BadUSB检测

Question

我们计划使用USB闪存驱动器分发我们的新软件。该计划是由现场服务专家访问我们的客户和升级软件使用我们的一个闪存驱动器。然而，我们希望能够重用闪存驱动器。这些闪存驱动器会被像BadUSB这样的恶意软件感染吗？你推荐任何工具来检测USB闪存驱动器中的恶意软件在固件？

Answer 1

这里你会找到一个如何防止BadUSB感染的棍子变得有害的指南。然而，这并不能防止棍子被感染。

你想做的事情的问题是读出固件来分析它。对于大多数USB来说，你根本不能。攻击刷新固件的方式是使用一个“秘密”(无文档，特定于供应商的) SCSI命令来更新它。通常没有读取命令，甚至没有实现。

一个更简单的解决方案是使用受写保护的USB (有很多型号都有只读开关)。

你需要一个写保护来防止USB固件的刷新，而不是存储的普通只读开关。如果我没记错的话，大多数USB控制器都没有这个功能。有usb控制器，是写保护‘保险丝’后离开工厂，但你将不得不深入挖掘，以找到那些规格。

Answer 2

无法检测到感染是

潜在的危险

虽然仔细分析特定的可疑设备可能会产生结果，并且可以检测到特定流行攻击的签名，但您不能简单地避免整个类“BadUSB”漏洞。

借用BadUSB最初检测到的一句话：“没有固件的帮助就无法获得固件，如果您询问受感染的固件，它只会对您撒谎。”

从概念上讲，不可能远程分析通过网络( USB协议)连接到您的潜在恶意计算机( USB驱动器)，并确保其内容的任何内容。妥协的设备可以很容易地模拟“好”设备的任何和所有响应，直到和除非满足某些条件，当它将部署一个有效载荷时。

如果出现新的攻击，您的驱动器可能会被它以一种无法察觉的方式感染。

Answer 3

如果你看纪录片“公民四”，你可能会注意到爱德华·斯诺登用一张SD卡把文件交给记者。

许多SD卡的侧面有一个写保护开关，就像其他应答者提到的USB闪存条一样。虽然我不知道它是硬件还是软件开关，但你需要检查一下。

badUSB 许多SD读卡器也易受攻击.的原始研究员