface descriptor;

HID descriptor;

Input end point descriptor;

Output end point descriptor;

};

每個HID接口均需要定義相應的描述符.數據傳輸的HID接口定義為HID0，根據1.2.2節的介紹，協議字段值(bInterfaceProtocol)應選擇數據通道(賦值為0).使用1端點，輸入端點地址0x81，輸出地址0x01，部分字段定義如下：

鍵盤HID接口定義為HID1，根據1.2.2節介紹，此時協議字段值應選擇鍵盤協議(賦值為1)，使用2端點，輸入端點地址0x82，輸出地址0x02，部分字段定義如下：

根據描述符配置，報告數據包最大64 B，數據接口5 ms輪詢1次，鍵盤接口15 ms輪詢1次.

鍵盤正常工作時的接口狀態如圖4所示，2個接口配置了不同屬性，但是不同接口之間沒有主次之分，并行工作.要實現這種復合設備，就需要芯片同時處理來自2個接口的不同任務.在程序設計時，將每個任務分解成小的子任務，使用時間片輪詢調度法，建立任務隊列，調度周期為5 ms，在1個周期中，系統會根據外部信號安排子任務進入任務隊列，每個周期執行1次隊列中的子任務，周期性地執行各任務，任務之間通過定時器同步.定義全局信號變量，將任務的狀態使用信號發送給其他任務.

圖4 HID接口配置

圖5 設備插入前后目標電腦設備管理器的變化

枚舉成功后進入USB任務，USB任務使用狀態機設計思想，前臺任務通過查詢不同的信號量，切換不同的狀態，響應不同的任務.后臺函數執行USB協議棧程序，設定信號變量.這樣的設計在調用好USB協議棧后，只需要專注開發每個狀態下的任務，提高開發效率，方便維護和升級.在主函數中調用函數USBHID_sendDataInBackground()發送HID數據報告，函數通過使用DMA寄存器，實現了大批量數據快速發送的功能.函數USBHID_receiveDataInBuffer()接收電腦發送的數據報告，發送完數據后調用函數USBHID_abortSend()，終止通信.

將單片機的USB口插入電腦，枚舉成功，如圖5所示.未插入前和插入后設備管理器中“鍵盤”、“USB輸入設備”、“符合HID標準的供應商定義設備”數量有變化.這3種設備屬性并不互斥，每個接口同時可以對應多個屬性，2個HID接口都屬于USB輸入設備，因此USB輸入設備增加了2個.

2.1.2 HID數據接收和發送

本實驗使用C#和C++語言在VS2010開發環境下編寫了用于植入的程序和遠程控制的軟件.調用Windows API函數，這些函數包含在kernel32.dll，hid.dll，setupapi.dll之中.調用的接口函數和具體功能如下：

圖6 程序流程圖

1)HidD_GetHidGuid()——獲取HID類設備的全局唯一標識(GUID)；

2)SetupDiGetClassDevs()——獲取1個設備信息群，該群包含HID類別內的所有設備；

3)SetupDiEnumDeviceInterfaces()——獲取設備信息群內指定設備接口的信息；

4)SetupDiGetDeviceInterfaceetail()——獲取指定設備的路徑；

5)CreateFile()——開啟指定設備；

6)HidD_GetAttributes()——獲取指定設備的廠商ID、產品ID、版本號；

7)HidD_GetPreparsedData()——獲取含有指定設備能力信息的緩沖區指針；

8)HidP_GetCaps()——獲取指定設備的能力；

9)WriteFile()——發送1個報表給設備；

10)ReadFile()——從指定設備讀取1個報表.

用于植入的軟件運行后根據之前的設定，自動打開指定的USB設備HID接口和USB設備建立連接.具體程序流程如圖6所示.首先獲取USB設備信息，在設備目錄中查找實驗測試的USB設備，找到后獲取該設備的HID信息，進行驗證.驗證無誤后打開接口，發送數據.數據使用報表格式發送到USB設備上.

2.2 實驗結果分析

根據上述實驗原理，設計制作了原型電路，驗證了這種技術的可行性，電路包含單片機、無線芯片、Micro SD卡.如圖7所示:

圖7 設計實現的原型機

圖8 遠程控制端獲取目標電腦中數據

原型機具有與電腦USB接口通信、無線收發、USB移動存儲、按鍵掃描的功能.可以隱藏在普通的有線鍵盤中，接收到無線指令后開始工作.在無線指令的控制下，使用鍵盤獲取管理員權限，將Micro SD內的程序植入目標電腦并且運行程序.植入程序和實驗USB設備通信，設備利用無線模塊與遠程控制端建立連接，并在控制端上顯示提示信息.在控制端的控制下，程序將目標電腦的資源管理器目錄掃描并發送給控制端.控制端可以選擇特定的文件下載到本地，實現了遠程控制和獲取目標電腦的功能.過程如圖8所示.

