USBHID攻擊與防護技術綜述

張欣

摘要

在諸多USB攻擊技術中，USBHID可以說是近些年興起的一種新型的攻擊技術，其比傳統的攻擊技術復雜性更高，而且隱蔽性也更大，產生的危害也是非常大的。伴隨著科學技術的迅速發展，有很多研究人員以及開發人員都在研究這種攻擊方式，而且購買者可以通過非常低的價格就能夠購買到這種功能的硬件，正是因為其價格比較低，而且自動化又非常高，使其在市場上普及的非常快，由此帶來的個人隱私安全問題也非常的嚴重。

【關鍵詞】USBHID設備 攻擊與防護

1 USBHID攻擊技術研究

1.1 USBHID攻擊技術介紹

USBHID設備是USB設備中比較常用的一種，主要是被人們應用到少量的實時數據傳輸和人機交互中，主要的設備有鼠標、鍵盤等。這類設備可以實現通信的原理主要是通過主機端定義的HID類型的接口，但是有的HID設備不具備人機交互的功能。設備當中有支持HID報表格式的固定的軟件，數據報表可以通過HID實現接受和傳輸，當前已經有著較為廣泛的應用，能夠基本實現處理所有的數據。所以，需要傳送的相關數據是可以是鼠標和鍵盤的滾動值的位移，也可以是普通的數據，在HID的每筆交易的過程中可以攜帶一些數據。8B是地宿舍唄交易處理中的最大值，64B是全速設備交易處理中的最大值，在不同種類的商速設備中每筆父易的最大值可以是1024B。USBHID攻擊使用USB接口技術是一種偽造用戶擊鍵行為實施攻擊的方式。可以通過對主機的惡意偽造發送錯誤的指令，改變系統的設置，能夠嚴防惡意軟件的運行。和原有的USB技術相比，該技術有著很大的不同之處，在USB設備固件中，可以藏匿惡意代碼，導致設備遭受一定的侵害，影響整體運行。首先，模仿用戶按鍵操作是實施隱藏的主要目的，這種攻擊可以很好地避開防毒的檢測和抵抗。此外，在芯片固件中也可以隱藏這種惡意代碼，而這部分代碼是難以被殺毒軟件檢測到的，所以隱藏性是這種攻擊的最大特點。其次，此項技術已經有了較為廣泛的供給范圍，黑客可以供給基本所有的含有USB接口的設備，此種供給有著較大的跨平臺操作的功能，不管是移動操作系統還是三大桌面操作系統，基本都支持HID協議，這就為攻擊操作提供的途徑。最后，此種攻擊方式主要是銅鼓模擬用戶操作的方法，所以操作權限比較高，在攻擊過程中能夠對設備開展惡意操作，能夠用管理員的權限將腳本、密碼等進行傳該。由于具有這種特點，所以在攻擊過程中能夠有很高的操作權限，能夠有效地實現攻擊運行。其中惡意靠背、系統設置修改、惡意程序下載等都是典型的攻擊方法，嚴重危害了設備的安全性和操作性。出現這種攻擊后，USB設備便成為了一項非常大的安全隱患，攻擊者利用USB設備攻擊設備。如果用戶誤用了他人帶有病毒的鼠標、鍵盤、優盤等設備就非常容易遭受攻擊，所以，很多人認為這種攻擊技術中USB設備成為了攻擊行為的幫兇。

1.2 USBHID攻擊原理

USBHID是需要通過HID設備與不同的設備進行握手、枚舉的，只有這樣才可以與主機建立通信關系。主機枚舉過程是要求配置信息在主機的設備中的，并根據具體的要求準備好的通訊條件和其他類型的對接口，設備中所使用的HID接口是可以和其他的與其是相同類型接口的設備進行定義，也可以將同一個負荷的定義在主機上進行定義，設備的類型與其使用的數量是由設備的原固件所決定的。

2 USBHIS攻擊防護技術研究與發展

在2010年以后，惡意攻擊軟件攻擊技術出現了，其中最具代表性的就是teensy，研究人員認為：USB設備具有一定的安全性能，也可以起到對設備進行安全監控的效果，主機和設備間的認證過程是建立在原有的USB協議主機與設備進行枚舉前的基礎之上的。協議的計算方法和Diffie-Hellman加密，要想繼續enumeration簽名只有利用主機認證設備。運用這個方法可以將通用的USB協議進行修改，并且這個協議只適合在USB設備上使用，而且可以與比起高一層的主機設備進行通信連接，但是現在人們普遍使用的與這個設備并不能兼容。結果表明，這個方法雖然保護性較高，但是局限性還是很大的。同時，一些研究者已經注意到，HID的主要特征是可以經過隱藏然后會模擬用戶敲門。在對擊鍵動力學進行分析后，我們可以很快的找出此種惡意設備和一般用戶間的區別，并可以對可以設備進行較準確的判斷。隨著“壞USB”“捕鼠器”的問世和對USB設備的原有固件進行調整，可以使其成為對HID進行攻擊的主要方式。這種攻擊方式是對原始的設備進行感染，這種方式與其他方式相較有著更強的威脅性和隱蔽性，同時還具有一定的感染力。所以，目前也逐漸加大對USB原有固件防更改技術的研究力度，與其相關的技術主要是軟件和硬件。對于硬件的保護是持久的，可以破壞對USB芯片的破壞來編寫線路的固件故障，可以有效的防止被篡改。目前，較多的USB設備的工作任務具有單一性，固定的任務可以由U盤，鍵盤，鼠標和其它設備來完成，所以制造商將安裝原生的USB固件的芯片進行一次性的安裝，并且不再去進行變更，這也是這個行業內經常使用的一種方法。

3 結語

USBHID作為一種攻擊技術。其兼顧了軟件和硬件的特點，自出現以來，就展現了其強大的的破壞力和攻擊力，由此給人們的生產和生活安全帶來了很大的威脅。該種攻擊技術主要是以硬件設備黑盒的特點，在現有的操作系統下從底層硬件向操作系統發起攻擊，現有的安全體系沒有考慮這樣的防護措施。該技術快速地發展已經威脅到了人們的隱私安全，同時也顛覆了傳統的信息安全觀念。有研究者指出硬件設備不可靠的根本原因，并且對現有的防護機制進行有效的反思，主動認證的思想正是嘗試解決這個問題的合適的思路。通過對使用者的鼠標、擊鍵特征、各類行為模式等進行直接認證，由此對授權用戶以及攻擊者進行實時甄別，從而有效的解決硬件可靠性存在的安全盲點，最終建立一種實時可靠的安全系統認證機制。

參考文獻

[1]張慧敏.USB存儲設備安全機制的研究與實現[D].電子科技大學，2016.

[2]呂志強，劉喆，常子敬，張寧，姜建國.惡意USB設備攻擊與防護技術研究[J].信息安全研究，2016，2（02）：150-158.

[3]談誠，鄧入弋，王麗娜，馬婧.針對APT攻擊中惡意USB存儲設備的防護方案研究[J].信息網絡安全，2016（02）：7-14.