什么是BadUSB？理解攻击方式、脚本与防护

关键要点

• BadUSB攻击通过利用USB固件模拟受信任设备来规避反病毒检测
• 一旦连接，它们能快速执行命令、窃取数据或重定向流量
• 预防方法包括严格的USB策略、禁用未使用端口和检测异常击键行为

BadUSB威胁概述

潜伏在USB设备便利性和日常使用特性之下的是一种复杂的网络安全威胁——BadUSB。BadUSB是一种利用USB设备（如闪存盘、键盘、充电线）中可重编程固件执行恶意操作的攻击类型。与传统恶意软件存在于文件系统中且通常能被反病毒工具检测不同，BadUSB存在于固件层。

以下是安全专业人员认为BadUSB攻击日益成为威胁的原因：

• 即插即用特性——用户通常盲目信任USB设备，不加思索地插入未知或赠送的驱动器
• 大规模利用潜力——网络犯罪分子可以在活动中分发受感染的USB，通过邮件发送，甚至将其留在公共场所供受害者发现和使用
• 难以检测——由于恶意软件嵌入在USB固件中，它绕过了大多数传统反病毒和端点保护工具

一旦连接到计算机，BadUSB设备可以：

• 模拟键盘输入恶意命令
• 安装后门或键盘记录器
• 重定向互联网流量
• 窃取敏感数据

BadUSB攻击工作原理

BadUSB在2014年引起公众关注，当时研究人员Karsten Nohl和Jakob Lell在黑帽美国大会上演示了USB固件可被重编程用于恶意用途——操作系统无法检测。他们还透露大多数USB控制器缺乏固件真实性检查，这一漏洞很可能在公开披露之前早已被NSA等情报机构利用。

由于BadUSB攻击操纵USB设备的固件（控制设备与系统通信方式的低级代码），理解BadUSB攻击如何展开对于认识其严重性和制定防护措施至关重要。

以下是BadUSB攻击的三个关键方面：

• 重编程USB固件
• 伪装成受信任设备
• BadUSB攻击的时间线

重编程固件：将USB设备变成网络武器

重编程USB设备（如闪存盘、键盘、鼠标或网络适配器）固件的能力是BadUSB攻击的核心。许多USB控制器，特别是较旧或廉价的控制器，允许人们在没有任何身份验证或数字签名检查的情况下重写其固件。

一旦被入侵，USB设备就不再按标签所示的方式运行。相反，它变成了隐蔽的网络武器。由于固件在操作系统级别以下运行，传统安全工具无法扫描或检测这些更改。

伪装成受信任设备以避免检测

BadUSB最危险的方面之一是设备模拟。以下是最常见的两种伪装：

• 键盘模拟——USB闪存盘可以用作键盘（受信任的设备类型），然后注入击键，启动PowerShell或命令提示符以下载和执行恶意软件——就像用户手动输入命令一样
• 网络适配器欺骗——USB可以假装是网络接口控制器（NIC）。一旦连接，它可以通过恶意服务器重定向您的互联网流量，执行中间人（MITM）攻击或拦截敏感数据，如登录凭据

BadUSB攻击时间线：从插入到有效载荷

以下是BadUSB攻击如何展开的简化时间线：

• 设备插入（0秒）——用户将恶意USB设备插入计算机，期望它是无害的闪存盘、充电线等
• 枚举（0-2秒）——设备向操作系统介绍自己；不是作为闪存盘，而是作为键盘或网卡
• 有效载荷执行（2-5秒）——当模拟键盘时，设备开始在后台静默输入命令。当模拟网络适配器时，它会重新配置系统的DNS或通过恶意代理路由流量
• 后期利用（5秒及以后）——根据攻击目标，设备可能：
  • 下载并安装后门
  • 窃取文件或登录凭据
  • 向攻击者授予远程访问权限
  • 在内部网络中传播

由于这一切都在几秒钟内发生，且没有任何反病毒警报或用户提示，BadUSB攻击可以在用户意识到发生什么之前就危及系统。

真实世界的BadUSB攻击技术

从人行道到入侵：被遗忘的USB如何瘫痪政府网络

发生了什么

研究人员通过故意在公共区域（如停车场、大学校园和会议室）丢弃USB驱动器进行实验，以观察用户行为。根据G DATA的数据，高达98%的这些被遗弃的驱动器被捡起，至少45%被插入计算机以检查其内容。

同样，Elie Bursztein及其团队的一项研究发现，48%发现USB驱动器的人——无论位置如何——都会继续插入它。这些发现凸显了看似无害的USB设备带来的重大风险，这主要受人类好奇心或帮助意图驱动。

什么使其成为BadUSB场景

这些USB被制作为恶意HID（人机接口设备）植入物（即它们不携带恶意软件文件，而是模拟键盘，一旦连接就自动输入攻击命令）。它们利用用户信任：不需要反病毒扫描或点击——插入设备的行为就足以触发攻击。