本地控制端可以遠程地瀏覽目標電腦的目錄，并選擇特定文件下載到本地.如圖9所示，本地控制端顯示的目標電腦D盤目錄下文件，可以選擇某個文件夾下載.同時在控制端還加入了一些控制命令按鈕，使用這些命令可以遙控實驗板完成一些特定任務，如開啟、重啟、植入程序、檢查無線鏈路等功能.

圖9 遠程控制程序查看目標電腦目錄

整個實驗利用2種HID接口實現了插入USB設備后自動運行程序，向外設傳輸數據的功能.借助HID設備的特點使得操作系統誤認為這些操作均為用戶正常合法的操作.經過多次實驗測試，在Windows XP以后操作系統中均可以成功實現相關功能并且運行過程中不觸發任何管理規則，安全軟件沒有告警提示.對于一些保密要求嚴格的網絡物理隔離的環境中利用這種技術，很容易獲取目標計算機中的信息并傳遞給外界.

相比“BadUSB”、“水腹蛇1號”等目前已知的惡意USB設備都利用HID鍵盤的方式提升權限，本實驗增加了HID接口直接傳輸數據的功能.而且設備嵌入在鍵盤中通過無線控制，正常工作時在設備管理器中只有“人體學輸入設備”顯示，具有更好的隱蔽性，可以長期在目標設備上連接不被發現，同時也可以監控鍵盤的數據，記錄用戶的按鍵內容.通過這種方式可以實現對網絡隔離環境下的涉密計算機的攻擊，不依賴傳統的網絡途徑，有更靈活選擇，而且過程非常隱蔽.具體性能指標如表3所示:

表3 實驗原型機性能指標

3 安全防護策略

這種在USB固件植入惡意程序的攻擊方法很難防范.惡意代碼在底層硬件中，操作系統不能直接刪除，也不能簡單地使用白名單方式禁用部分USB設備，因為USB設備沒有唯一的識別序列號，可以通過修改相應的ID欺騙主機.目前還缺少有效的USB防火墻技術，本文使用的是HID接口，操作系統對此過度信賴，賦予其較高的控制權，安全軟件對惡意利用的情況難以區分，留下了安全隱患.

針對USB設備安全監控技術，張赟等人[10]早先提出了基于IRP攔截技術的USB設備，監控主要方式還是攔截不符合安全策略的USB設備請求，這種方式會給用戶使用帶來很大不便，也不適應現在多變的安全情況，存在較多問題.盧志剛等人[11]提出了1種基于HID的USB監控技術，監控局域網內USB設備的數據流量并上傳服務器分析，這種方式只是簡單地對局域網內主機設備USB使用情況進行分析和記錄，分析力度有限，而且需要部署專門的服務器不便于廣泛使用.湯重陽等人[12]利用這些年USB監控技術的發展成果，繼續深入研究并提出了1種USB設備安全管控的技術，重點監控USB存儲設備對敏感文件的傳輸.Gao等人[13]針對USB設備存儲設備提出了接入控制技術，阻止傳統的U盤病毒感染主機.單一的監控很難有效地阻止這些漏洞，這種監控技術還存在很大的滯后性.

分析整個攻擊過程，惡意USB設備利用HID鍵盤提升權限是整個過程的關鍵，而這個過程主要還是利用了系統對設備的盲目信任.因此，當操作系統在給HID設授權時如果加以驗證，區別人機操作，就可以阻止這種問題的發生.這個問題可以使用已經成熟的人機身份校驗技術，如驗證碼、驗證語音等方式.在設備插入時進行驗證，在使用過程中也需要不斷地分析對比操作內容，識別異常行為，對可疑的機器行為通過驗證碼反復確認，確保安全.從源頭阻斷了攻擊過程.

在校驗的同時也需要結合USB監控和文件管控技術.對陌生設備要進行重點監控、異常數據異常流量要及時發現并處理.建立有效可靠的USB監控機制，這種數據監控不應局限于流量，還應該結合設備屬性.如果設備具有不應具有的接口要及時告警、重點監控，如鍵盤同時具有HID數據接口和鍵盤接口，這本身就是1種可疑行為，此時單純地分析HID流量將很難發現問題.如果結合設備屬性分析這些流量可以提高分析效率和準確性，更容易發現異常行為.與此同時還應該在涉密計算機操作系統中加強涉密文件管理，根據密級標志設定文件訪問規則，不能隨意訪問、復制.讓惡意設備即使接入也無法獲取有價值的數據.綜合運用多種手段，防御這種新的竊密技術，保護涉密設備的安全.

