什么是BadUSB？理解攻击、脚本与防护

隐藏在USB设备便利性和日常使用背后的，是一种名为BadUSB的复杂网络安全威胁。BadUSB是一种利用USB设备（如闪存盘、键盘、充电线）中可重编程固件执行恶意操作的攻击方式。与传统驻留在文件系统中且通常可被防病毒工具检测到的恶意软件不同，BadUSB存在于固件层。

以下是安全专业人员认为BadUSB攻击构成日益增长威胁的原因：

• 即插即用特性 — 用户通常对USB设备毫无保留地信任，会毫不犹豫地插入未知或赠品驱动器。
• 大规模利用潜力 — 网络犯罪分子可以在活动中分发受感染的USB，通过邮件发送，甚至将其留在公共场所供受害者发现和使用。
• 难以检测 — 由于恶意软件嵌入在USB的固件中，它绕过了大多数传统防病毒和端点保护工具。

一旦连接到计算机，BadUSB设备可以：

• 模拟键盘输入恶意命令。
• 安装后门或键盘记录器。
• 重定向互联网流量。
• 窃取敏感数据。

BadUSB攻击的工作原理

BadUSB在2014年引起公众关注，当时研究人员Karsten Nohl和Jakob Lell在黑帽美国大会上演示了USB固件可被重编程用于恶意用途 — 操作系统无法检测。他们还揭示，大多数USB控制器缺乏固件真实性检查，这一漏洞可能在公开披露之前早已被像NSA这样的情报机构利用。

由于BadUSB攻击操纵USB设备的固件（控制设备与系统通信方式的低级代码），理解BadUSB攻击的展开方式对于认识其严重性和制定防护措施至关重要。

以下是BadUSB攻击的三个关键方面，以便您熟悉并消除这一潜在漏洞：

• 重编程USB固件
• 伪装成受信任设备
• BadUSB攻击的时间线

重编程固件将USB设备变为网络武器

重编程USB设备（如闪存盘、键盘、鼠标或网络适配器）固件的能力是BadUSB攻击的核心。许多USB控制器，尤其是较旧或廉价的型号，允许人们在没有任何身份验证或数字签名检查的情况下重写其固件。

一旦被入侵，USB设备不再按其标签所示行为，而是变成了隐蔽的网络武器。由于固件在操作系统级别以下运行，传统安全工具无法扫描或检测这些更改。

伪装成受信任设备以避免检测

BadUSB最危险的方面之一是设备冒充。以下是两种最常见的伪装：

• 键盘模拟 — USB闪存盘可用作键盘（一种受信任的设备类型），然后注入击键，启动PowerShell或命令提示符以下载并执行恶意软件 — 就像用户手动输入命令一样。
• 网络适配器欺骗 — USB可以假装是网络接口控制器（NIC）。一旦连接，它可以通过恶意服务器重路由您的互联网流量，执行中间人（MITM）攻击或拦截敏感数据，如登录凭据。

BadUSB攻击时间线：从插入到有效载荷

以下是BadUSB攻击如何展开的简化时间线：

1. 设备插入（0秒） — 用户将恶意USB设备插入计算机，期望它是无害的闪存盘、充电线等。
2. 枚举（0–2秒） — 设备向操作系统介绍自己；不是作为闪存盘，而是作为键盘或网卡。
3. 有效载荷执行（2–5秒） — 当模拟键盘时，设备开始在后台静默输入命令。当模拟网络适配器时，它重新配置系统的DNS或通过恶意代理路由流量。
4. 后利用（5秒及以后） — 根据攻击目标，设备可能：
   • 下载并安装后门。
   • 窃取文件或登录凭据。
   • 授予攻击者远程访问权限。
   • 在内部网络中传播。

由于这一切在几秒钟内发生，且没有任何防病毒警报或用户提示，BadUSB攻击可以在用户意识到发生了什么之前就危害系统。

真实世界的BadUSB攻击技术

从人行道到漏洞：被遗忘的USB如何瘫痪政府网络

发生了什么

研究人员通过在公共场所（如停车场、大学校园和会议室）故意丢弃USB驱动器来观察用户行为。根据G DATA的数据，高达98%的这些被遗弃的驱动器被捡起，至少45%被插入计算机以检查其内容。

类似地，Elie Bursztein及其团队的一项研究发现，48%发现USB驱动器的人 — 无论位置如何 — 都会将其插入。这些发现突显了看似无害的USB设备带来的重大风险，主要由人类好奇心或善意驱动。

是什么使其成为BadUSB场景

这些USB被制作为恶意HID（人机接口设备）植入物（即，它们不携带恶意软件文件，而是模拟键盘，一旦连接就自动输入攻击命令）。它们利用用户信任：不需要防病毒扫描或点击 — 插入设备的行为就足以触发攻击。

