安全路透社
当前位置:安全路透社 > 网络转载 > 正文

BadUSB防御初探

* 原创作者:CLAY_CY

有关 BadUSB 的防御的中文内容实在有限,且多为建议。笔者受一篇国外技术性文章的启发,对其进行翻译,改进,并增加一些必要的补充,尝试对 windows 环境下的 BadUSB 的具体防御方法进行探究。

BadUSB

BadUSB”是近年来计算机安全领域的持续升温的话题之一,该漏洞由Karsten Nohl和Jakob Lell共同发现,并在2014年的BlackHat安全大会上公布。BadUSB攻击属于HID攻击(Human InterfaceDevice,是计算机直接与人交互的设备,例如键盘、鼠标等)的一种,通过将普通u盘通过改写固件模拟成一个虚拟键盘,并模拟键盘输入攻击指令达成入侵目的。

准备工作

我们可以通过建立基于GUID的可信HID设备的组策略对设备的加载进行限制通过运行gpedit.msc 打开本地组策略编辑器。计算机配置 –> 管理模板 –> 系统 –> 设备安装 –> 设备安装限制

本地组策略编辑器

设备安装策略

如图,共有10条策略,下面笔者将根据重要性分类讲解各个策略

安装策略

1. 对于某一类设备的安装限制策略

第二和第三条策略,分别为允许特定种类设备的安装和禁止特定种类设备的安装。我们可以对使用【阻止使用与下列设备安装程序类相匹配的驱动程序安装设备】这条策略设置,禁止安装键盘类设备,毕竟对于大多数用户而言,并没有使用第二个键盘的需求。右键该策略点击编辑 –> 选择启用策略 –> 点击的显示按钮

安装限制策略

将需要限制的GUID输入空白处即可。

安装限制策略

此处电脑使用GUID来区分不同种类的设备类型,下面给出常用的设备类型对应的GUID。

Devices GUID
Keyboard 4D36E96B-E325-11CE-BFC1-08002BE10318
Mouse 4D36E96F-E325-11CE-BFC1-08002BE10318
Net 4D36E972-E325-11CE-BFC1-08002BE10318
Bluetooth E0CBF06C-CD8B-4647-BB8A-263B45F0F974

更多内容可参见设备类型对应GUID可参考http://blog.csdn.net/jhqin/article/details/6732299

2. 对单一设备的安装限制策略

第六和第七条策略,分别为允许特定的一个设备安装和禁止特定设备的安装。

顾名思义,这两个策略可以限制或允许特定设备。由于任何两台设备的GUID都一定互不相同,如果要使用这两个策略可以从设备管理器中找到设备的GUID并应用在策略中。

但就实际应用而言,这两种策略的实用价值似乎并不大。BadUSB攻击几乎一定是从你从未使用过的USB设备发动的,因此基于特定设备的限制并无太大意义。而允许特定设备并拒绝其他设备(需结合第十项策略,在下一节中有详细说明)的策略似乎又会带来过多的麻烦。

3. 配合类策略

第一和第十策略一般用于辅助其他策略。

【允许管理员忽略设备安装限制策略】这一策略可以带来充足的灵活性,如果有一个你执意要使用的USB设备被你所设置的安全策略拦截,你可以通过启用这一策略来进行灵活调控(前提是你有管理员权限)。

配合类策略

【禁止安装未由其他策略设罝描述的设备】这一策略用于和其他允许类策略进行配合,如果只配置了允许某种类型或某个设备安装,并不意味着其他不在此列的设备就会被禁止,只有启动这项配置才能禁止未被允许类策略描述的设备。这两个策略无需其他配置,直接点击启用即可。

4. 通知类策略和其他

第四【当策略设罝禁止安装时显示自定义信息】和第五条策略【当策略设罝禁止设备安装时显示自定义信息标题】是两种不同的通知类型。不过多赘述。

剩余两种使用并不广泛,如需使用根据需要进行配置即可。【在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒为单位〉】【禁止安装可移动设备】

5. 关于策略搭配的方案

在实际操作中往往需要对不同的策略搭配使用,下面给出几种可行方案。

  1. 对危险设备类(如键盘)全部禁止;允许所有可信常用usb设备白名单(逐个添加允许);禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。
  2. 允许所有可信常用usb设备白名单(逐个添加允许);禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。
  3. 对危险设备类(如键盘)全部禁止;允许管理员忽略设备安装限制策略。
  4. 对安全设备类(如蓝牙,大容量存储等)全部允许;禁止未被以上策略允许的所有设备;允许管理员忽略设备安装限制策略。

以上就是一些适用场景有所不同的可行的几种搭配,当然,肯定还有更多的搭配,个人可根据自己的需要进行搭配。其中需要注意的是,对于所有配置的组合而言,都应该开启【允许管理员忽略设备安装限制策略】这一策略,以确保可以灵活的设置例外。

6. 总结

以上就是windows环境下防御BadUSB的一些探讨。本文仅为抛砖引玉,希望各路大神能够有更深入的探索。笔者当前并无可进行BadUSB渗透测试的设备,对于从前文提到的外国安全网站中提到的,使用本地组策略禁止危险设备安装这一思路,也仅是笔者从BadUSB攻击的原理上认为可行,即BadUSB模拟的键盘如果不能被系统安装,那么应该是无法通过该模拟键盘对计算机进行入侵的,但目前并无证据证明其足以拦截BadUSB攻击,希望有能力进行渗透测试的朋友对这一思路进行实验。

P.s. 测试环境使用的是Win7旗舰版

首发于本人博客https://drl-l.github.io/blog/2017/07/14/Try-to-stop-a-BadUSB-attack/

* 原创作者:CLAY_CY

未经允许不得转载:安全路透社 » BadUSB防御初探

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册