4 總 結

惡意USB技術雖然威脅大，攻擊方式隱蔽，但是目前攻擊手段有限.通過本課題研究基本上了解了目前已有的攻擊技術和USB協議漏洞利用方式.根據研究結果提出了惡意USB設備的防護管理策略，可為我國重要機關的涉密電腦維護提供參考.加強USB設備管控技術，對于此類問題還需要提高安全意識.接入涉密計算機的USB設備要確保安全，最好能從電路層面進行檢查，對于不能保證安全性的USB外設要謹慎使用，涉密計算機要定期檢查設備管理器，對于可疑設備要積極排查以防留有安全隱患.

[1]Demerjian C. Apple keyboard firmware hack demonstrated[EBOL]. [2009-07-31]. http:www.semiaccurate.com20090731apple-keyboard-firmware-hack-demonstrated

[2]Rabbit_Run. 研究人員公布BadUSB攻擊測試(exploit)代碼[EBOL]. [2014-10-10]. http:www.freebuf.comnews46291.html

[3]Rabbit_Run. BadUSB的前世今生: USB RUBBER DUCKY和Teensy USB[EBOL]. [2014-10-17]. http:www.freebuf.comtools47411.html

[4]USB Implementers Forum. USB class codes[EBOL]. (2015-11-05) [2015-12-20]. http:www.usb.orgdevelopersdefined_class#BaseClass0Fh

[5]USB Implementers Forum. Universal Serial Bus Specification Revision 2.0[SOL]. 2000 [2015-12-20]. http:www.usb.org

[6]USB Implementers Forum. Universal Serial Bus Device Class Definition for Human Interface Devices (HID)[SOL]. 2001 [2015-12-20]. http:www.usb.org

[7]劉榮. 圈圈教你玩USB[M]. 2版. 北京: 北京航空航天大學出版社, 2013

[8]USB Implementers Forum. Universal Serial Bus HID Usage Tables[SOL]. 2004 [2015-12-20]. http:www.usb.org

[9]Kaul S, Maheta P, Rajesh R, et al. Novel multi-interface USB prototype device for merging commonly used peripheral devices[C]Proc of Novel Multi-Interface USB Prototype Device for Merging Commonly Used Peripheral Devices. Piscataway, NJ: IEEE, 2015: 17-22

[10]張赟, 蔡皖東, 王玥. 基于IRP攔截技術的USB設備監控系統[J]. 微電子學與計算機, 2005, 22(12): 179-183

[11]盧志剛, 劉建華, 劉寶旭, 等. 基于HID的USB監控技術的設計與實現[J]. 計算機工程, 2010, 36(4): 1-3

[12]湯重陽, 趙志文, 韓欽亭, 等. Windows環境下USB設備監控技術的研究與實現[J]. 計算機應用, 2014, 34(S1): 60-63

[13]Gao Teng, Ding Yuewei, Dai Sichong. Research of access control of USB storage device with information security in unauthorized Internet access monitoring system[C]Proc of Research of Access Control of USB Storage Device with Information Security in Unauthorized Internet Access Monitoring System. Piscataway, NJ: IEEE, 2009: 1-5

呂志強

博士，副研究員，碩士生導師，主要研究方向為信號收發與分析、射頻系統集成.

lvzhiqiang@iie.ac.cn

劉 喆

博士研究生，工程師，主要研究方向為信息安全技術(信息安全防護類產品檢測方法研究、漏洞分析方法研究、木馬行為檢測分析方法研究等).

ezhe4924@sina.com

常子敬

碩士研究生，主要研究方向為嵌入式硬件安全.

changzijing@iie.ac.cn

張 寧

碩士，助理工程師，主要研究方向為電路與系統和電磁物理安全.

zhangning@iie.ac.cn

姜建國

博士，研究員，博士生導師，CCF高級會員，主要研究方向為信息安全、保密科學技術.

jiangjianguo@iie.ac.cn

Research on USB-HID Device Security

Lü Zhiqiang1, Liu Zhe3,4, Chang Zijing1,2, Zhang Ning1, and Jiang Jianguo1,4

1(InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing100093)2(UniversityofChineseAcademyofSciences,Beijing100049)3(NationalSecrecyScienceandTechnologyEvaluationCenter,Beijing100044)4(BeijingJiaotongUniversity,Beijing100044)

This paper discusses research activities that investigated the risk and protection mechanism associated with USB devices. Using USB interface protocol, an adversary can mount suck an attack with an objective to get the administrator’s permission of computer, auto-running the malware, obtaining the stored information, even remotely controlling the computer. The work was validated through the design and implementation of a malicious USB device that can be disguised as the keyboard. Files stored in the computer are got remotely through this keyboard without violating any system rules. With high concealment, this method has high threat to classified computers, which cannot be found or removed by the anti-virus program. Furthermore, this paper proposes the corresponding protection mechanism of USB devices.

malicious USB device; HID interface; data transmission; HID keyboard; security analysis; user permission; USB composite device

2016-01-08

國家自然科學基金項目(61501458)

TP334