什么是BadUSB？理解攻击、脚本与防护

关键要点

• BadUSB攻击通过利用USB固件模拟受信任设备来规避反病毒检测
• 一旦连接，可快速执行命令、窃取数据或重定向流量
• 预防方法包括严格的USB策略、禁用未使用端口和检测异常击键行为

BadUSB威胁概述

潜伏在USB设备便利性和日常使用背后的是一种复杂的网络安全威胁——BadUSB。这种攻击利用USB设备（如闪存盘、键盘、充电线）中的可重编程固件执行恶意操作。与传统驻留在文件系统中可被反病毒工具检测的恶意软件不同，BadUSB存在于固件层。

安全专业人员认为BadUSB攻击是日益增长的威胁，原因如下：

• 即插即用特性——用户通常盲目信任USB设备，不加思索地插入未知或赠送的驱动器
• 大规模利用潜力——网络犯罪分子可在活动中分发受感染的USB，通过邮件发送或在公共场所遗留供受害者发现使用
• 难以检测——由于恶意软件嵌入USB固件中，可绕过大多数传统反病毒和端点保护工具

连接到计算机后，BadUSB设备可以：

• 模拟键盘输入恶意命令
• 安装后门或键盘记录器
• 重定向互联网流量
• 窃取敏感数据

BadUSB攻击工作原理

BadUSB在2014年引起公众关注，当时研究人员Karsten Nohl和Jakob Lell在黑帽美国大会上演示了USB固件可被重编程用于恶意用途——操作系统无法检测。他们还揭示大多数USB控制器缺乏固件真实性检查，这一漏洞可能早在公开披露前就被NSA等情报机构利用。

由于BadUSB攻击操纵USB设备的固件（控制设备与系统通信方式的低级代码），理解攻击过程对于认识其严重性和制定防护措施至关重要。

以下是BadUSB攻击的三个关键方面：

1. 重编程USB固件

重编程USB设备（如闪存盘、键盘、鼠标或网络适配器）固件的能力是BadUSB攻击的核心。许多USB控制器，特别是老旧或廉价型号，允许人们重写其固件而无需任何身份验证或数字签名检查。

一旦被攻陷，USB设备不再按标签所示行为，而是成为隐蔽的网络武器。由于固件在操作系统级别以下运行，传统安全工具无法扫描或检测这些修改。

2. 伪装成受信任设备避免检测

BadUSB最危险的方面之一是设备冒充。以下是两种最常见的伪装方式：

• 键盘模拟——USB闪存盘可用作键盘（受信任设备类型），然后注入击键启动PowerShell或命令提示符以下载和执行恶意软件，就像用户手动输入命令一样
• 网络适配器欺骗——USB可伪装成网络接口控制器（NIC）。一旦连接，可通过恶意服务器重定向互联网流量，执行中间人（MITM）攻击或拦截登录凭据等敏感数据

3. BadUSB攻击时间线：从插入到有效载荷

以下是BadUSB攻击的简化时间线：

1. 设备插入（0秒）——用户将恶意USB设备插入计算机，预期它是无害的闪存盘、充电线等
2. 枚举（0-2秒）——设备向操作系统自我介绍；不是作为闪存盘，而是作为键盘或网卡
3. 有效载荷执行（2-5秒）——模拟键盘时，设备开始在后台静默输入命令。模拟网络适配器时，重新配置系统的DNS或通过恶意代理路由流量
4. 后利用（5秒及以后）——根据攻击目标，设备可能：
   • 下载并安装后门
   • 窃取文件或登录凭据
   • 授予攻击者远程访问权限
   • 在内部网络中传播

这一切在几秒钟内发生，且没有任何反病毒警报或用户提示，BadUSB攻击可在用户意识到发生什么之前就危害系统。

真实世界BadUSB攻击技术

从路面到漏洞：被遗忘的USB如何瘫痪政府网络

事件经过

研究人员通过在停车场、大学校园和会议室等公共场所故意丢弃USB驱动器进行实验，观察用户行为。根据G DATA数据，98%的这些被遗弃驱动器被捡起，至少45%被插入计算机检查内容。

类似地，Elie Bursztein及其团队的研究发现，48%发现USB驱动器的人——无论位置如何——都会插入它。这些发现突显了看似无害的USB设备带来的重大风险，主要由人类好奇心或帮助意图驱动。

使其成为BadUSB场景的原因

这些USB被制作为恶意HID（人机接口设备）植入物（即它们不携带恶意软件文件，而是模拟键盘在连接后自动输入攻击命令）。它们利用用户信任：不需要反病毒扫描或点击——插入设备的行为就足以触发攻击。

