数据泄露防护- DLP 如何拦截 BadUSB

Karsten Nohl 和 Jakob Lell共同发现了BadUSB漏洞,并在 2014年八月份拉斯维加斯举行的 年度黑帽子大会 (BlackHat 2014, this demo: http://www.youtube.com/watch?v=nuruzFqMgIw

)上公布并做了演示, 由于该漏洞的隐蔽性和滞后性, 给予极其成熟的USB 设备领域来说无疑是一颗重磅炸弹,现有的操作系统系统默认对此漏洞是不扫描的,跟不用说杀毒软件之类的,根本不会把它当做病毒对待, 也就是说整个世界都不会有漏网之鱼.

 

之前也出现过利用USB协议漏洞进行攻击的产品, 比如 USB URBBER DUCKY, TEENSY 等等, 但是都需要借助额外的设备, 而BadUSB可以直接利用我们几乎天天使用的USB 设备, 不需要硬件定制, 这是最可怕的,  就是说, 您手中的不起眼的USB 设备往往就是一颗定时炸弹. USB 设备包含很多种: U盘, 音频设备, 摄像头设备, 移动硬盘, 鼠标等等, 这些设备为了追求通用性及兼容性,设计驱动时是不需要使用唯一UID进行身份识别的,往往单个USB 接口就可以拓展成多个USB通道,很常见的比如 USB Mulit Port , 同时可以接上U盘,鼠标, 键盘等等,  这样的话任何一个USB 设备理论上都可以伪装成键盘设备,向计算机发送各种指令, 比如伪造键盘输入, 更改Host 文件使得购物网站IP 指向钓鱼网站, 更改设备网络设置截取传输数据等等, 幸运的是各大厂商原则上是不公开固件系统的,但是可以通过逆向工程进行破解, 这也就有了上面的故事,

 

攻击情境1 :

  数据窃贼 在竞争公司周边随意散步几个载有 BadUSB 代码的USB 设备, 碰巧竞争对手公司职员捡到了,正常的反应就是插入公司电脑看是否可以使用,这是杀毒软件是不会有任何提示的, 一旦连接到计算机, 立即更改计算机Host文件, 修改指定网站IP 为伪造的网站, 这样当用户在此伪造的网站上输入的任何信息(账号密码等)都将会被远远不断的发送给数据窃贼

 

攻击情境2 : 更改客户端计算机网络配置, 在员工下班后,,远程的把公司数据搬走.

攻击情境3: DNS 劫持

 

现有的数据泄漏防护体系可惜的是并没有跟上步伐,在BadUSB 目前看似坚不可摧的防御体系立刻土崩瓦解,

Endpoint Protector 的数据泄漏防护功能可以有效的拦截BadUSB 设备,

解决方案 : 在安装 Endpoint Protector 后,之后再连接的键盘设备或"伪"键盘设备都会被视为Additional Keyboard 对待

 

 

之后如果需要追加正常的键盘设备, 可以直接加入白名单中,而伪键盘设备一旦连接到计算机会被立即拦截.




版权声明:本文为sunkaikaisun原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。