研究的关键行业教训

• 社会工程仍然非常有效 — 研究证实，当攻击者可以依赖人类心理学时，他们不需要高级的零日漏洞利用。好奇心、乐于助人，甚至对失物的假设都可以被武器化。
• 传统安全措施不足 — 大多数端点保护工具扫描恶意软件，但BadUSB攻击使用键盘模拟，完全绕过防病毒和基于软件的防御。这显示了端点安全中的一个关键盲点。
• 气隙系统并非免疫 — 一些USB被插入安全或气隙环境的事实尤其令人担忧。它打破了物理隔离系统 inherently 安全的幻觉，并突显了物理安全和内部人员意识的重要性。
• 需要更强的设备控制策略 — 这些结果推动许多组织重新评估其USB和可移动媒体策略。像Ivanti设备控制这样的工具变得更加相关，提供允许、阻止或限制特定设备类别的能力。
• 强调用户意识和培训 — 研究强化了员工教育的必要性。用户必须被训练将未知设备视为潜在威胁，并理解“插入以帮助”可能导致灾难性后果。
• 策略与技术结合 — 关键不仅是技术性的。它促使组织制定明确的可移动媒体安全策略，改进日志记录，并强制执行更严格的物理访问控制。

橡皮鸭攻击

橡皮鸭攻击指的是一种网络攻击，攻击者使用恶意USB设备，通常伪装成无害的USB闪存盘（称为橡皮鸭），以危害计算机系统。

关于橡皮鸭攻击的关键点

• 设备类型 – 看起来像标准USB驱动器，但功能如同人机接口设备（HID），如键盘。
• 工作原理 – 当插入时，橡皮鸭模拟键盘并快速输入预编程的击键，以在目标系统上执行命令。
• 有效载荷 – 这些可能包括：
  • 打开命令提示符并下载恶意软件
  • 创建新用户账户
  • 禁用安全功能
  • 窃取数据
• 速度 – 执行命令远快于人类可以输入的速度，通常在几秒钟内完成攻击。
• 无需身份验证 – 大多数系统自动信任HID设备，无需用户授权。

常见缓解措施

• 实施工作站无人时锁定策略。
• 应用最小权限原则 — 防止用户拥有本地管理员权限。
• 教育员工不要离开工作站解锁和未知USB设备的风险。
• 物理安全（USB端口锁、CCTV和意识）。

为什么传统安全解决方案无法检测BadUSB攻击

尽管网络安全环境不断演变，BadUSB仍然是一种隐蔽且 largely 无法检测的威胁。大多数传统安全解决方案 simply 没有设计用于监控USB设备固件级别发生的情况。

USB白名单限制

一些组织实施USB白名单，只允许批准的设备连接到企业系统。虽然这是一个坚实的第一步，但它不能保护 against 伪装成其他东西的设备。

例如：

• 白名单USB闪存盘可被重编程为像键盘一样行为。
• 具有动态身份的USB设备可以通过在连接中途切换其声明的类来绕过静态白名单。

由于操作系统基于设备声称的身份识别设备 — 而不是它们包含的内容 — 恶意设备甚至可以欺骗维护良好的白名单。

固件级重编程 vs. 传统恶意软件

BadUSB攻击预防：最佳实践

随着BadUSB攻击继续绕过传统安全工具，组织必须转向主动的、分层的防御策略。幸运的是，有有效的预防方法可以最小化或消除风险，包括：

• 基于策略的USB访问控制
• 阻止未使用的USB端口
• 击键行为监控
• 限制对提升的命令提示符或PowerShell的访问
• 应用程序控制

1. 基于策略的USB访问控制

第一道防线是在您的组织中建立严格的、策略驱动的USB访问。这意味着明确定义哪些设备可以连接到哪些系统，并阻止所有其他设备。

关键策略包括：

• 阻止永远不应使用的USB设备类，如服务器或销售点系统上的HID（键盘/鼠标）。
• 应用基于角色的限制，以确保只有授权员工可以使用可移动媒体。

通过集中管理实施这些策略，组织可以有效地防止未知威胁。对于需要可扩展、企业级保护的企业，设备控制解决方案如Ivanti Endpoint Manager（EPM）和Ivanti Device and Application Control（IDAC）提供强大的安全和管理能力。

2. 阻止未使用的USB端口以消除攻击入口点

防止BadUSB攻击最简单 yet 最有效的策略之一是物理或逻辑上禁用未使用的USB端口。如果一个端口不需要用于关键业务功能，您应该停用它以：

• 通过限制未经授权设备连接的机会来减少攻击面。
• 防止用户意外（或故意）插入恶意USB设备。
• 支持符合需要严格端点控制的安全框架。

要实施此安全协议：

• 使用BIOS/UEFI设置在硬件级别禁用USB端口。
• 利用端点管理工具（如Ivanti EPM）通过策略阻止USB端口。
• 在需要防篡改的高安全环境中应用物理端口阻止器。

通过消除开放和未监控的USB端口，您可以 dramatically 减少 drive-by BadUSB感染的风险，并为整个组织维持更 tight 的端点安全控制。

