USB设备内嵌病毒运行代码，插入设备后杀毒软件能检测出来么

显示全部楼层 · 发表于 2017-6-16 21:26:28

本帖最后由 BrianG045 于 2017-6-16 21:30 编辑

最近NSA弄出来的风波一波又一波的，让网络安全再一次摆到了大家面前。而NSA的武器库再一次成为了广大互联网安全吃瓜群众的谈资。

翻看了一篇2014年的关于USB设备底层固件嵌入运行代码偷窃用户键盘操作盗取资料私自下载恶意病毒的文章，想问问，现在的杀软们是否能及时发现这种类型的病毒呢？当然，U盘之类的储存类的估计能防范，那么USB键盘，鼠标，或者是USB无线网卡等其他无线设备如果底层固件被嵌入之类的东西，就在目前的杀软防范下，能在病毒监控用户的操作的时候，第一时间发现么？而且有些代码并不依赖PC程序就可以运行，在这样的情况下，一旦联网是否会被杀软发现呢

朋友在淘宝买了一个网件的A6210的USB无线网卡，产品说是美国库存，产品上有certificated refurbished 标签，其实就是官翻产品嘛。朋友之前问过自己这类的产品是否存在安全隐患，是否在机器安装了杀软的情况下能防止安全隐患的发生。

确实，这类产品存在很多未知的因素，一旦有人动了手脚确实会发生问题，毕竟USB设备的安全问题一直都是存在的，只是谈论的时候更多的会关注USB储存设备而忽略了其他的一些一样存在安全隐患的USB设备。

希望大神能帮忙解惑。毕竟这类东西国内的讨论很少，或者说只集中在USB储存设备上。

显示全部楼层 · 发表于 2017-6-16 22:25:06

你问的问题很遗憾没有固定的答案，是否能防御取决于恶意硬件本身的功能、以及其使用的手段。我也只能说几种常见的。不过公认的事实是很难防御，而且无论如何，对固件中的恶意软件，清毒都是不可能的。

首先，你提到的BadUSB，无非是有U盘功能的键盘，来实现操纵用户电脑运行实现储存好的恶意程序，或完成特定的操作。这个的问题是操作用户电脑容易被发现，而运行恶意程序则仅仅不过是替代了双击，恶意软件本身仍然被安软监控。相对而言，这是比较容易防御的。有不少杀软可以识别BadUSB，就算没这个功能的，也很可能杀掉其储存中的恶意软件。

接着就是能联网的独立硬件（路由器等）和USB硬件（网卡、智能摄像头）：

路由器，这个的危害就非常大了。现在的智能路由性能都相当“强劲”，相当于“超低端智能手机”。给了黑客非常大的自由。首先就可以窃取并篡改所有的http内容，这个是任何杀软都无能为力的，因为窃取发生在电脑之外。然后其还可以利用漏洞攻击电脑，虽然几个大厂都有漏洞防护，但路由器本身也可以联网下载新的入侵工具来持续对抗安全软件。只能说还是很可能被攻陷。

USB网卡实际上与路由器类似，不过能干的事情少得多，毕竟其体积和集成度让黑客很难去修改电路，焊上单片机（仅靠这种非智能硬件本身的主控芯片根本实现不了什么复杂的功能，甚至根本无法写入新固件，所以很多恶意硬件的芯片都被换为性能强大的单片机）。

然后还有非USB的硬件，比如被修改过的CPU、显卡，通常这种的套路都是利用BIOS的漏洞直接在硬件自检阶段强行用植入恶意软件的BIOS来替代正常BIOS，然后再感染系统，这是最高等级的Bootkit，防御这种攻击需要的是经过特殊设计的防篡改硬件，远超安软的能力范围。当然，这种东西已经是国家级的入侵手段，平常人一辈子也遇不到，遇到了也没办法。

总之，从软件层去防御硬件层的攻击，从一开始就落了下风。防御这种东西最好的方法是只买全新硬件，二手货要谨慎挑选。

显示全部楼层 · 发表于 2017-6-16 22:29:14

我的回复不知道为什么会需要审核，你等一下吧。

显示全部楼层 · 发表于 2017-6-16 22:30:14

有些厂商已经做了对应的功能，我记得gdata和cylance都会有专门的外部设备检测

显示全部楼层 · 发表于 2017-6-16 23:29:09

欧阳宣发表于 2017-6-16 22:30
有些厂商已经做了对应的功能，我记得gdata和cylance都会有专门的外部设备检测

酱紫吗? 他目前用的是卡巴和BD（两台机器）。酱紫的话我建议他试试GDATA和Cylance

显示全部楼层 · 发表于 2017-6-16 23:37:15

我记得HMPA有类似检测恶意USB设备的功能，可以用来搭配。

显示全部楼层 · 发表于 2017-6-16 23:52:49

载入内存的可以检测出来，有独立芯片的估计不行，有一种办法可以伪装网卡转发流量

显示全部楼层 · 发表于 2017-6-17 09:50:48

ccboxes 发表于 2017-6-16 22:25
你问的问题很遗憾没有固定的答案，是否能防御取决于恶意硬件本身的功能、以及其使用的手段。我也只能说几种 ...

谢谢分析，您说的这些其实也都明白，目前就是USB网卡这件事情比较让人纠结。他购买的时候不知道是官翻，只知道是美国那边过来的。所以会担心USB层面被改动。之前也看过很多资料，大部分针对的是USB Drive之类的产品做的描述。然后路由显卡CPU这些就更不用说肯定会更加危险，只是现在朋友对于这款USB网卡处于一种想用不敢用，毕竟也花费了160大洋，所以我特此发帖，看看能不能帮他解决问题。看完您这个文章后，能告诉他的只能是相对于其他的USB设备，USB网卡可能性较低。

显示全部楼层 · 发表于 2017-6-20 17:12:32

ccboxes 发表于 2017-6-16 22:25
你问的问题很遗憾没有固定的答案，是否能防御取决于恶意硬件本身的功能、以及其使用的手段。我也只能说几种 ...

二手的确要谨慎，前段时间还有新闻说有人专门在二手主板植入BIOS后门....

显示全部楼层 · 发表于 2017-6-20 17:28:15

看下来，总觉得个人电脑这种东西，
还是得添购全新品来得心安，
每天都用得到的东西，
一般单纯上上网追个剧可能还没啥大碍，
但若用家是那些剁手党...

总之别跟自己钱包过不去。

[讨论] USB设备内嵌病毒运行代码，插入设备后杀毒软件能检测出来么