研究的关键行业教训

• 社会工程仍然极其有效——研究证实，攻击者可以依赖人类心理而不需要高级零日漏洞利用。好奇心、乐于助人或甚至失物假设都可以被武器化
• 传统安全措施不足——大多数端点保护工具扫描恶意软件，但BadUSB攻击使用键盘模拟，完全绕过反病毒和基于软件的防御。这显示了端点安全中的关键盲点
• 气隙系统并非免疫——一些USB被插入安全或气隙环境尤其令人担忧。它打破了物理隔离系统 inherently 安全的幻觉，并强调了物理安全和内部人员意识的重要性
• 需要更强的设备控制策略——这些结果推动许多组织重新评估其USB和可移动媒体策略。像Ivanti设备控制这样的工具变得更加相关，提供允许、阻止或限制特定设备类的能力
• 强调用户意识和培训——研究加强了员工教育的必要性。必须培训用户将未知设备视为潜在威胁，并理解"插入帮助"可能导致灾难性后果
• 策略与技术结合——收获不仅是技术性的。它促使组织制定明确的可移动媒体安全策略，改进日志记录，并强制执行更严格的物理访问控制

橡皮鸭攻击

橡皮鸭攻击指攻击者使用恶意USB设备（通常伪装成无害USB闪存盘，称为橡皮鸭）危害计算机系统的网络攻击类型。

橡皮鸭攻击关键点

• 设备类型——看起来像标准USB驱动器，但功能为人机接口设备（HID），如键盘
• 工作原理——插入时，橡皮鸭模拟键盘并快速输入预编程击键以在目标系统上执行命令
• 有效载荷——可能包括：
  • 打开命令提示符并下载恶意软件
  • 创建新用户账户
  • 禁用安全功能
  • 窃取数据
• 速度——执行命令远快于人类输入，通常在几秒钟内完成攻击
• 无需身份验证——大多数系统自动信任HID设备而无需用户授权

常见缓解措施

• 实施无人值守时的工作站锁定策略
• 应用最小权限原则——防止用户拥有本地管理员权限
• 教育员工不要离开工作站解锁和未知USB设备的风险
• 物理安全（USB端口锁、CCTV和意识）

为什么传统安全解决方案无法检测BadUSB攻击

尽管网络安全环境不断发展，BadUSB仍然是一种隐蔽且 largely 无法检测的威胁。大多数传统安全解决方案根本未设计用于监控USB设备固件级别发生的情况。

USB白名单限制

一些组织实施USB白名单，只允许批准的设备连接到企业系统。虽然这是坚实的第一步，但它不能防止伪装成其他设备的设备。

例如：

• 列入白名单的USB闪存盘可被重编程为像键盘一样行为
• 具有动态身份的USB设备可通过在连接中途切换其声明的类来绕过静态白名单

由于操作系统基于设备自称的身份识别设备——而不是它们包含的内容——恶意设备甚至可以欺骗维护良好的白名单。

固件级重编程 vs. 传统恶意软件

BadUSB攻击预防：最佳实践

随着BadUSB攻击继续绕过传统安全工具，组织必须转向主动、分层防御策略。幸运的是，有有效的预防方法可以最小化或消除风险，包括：

• 基于策略的USB访问控制
• 阻止未使用的USB端口
• 击键行为监控
• 限制对提升的命令提示符或PowerShell的访问
• 应用程序控制

1. 基于策略的USB访问控制

第一道防线是在组织内建立严格、策略驱动的USB访问。这意味着明确定义哪些设备可以连接到哪些系统，并阻止所有其他设备。

关键策略包括：

• 阻止永远不应使用的USB设备类，如服务器或销售点系统上的HID（键盘/鼠标）
• 应用基于角色的限制以确保只有授权员工可以使用可移动媒体

通过集中管理实施这些策略，组织可以有效预防未知威胁。对于需要可扩展、企业级保护的企业，设备控制解决方案如Ivanti端点管理器（EPM）和Ivanti设备和应用程序控制（IDAC）提供强大的安全和管理能力。

2. 阻止未使用的USB端口以消除攻击入口点

预防BadUSB攻击最简单 yet 最有效的策略之一是物理或逻辑禁用未使用的USB端口。如果端口不需要用于关键业务功能，应停用它以：

• 通过限制未经授权设备连接的机会减少攻击面
• 防止用户意外（或故意）插入恶意USB设备
• 支持符合需要严格端点控制的安全框架

实施此安全协议：

• 使用BIOS/UEFI设置在硬件级别禁用USB端口
• 利用端点管理工具（如Ivanti EPM）通过策略阻止USB端口
• 在对防篡改至关重要的高安全环境中应用物理端口阻止器

通过消除开放和未监控的USB端口，可以 dramatically 减少 drive-by BadUSB感染的风险，并为整个组织维持更严格的端点安全控制。

3. 通过击键行为检测BadUSB

BadUSB攻击通常使用HID（人机接口设备）欺骗通过模拟键盘输入注入命令。这些击键以非人类速度发生——远超出任何人类用户可能产生的速度。

例如，恶意USB可能在插入后不到一秒内输入完整的PowerShell命令。通过监控打字速度、时间模式和命令结构，安全软件可以在损害发生前标记和响应可疑输入活动。

即便如此，击键行为监控的一个主要缺点是熟练的攻击者可以减慢有效载荷传递以模仿人类打字速度并 potentially 逃避检测。

4. 限制对提升的命令提示符或PowerShell的访问

BadUSB设备危险不仅因为它们连接到系统，而且因为它们几乎立即执行高权限命令。最常见策略之一是启动提升的命令提示符或PowerShell窗口以运行恶意脚本、下载有效载荷或修改系统设置。

