USBHID攻击与防护技术综述

张欣

摘要

在诸多USB攻击技术中，USBHID可以说是近些年兴起的一种新型的攻击技术，其比传统的攻击技术复杂性更高，而且隐蔽性也更大，产生的危害也是非常大的。伴随着科学技术的迅速发展，有很多研究人员以及开发人员都在研究这种攻击方式，而且购买者可以通过非常低的价格就能够购买到这种功能的硬件，正是因为其价格比较低，而且自动化又非常高，使其在市场上普及的非常快，由此带来的个人隐私安全问题也非常的严重。

【关键词】USBHID设备 攻击与防护

1 USBHID攻击技术研究

1.1 USBHID攻击技术介绍

USBHID设备是USB设备中比较常用的一种，主要是被人们应用到少量的实时数据传输和人机交互中，主要的设备有鼠标、键盘等。这类设备可以实现通信的原理主要是通过主机端定义的HID类型的接口，但是有的HID设备不具备人机交互的功能。设备当中有支持HID报表格式的固定的软件，数据报表可以通过HID实现接受和传输，当前已经有着较为广泛的应用，能够基本实现处理所有的数据。所以，需要传送的相关数据是可以是鼠标和键盘的滚动值的位移，也可以是普通的数据，在HID的每笔交易的过程中可以携带一些数据。8B是地宿舍呗交易处理中的最大值，64B是全速设备交易处理中的最大值，在不同种类的商速设备中每笔父易的最大值可以是1024B。USBHID攻击使用USB接口技术是一种伪造用户击键行为实施攻击的方式。可以通过对主机的恶意伪造发送错误的指令，改变系统的设置，能够严防恶意软件的运行。和原有的USB技术相比，该技术有着很大的不同之处，在USB设备固件中，可以藏匿恶意代码，导致设备遭受一定的侵害，影响整体运行。首先，模仿用户按键操作是实施隐藏的主要目的，这种攻击可以很好地避开防毒的检测和抵抗。此外，在芯片固件中也可以隐藏这种恶意代码，而这部分代码是难以被杀毒软件检测到的，所以隐藏性是这种攻击的最大特点。其次，此项技术已经有了较为广泛的供给范围，黑客可以供给基本所有的含有USB接口的设备，此种供给有着较大的跨平台操作的功能，不管是移动操作系统还是三大桌面操作系统，基本都支持HID协议，这就为攻击操作提供的途径。最后，此种攻击方式主要是铜鼓模拟用户操作的方法，所以操作权限比较高，在攻击过程中能够对设备开展恶意操作，能够用管理员的权限将脚本、密码等进行传该。由于具有这种特点，所以在攻击过程中能够有很高的操作权限，能够有效地实现攻击运行。其中恶意靠背、系统设置修改、恶意程序下载等都是典型的攻击方法，严重危害了设备的安全性和操作性。出现这种攻击后，USB设备便成为了一项非常大的安全隐患，攻击者利用USB设备攻击设备。如果用户误用了他人带有病毒的鼠标、键盘、优盘等设备就非常容易遭受攻击，所以，很多人认为这种攻击技术中USB设备成为了攻击行为的帮凶。

1.2 USBHID攻击原理

USBHID是需要通过HID设备与不同的设备进行握手、枚举的，只有这样才可以与主机建立通信关系。主机枚举过程是要求配置信息在主机的设备中的，并根据具体的要求准备好的通讯条件和其他类型的对接口，设备中所使用的HID接口是可以和其他的与其是相同类型接口的设备进行定义，也可以将同一个负荷的定义在主机上进行定义，设备的类型与其使用的数量是由设备的原固件所决定的。

2 USBHIS攻击防护技术研究与发展

在2010年以后，恶意攻击软件攻击技术出现了，其中最具代表性的就是teensy，研究人员认为：USB设备具有一定的安全性能，也可以起到对设备进行安全监控的效果，主机和设备间的认证过程是建立在原有的USB协议主机与设备进行枚举前的基础之上的。协议的计算方法和Diffie-Hellman加密，要想继续enumeration签名只有利用主机认证设备。运用这个方法可以将通用的USB协议进行修改，并且这个协议只适合在USB设备上使用，而且可以与比起高一层的主机设备进行通信连接，但是现在人们普遍使用的与这个设备并不能兼容。结果表明，这个方法虽然保护性较高，但是局限性还是很大的。同时，一些研究者已经注意到，HID的主要特征是可以经过隐藏然后会模拟用户敲门。在对击键动力学进行分析后，我们可以很快的找出此种恶意设备和一般用户间的区别，并可以对可以设备进行较准确的判断。随着“坏USB”“捕鼠器”的问世和对USB设备的原有固件进行调整，可以使其成为对HID进行攻击的主要方式。这种攻击方式是对原始的设备进行感染，这种方式与其他方式相较有着更强的威胁性和隐蔽性，同时还具有一定的感染力。所以，目前也逐渐加大对USB原有固件防更改技术的研究力度，与其相关的技术主要是软件和硬件。对于硬件的保护是持久的，可以破坏对USB芯片的破坏来编写线路的固件故障，可以有效的防止被篡改。目前，较多的USB设备的工作任务具有單一性，固定的任务可以由U盘，键盘，鼠标和其它设备来完成，所以制造商将安装原生的USB固件的芯片进行一次性的安装，并且不再去进行变更，这也是这个行业内经常使用的一种方法。

3 结语

USBHID作为一种攻击技术。其兼顾了软件和硬件的特点，自出现以来，就展现了其强大的的破坏力和攻击力，由此给人们的生产和生活安全带来了很大的威胁。该种攻击技术主要是以硬件设备黑盒的特点，在现有的操作系统下从底层硬件向操作系统发起攻击，现有的安全体系没有考虑这样的防护措施。该技术快速地发展已经威胁到了人们的隐私安全，同时也颠覆了传统的信息安全观念。有研究者指出硬件设备不可靠的根本原因，并且对现有的防护机制进行有效的反思，主动认证的思想正是尝试解决这个问题的合适的思路。通过对使用者的鼠标、击键特征、各类行为模式等进行直接认证，由此对授权用户以及攻击者进行实时甄别，从而有效的解决硬件可靠性存在的安全盲点，最终建立一种实时可靠的安全系统认证机制。

参考文献

[1]张慧敏.USB存储设备安全机制的研究与实现[D].电子科技大学，2016.

[2]吕志强，刘喆，常子敬，张宁，姜建国.恶意USB设备攻击与防护技术研究[J].信息安全研究，2016，2（02）：150-158.

[3]谈诚，邓入弋，王丽娜，马婧.针对APT攻击中恶意USB存储设备的防护方案研究[J].信息网络安全，2016（02）：7-14.