3. 通过击键行为检测BadUSB

BadUSB攻击通常使用HID（人机接口设备）欺骗通过模拟键盘输入注入命令。这些击键以非人类速度发生 — 远超出任何人类用户可以产生的速度。

例如，恶意USB可能在插入后不到一秒钟内输入完整的PowerShell命令。通过监控键入速度、时间模式和命令结构，安全软件可以在损害发生之前标记并响应可疑输入活动。

即便如此，击键行为监控的一个主要缺点是熟练的攻击者可以减慢有效载荷传递以模仿人类键入速度，并 potentially 逃避检测。

4. 限制对提升的命令提示符或PowerShell的访问

BadUSB设备危险不仅因为它们连接到系统，而且因为它们几乎 instantly 执行高权限命令。最常见的策略之一是启动提升的命令提示符或PowerShell窗口以运行恶意脚本、下载有效载荷或修改系统设置。

通过限制对管理命令行工具的访问，您可以有效地 neutralize 许多BadUSB攻击的有效载荷执行阶段 — 即使设备成功连接。

实施 Just-in-Time（JIT）特权访问命令提示符和PowerShell是 minimize 攻击窗口同时仍允许必要管理活动的绝佳方式。

5. 部署应用程序控制以减轻BadUSB风险

应用程序控制是一种安全方法，只允许批准和验证的应用程序在系统或网络内执行。它不是试图识别和阻止不良行为，而是只白名单已知良好行为。

更具体地说，应用程序控制帮助您：

• 阻止未经授权的可执行文件 — BadUSB攻击通常尝试在连接时启动脚本或应用程序。应用程序控制确保只允许白名单可执行文件运行，立即在攻击升级之前停止它。
• 防止未经授权的代码执行 — 如果BadUSB设备尝试模拟键盘并注入击键以打开PowerShell或命令提示符，应用程序控制可以防止这些程序执行（除非它们被 specifically 允许）。
• 实施硬件感知策略 — 一些高级应用程序控制解决方案可以实施设备特定策略（例如，阻止来自未知USB供应商的所有类键盘输入，限制USB端口仅为充电功能）。
• 减少攻击面 — 通过严格控制允许的软件，即使Bad USB绕过物理保护，其与系统交互的能力也 extremely 有限。

Ivanti端点管理和Ivanti设备应用程序控制如何帮助防止BadUSB攻击

仅在必要时授予临时（just-in-time）访问USB设备的权限。最初，考虑完全阻止 — 如针对像flipper设备这样的工具。然而，在评估可行性和业务影响后，这种方法被确定为过于限制性。

相反，Ivanti端点管理和设备应用程序控制提供更灵活的解决方案。它们通过允许受控设备访问和应用正确的安全策略来帮助减轻BadUSB威胁。这种方法平衡保护与生产力，减少风险而不妨碍合法使用。

结论：为什么BadUSB意识重要

随着网络威胁继续变得更加复杂，意识是您最强的第一道防线。BadUSB攻击代表了一种独特且被低估的漏洞 — 通过利用大多数人对USB设备的内在信任来绕过传统防御。没有意识和主动控制，即使最安全的网络也可能成为单个受损USB设备的受害者。

不幸的是，大多数组织没有 fully 监控或控制这些设备的使用方式，在其安全基础设施中留下 massive 盲点。实施明确的USB安全策略 — 以及执行它的正确工具 — 不再是可选的。它是 essential 的。

信任Ivanti进行BadUSB攻击预防和卓越设备控制

认真对待减轻基于USB威胁的组织应考虑利用全面的设备控制解决方案，如Ivanti Endpoint Manager（EPM）和Ivanti Device Application Control（IDAC）。

Ivanti的解决方案解决了所有推荐的关键应用程序控制，以防御像BadUSB这样的威胁，提供 granular USB访问控制以阻止或允许特定设备类型，实时监控和报告所有端点的USB活动，以及自动化策略执行，确保跨部门和地区的合规性。这些能力与更广泛的端点保护策略无缝集成，防止未经授权的设备 ever 到达敏感系统。但Ivanti通过上下文感知策略执行超越了这些基础控制，允许组织基于实时风险信号（如用户行为、位置和设备信任）动态调整USB访问 — 在 ever 演变的威胁环境中提供智能、自适应保护。

BadUSB不是科幻小说 — 它已经在发生。教育您的团队，执行USB访问策略，并利用像Ivanti这样的工具可以意味着弹性与漏洞之间的差异。不要等待受损设备提醒您风险。立即控制。

常见问题

什么是BadUSB攻击？
BadUSB攻击利用USB设备中的可重编程固件，伪装成受信任的设备（如键盘或网络适配器）以执行恶意操作。

BadUSB攻击与传统恶意软件有何不同？
传统恶意软件在文件系统内操作，可被防病毒软件检测。BadUSB攻击修改USB设备的固件，这使得它们 extremely 难以用标准安全工具检测。