研究的核心行业教训

• 社会工程学仍然非常有效

  研究证实，当攻击者可以依赖人类心理学时，他们不需要高级的零日漏洞利用。好奇心、乐于助人，甚至对失物的假设都可以被武器化。

• 传统安全措施不够

  大多数端点保护工具扫描恶意软件，但BadUSB攻击使用键盘模拟，完全绕过反病毒和基于软件的防御。这显示了端点安全中的一个关键盲点。

• 气隙系统并非免疫

  一些USB被插入安全或气隙环境尤其令人担忧。它打破了物理隔离系统 inherently 安全的幻觉，并强调了物理安全和内部人员意识的重要性。

• 需要更强的设备控制策略

  这些结果推动许多组织重新评估其USB和可移动媒体策略。像Ivanti设备控制这样的工具变得更加相关，提供了允许、阻止或限制特定设备类的能力。

• 强调用户意识和培训

  研究加强了员工教育的必要性。必须培训用户将未知设备视为潜在威胁，并理解"插入以帮助"可能导致灾难性后果。

• 策略与技术结合

  关键不仅是技术性的。它促使组织制定明确的可移动媒体安全策略，改进日志记录，并强制执行更严格的物理访问控制。

橡皮鸭攻击

橡皮鸭攻击是指攻击者使用恶意USB设备（通常伪装成无害的USB闪存盘，称为橡皮鸭）来危害计算机系统的一种网络攻击。

关于橡皮鸭攻击的关键点

• 设备类型——看起来像标准USB驱动器，但功能类似于人机接口设备（HID），如键盘
• 工作原理——当插入时，橡皮鸭模拟键盘并快速输入预编程的击键，在目标系统上执行命令
• 有效载荷——这些可能包括：
  • 打开命令提示符并下载恶意软件
  • 创建新用户账户
  • 禁用安全功能
  • 窃取数据
• 速度——执行命令的速度远快于人类输入，通常在几秒钟内完成攻击
• 无需身份验证——大多数系统自动信任HID设备，无需用户授权

常见缓解措施

• 实施无人值守时的工作站锁定策略
• 应用最小权限原则——防止用户拥有本地管理员权限
• 教育员工不要离开解锁的工作站，并了解未知USB设备的风险
• 物理安全（USB端口锁、CCTV和意识）

为什么传统安全解决方案无法检测BadUSB攻击

尽管网络安全环境不断发展，BadUSB仍然是一种隐蔽且很大程度上无法检测的威胁。大多数传统安全解决方案根本没有设计用于监控USB设备固件级别发生的情况。

USB白名单限制

一些组织实施USB白名单，只允许批准的设备连接到公司系统。虽然这是一个可靠的第一步，但它不能保护伪装成其他设备的设备。

例如：

• 白名单USB闪存盘可以被重编程以表现得像键盘
• 具有动态身份的USB设备可以通过在连接中途切换其声明的类别来绕过静态白名单

由于操作系统基于设备自称的身份来识别设备——而不是它们包含的内容——恶意设备甚至可以欺骗维护良好的白名单。

固件级重编程与传统恶意软件对比

BadUSB攻击预防：最佳实践

随着BadUSB攻击继续绕过传统安全工具，组织必须转向主动的、分层防御策略。幸运的是，有有效的预防方法可以最小化或消除风险，包括：

• 基于策略的USB访问控制
• 阻止未使用的USB端口
• 击键行为监控
• 限制对提升的命令提示符或PowerShell的访问
• 应用程序控制

1. 基于策略的USB访问控制

第一道防线是在整个组织中建立严格的、策略驱动的USB访问。这意味着明确定义哪些设备可以连接到哪些系统，并阻止所有其他设备。

关键策略包括：

• 阻止永远不应使用的USB设备类别，如服务器或销售点系统上的HID（键盘/鼠标）
• 应用基于角色的限制，确保只有授权员工可以使用可移动媒体

通过集中管理实施这些策略，组织可以有效地防止未知威胁。对于需要可扩展、企业级保护的企业，设备控制解决方案如Ivanti Endpoint Manager（EPM）和Ivanti Device and Application Control（IDAC）提供强大的安全和管理能力。

2. 阻止未使用的USB端口以消除攻击入口点

防止BadUSB攻击最简单但最有效的策略之一是物理或逻辑上禁用未使用的USB端口。如果端口不需要用于业务关键功能，您应该停用它以：

• 通过限制未经授权设备连接的机会来减少攻击面
• 防止用户意外（或故意）插入恶意USB设备
• 支持符合需要严格端点控制的安全框架

要实施此安全协议：

• 使用BIOS/UEFI设置在硬件级别禁用USB端口
• 利用端点管理工具（如Ivanti EPM）通过策略阻止USB端口
• 对需要防篡改的高安全环境应用物理端口阻止器