通过限制对管理命令行工具的访问，可以有效中和许多BadUSB攻击的有效载荷执行阶段——即使设备成功连接。

为命令提示符和PowerShell实施即时（JIT）特权访问是 minimize 攻击窗口同时仍允许必要管理活动的极好方式。

5. 部署应用程序控制以减轻BadUSB风险

应用程序控制是一种安全方法，只允许批准和验证的应用程序在系统或网络中执行。它不是试图识别和阻止不良行为，而是只白名单已知良好行为。

更具体地说，应用程序控制帮助您：

• 阻止未经授权的可执行文件——BadUSB攻击通常尝试在连接时启动脚本或应用程序。应用程序控制确保只允许白名单可执行文件运行，立即在攻击升级前停止它
• 防止未经授权的代码执行——如果BadUSB设备尝试模拟键盘并注入击键以打开PowerShell或命令提示符，应用程序控制可以防止这些程序执行（除非特别允许）
• 实施硬件感知策略——一些高级应用程序控制解决方案可以实施设备特定策略（如阻止来自未知USB供应商的所有类键盘输入，限制USB端口仅为充电功能）
• 减少攻击面——通过严格控制允许的软件，即使Bad USB绕过物理保护，其与系统交互的能力也 extremely 有限

Ivanti端点管理和Ivanti设备应用程序控制如何帮助预防BadUSB攻击

仅在必要时授予临时（即时）访问USB设备的权限。最初，考虑完全阻止——如针对flipper设备等工具。然而，在评估可行性和业务影响后，确定这种方法过于限制性。

相反，Ivanti端点管理和设备应用程序控制提供更灵活的解决方案。它们通过允许受控设备访问和应用正确的安全策略帮助减轻BadUSB威胁。这种方法平衡保护与生产力，减少风险而不阻碍合法使用。

结论：为什么BadUSB意识重要

随着网络威胁继续变得更加复杂，意识是您最强的第一道防线。BadUSB攻击代表独特且被低估的漏洞——通过利用大多数人对USB设备的内在信任绕过传统防御。没有意识和主动控制，即使最安全的网络也可能成为单个受损USB设备的受害者。

不幸的是，大多数组织没有 fully 监控或控制这些设备的使用方式，在其安全基础设施中留下巨大盲点。实施清晰的USB安全策略——以及执行它的正确工具——不再可选。它至关重要。

信任Ivanti进行BadUSB攻击预防和卓越设备控制

认真对待减轻基于USB威胁的组织应考虑利用全面设备控制解决方案如Ivanti端点管理器（EPM）和Ivanti设备应用程序控制（IDAC）。

Ivanti的解决方案解决所有推荐防御BadUSB等威胁的关键应用程序控制，提供：

• 细粒度USB访问控制以阻止或允许特定设备类型
• 实时监控和报告所有端点的USB活动
• 自动化策略执行确保跨部门和区域的合规性

这些能力与更广泛的端点保护策略无缝集成，防止未经授权设备 ever 到达敏感系统。但Ivanti通过上下文感知策略执行超越这些基础控制，允许组织基于实时风险信号（如用户行为、位置和设备信任）动态调整USB访问——在 ever-evolving 威胁环境中提供智能、自适应保护。

BadUSB不是科幻小说——它已经在发生。教育您的团队，执行USB访问策略，并利用像Ivanti这样的工具可能意味着弹性与漏洞之间的差异。不要等待受损设备提醒您风险。立即掌控。

常见问题

什么是BadUSB攻击？
BadUSB攻击利用USB设备中的可重编程固件，伪装成键盘或网络适配器等受信任设备以执行恶意操作。

BadUSB攻击与传统恶意软件有何不同？
传统恶意软件在文件系统内操作，可被反病毒软件检测。BadUSB攻击修改USB设备的固件，这使得它们 extremely 难以用标准安全工具检测。

关于作者

Subhojit是Ivanti的产品经理，拥有超过12年的网络安全经验。他热衷于探索网络安全中的新工具、技术和方法论以推动该领域发展。他目前与产品、工程和安全团队密切合作，嵌入行业最佳实践，加强数字员工体验，并为EPM和IDAC调整网络安全和产品策略。

Subhojit在端点安全、下一代反病毒、DLP、CASB、Web代理、电子邮件安全和漏洞管理方面带来深厚专业知识，支持众多行业认证包括CISSP、CISM、CIPM、DSCI首席隐私审计师、ISO 27001、CEH、Qualys Guard专家、Security+和ITIL V3。

Subhojit此前在PayPal担任高级技术产品经理，负责推动组织网络安全计划的愿景、策略和路线图。基于印度班加罗尔，他在业余时间是一名狂热的野生动物摄影师，也喜欢绘画和沉浸在一本好书中。