通过消除开放和未监控的USB端口，您可以显著降低drive-by BadUSB感染的风险，并为整个组织维持更严格的端点安全控制。

3. 通过击键行为检测BadUSB

BadUSB攻击通常使用HID（人机接口设备）欺骗通过模拟键盘输入注入命令。这些击键以非人类速度发生——远超过任何人类用户可能产生的速度。

例如，恶意USB可能在插入后不到一秒内输入完整的PowerShell命令。通过监控打字速度、时序模式和命令结构，安全软件可以在损害发生之前标记和响应可疑输入活动。

即便如此，击键行为监控的一个主要缺点是熟练的攻击者可以减慢有效载荷传递速度以模拟人类打字速度，并可能逃避检测。

4. 限制对提升的命令提示符或PowerShell的访问

BadUSB设备危险不仅因为它们连接到系统，而且因为它们几乎立即执行高权限命令。最常见的策略之一是启动提升的命令提示符或PowerShell窗口以运行恶意脚本、下载有效载荷或修改系统设置。

通过限制对管理命令行工具的访问，您可以有效地中和许多BadUSB攻击的有效载荷执行阶段——即使设备成功连接。

实施Just-in-Time（JIT）特权访问命令提示符和PowerShell是最小化攻击窗口同时仍允许必要管理活动的极好方法。

5. 部署应用程序控制以减轻BadUSB风险

应用程序控制是一种安全方法，只允许批准和验证的应用程序在系统或网络中执行。它不是试图识别和阻止不良行为，而是只白名单已知的良好行为。

更具体地说，应用程序控制帮助您：

• 阻止未经授权的可执行文件——BadUSB攻击通常尝试在连接时启动脚本或应用程序。应用程序控制确保只允许白名单可执行文件运行，在攻击升级之前立即停止它
• 防止未经授权的代码执行——如果BadUSB设备尝试模拟键盘并注入击键以打开PowerShell或命令提示符，应用程序控制可以阻止这些程序执行（除非特别允许）
• 实施硬件感知策略——一些高级应用程序控制解决方案可以实施设备特定策略（例如，阻止来自未知USB供应商的所有类似键盘输入，限制USB端口仅为充电功能）
• 减少攻击面——通过严格控制允许的软件，即使Bad USB绕过物理保护，其与系统交互的能力也极其有限

Ivanti端点管理和Ivanti设备应用程序控制如何帮助防止BadUSB攻击

仅在必要时授予对USB设备的临时（即时）访问权限。最初，考虑完全阻止——例如针对像flipper设备这样的工具。然而，在评估可行性和业务影响后，确定这种方法过于限制性。

相反，Ivanti端点管理和设备应用程序控制提供了更灵活的解决方案。它们通过允许受控设备访问和应用正确的安全策略来帮助减轻BadUSB威胁。这种方法在保护与生产力之间取得平衡，在不阻碍合法使用的情况下降低风险。

结论：为什么BadUSB意识很重要

随着网络威胁继续变得更加复杂，意识是您最强的第一道防线。BadUSB攻击代表了一种独特且被低估的漏洞——通过利用大多数人对USB设备固有的信任来绕过传统防御。没有意识和主动控制，即使最安全的网络也可能成为单个受感染USB设备的受害者。

不幸的是，大多数组织没有完全监控或控制这些设备的使用方式，在其安全基础设施中留下了巨大的盲点。实施清晰的USB安全策略——以及执行它的正确工具——不再是可选的。它是必不可少的。

信任Ivanti进行BadUSB攻击预防和卓越设备控制

认真对待基于USB威胁的组织应考虑利用全面的设备控制解决方案，如Ivanti Endpoint Manager（EPM）和Ivanti Device Application Control（IDAC）。

Ivanti的解决方案解决了所有推荐的关键应用程序控制，以防御像BadUSB这样的威胁，提供：

• 细粒度USB访问控制以阻止或允许特定设备类型
• 实时监控和报告所有端点上的USB活动
• 自动策略执行，确保跨部门和地区的合规性

这些功能与更广泛的端点保护策略无缝集成，防止未经授权的设备访问敏感系统。但Ivanti通过上下文感知策略执行超越了这些基础控制，允许组织根据实时风险信号（如用户行为、位置和设备信任）动态调整USB访问——在不断发展的威胁环境中提供智能、自适应保护。

BadUSB不是科幻小说——它已经在发生。教育您的团队，执行USB访问策略，并利用像Ivanti这样的工具可能意味着弹性与违规之间的区别。不要等到受感染的设备提醒您风险。立即掌控。

常见问题解答

什么是BadUSB攻击？ BadUSB攻击利用USB设备中的可重编程固件，伪装成受信任的设备（如键盘或网络适配器）以执行恶意操作。

BadUSB攻击与传统恶意软件有何不同？ 传统恶意软件在文件系统内操作，可以被反病毒软件检测。BadUSB攻击修改USB设备的固件，这使得它们极难用标准安全工具检测。