陳 肖，黃 鐘，余 靜

（成都國(guó)信安信息產(chǎn)業(yè)基地有限公司，四川 成都 610041)

0 引 言

通用串行總線(xiàn)（Universal Serial Bus，USB）是一種具備熱插拔、體積小、成本低、擴(kuò)展性好等優(yōu)點(diǎn)的總線(xiàn)接口技術(shù)，其應(yīng)用包括鼠標(biāo)鍵盤(pán)、打印機(jī)、智能手機(jī)及網(wǎng)卡等多種設(shè)備，經(jīng)過(guò)多年的發(fā)展已經(jīng)升級(jí)為3.0版本，理論速度可達(dá)5.0 Gb/s[1]。

USB提供了多種設(shè)備協(xié)議規(guī)范，包括USB MSC（大容量存儲(chǔ)）、USB HID（人機(jī)接口設(shè)備）、USB Power Delivery（快速充電規(guī)范）以及USB OTG（On-The-Go）等。USB接口具備跨平臺(tái)的特性，各個(gè)系統(tǒng)平臺(tái)都遵循一致的USB標(biāo)準(zhǔn)，因此一旦遭受到惡意攻擊，將影響大量設(shè)備的正常運(yùn)行。USB接口面臨著不同層次的惡意攻擊方向，部分敏感數(shù)據(jù)在通信過(guò)程中存在著信息泄露的風(fēng)險(xiǎn)，相關(guān)協(xié)議和驅(qū)動(dòng)也存在著安全隱患。

1 USB接口的數(shù)據(jù)通信

USB總線(xiàn)接口由USB主機(jī)、USB設(shè)備和兩者之間的互連組成[2]。USB通信過(guò)程中，通過(guò)調(diào)用Windows API函數(shù)，系統(tǒng)I/O管理器將主機(jī)請(qǐng)求構(gòu)造成一個(gè)I/O請(qǐng)求包（I/O Request Packet，IRP），并把它傳遞給USB功能驅(qū)動(dòng)。USB功能驅(qū)動(dòng)接收到IRP以后，根據(jù)數(shù)據(jù)載荷包含的操作指令構(gòu)造出相應(yīng)的URB請(qǐng)求塊（USB Request Block），并將此URB放入一個(gè)新的IRP中，然后把這個(gè)IRP向下傳遞給USB總線(xiàn)驅(qū)動(dòng)。USB總線(xiàn)驅(qū)動(dòng)根據(jù)該IRP中URB的數(shù)據(jù)執(zhí)行相應(yīng)的操作，操作完成后把結(jié)果返還給USB功能驅(qū)動(dòng)[3]。USB功能驅(qū)動(dòng)將包含結(jié)果數(shù)據(jù)的IRP返還給I/O管理器，最后I/O管理器將此IRP操作結(jié)果返還給應(yīng)用程序。USB接口的數(shù)據(jù)通信流程如圖1所示。

圖1 USB接口設(shè)備數(shù)據(jù)通信流程

USB主機(jī)和USB設(shè)備之間的通信是由USB控制器控制的。主機(jī)側(cè)和設(shè)備側(cè)的USB控制器分別稱(chēng)為主機(jī)控制器和設(shè)備控制器。主機(jī)控制器驅(qū)動(dòng)和USB設(shè)備驅(qū)動(dòng)構(gòu)成了USB總線(xiàn)驅(qū)動(dòng)，其中前者用于控制插入接口中的USB設(shè)備，后者用于控制USB設(shè)備與主機(jī)之間通信，從而實(shí)現(xiàn)具體的業(yè)務(wù)[4]。USB的驅(qū)動(dòng)結(jié)構(gòu)如圖2所示。

USB主機(jī)控制器驅(qū)動(dòng)由USB核心驅(qū)動(dòng)（USB Core Driver，USBD）和USB主機(jī)控制器驅(qū)動(dòng)（USB Host Controller Driver，HCD）組成，協(xié)議相關(guān)的操作由兩部分共同處理完成。其中，HCD實(shí)現(xiàn)了主機(jī)控制器的硬件抽象，向下管理和檢測(cè)主控制器硬件的各種行為，向上接受USBD的調(diào)用和管理，主要功能包括主機(jī)控制器初始化、根HUB設(shè)備配置、相應(yīng)接口函數(shù)提供以及完成數(shù)據(jù)傳輸?shù)取?/p>

圖2 USB接口驅(qū)動(dòng)結(jié)構(gòu)

USBD是USB主機(jī)驅(qū)動(dòng)的核心，是USB設(shè)備驅(qū)動(dòng)與HCD通信的唯一通道。USBD一方面接收來(lái)自上層驅(qū)動(dòng)傳遞的非USB格式數(shù)據(jù)流，按協(xié)議進(jìn)行數(shù)據(jù)處理后傳遞給HCD，另一方面處理來(lái)自下層的HCD數(shù)據(jù)，傳遞給上層的設(shè)備驅(qū)動(dòng)程序。

根據(jù)USB接口協(xié)議規(guī)范，USB總線(xiàn)上的所有數(shù)據(jù)傳輸都是由USB主機(jī)發(fā)起的。當(dāng)USB設(shè)備連接到集線(xiàn)器時(shí)，集線(xiàn)器會(huì)將狀態(tài)變化信息傳遞給USB主機(jī)，此后USB主機(jī)通過(guò)根集線(xiàn)器向USB設(shè)備發(fā)送命令、獲取USB設(shè)備的各種信息，包括USB設(shè)備傳輸類(lèi)型、USB速度及設(shè)備ID號(hào)等。

USB事務(wù)是USB主機(jī)和USB設(shè)備之間數(shù)據(jù)傳輸?shù)幕締挝?，每次事?wù)過(guò)程以2～3個(gè)數(shù)據(jù)包的形式進(jìn)行USB總線(xiàn)傳輸[5]。每個(gè)數(shù)據(jù)包均包含以下2～3個(gè)步驟：

（1）USB主機(jī)控制器向USB設(shè)備發(fā)出相應(yīng)操作指令；

（2）USB主機(jī)控制器和USB設(shè)備之間傳遞讀寫(xiě)請(qǐng)求，其方向取決于第一部分的命令是讀還是寫(xiě)；

（3）數(shù)據(jù)的接收方向發(fā)送方報(bào)告此次數(shù)據(jù)是否傳輸成功。

2 針對(duì)USB接口的攻擊測(cè)試方法

通過(guò)對(duì)USB接口通信過(guò)程的分析，可以從交互數(shù)據(jù)的產(chǎn)生、分發(fā)及處理等途徑對(duì)USB接口開(kāi)展攻擊測(cè)試。

2.1 通過(guò)監(jiān)聽(tīng)USB接口獲取敏感數(shù)據(jù)信息

USB接口設(shè)備與主機(jī)進(jìn)行交互時(shí)，攻擊者可以通過(guò)監(jiān)聽(tīng)USB接口的方式，將線(xiàn)路中的數(shù)據(jù)流旁路出來(lái)，然后按照USB總線(xiàn)協(xié)議格式解析數(shù)據(jù)包，以此獲取USB接口設(shè)備與主機(jī)的交互數(shù)據(jù)。部分具有身份認(rèn)證功能的設(shè)備如認(rèn)證key、加密U盤(pán)等，在使用過(guò)程中需要輸入賬號(hào)密碼等敏感信息，如果在交互過(guò)程中沒(méi)有對(duì)數(shù)據(jù)進(jìn)行保護(hù)，則可能導(dǎo)致關(guān)鍵信息的泄露。

USB功能驅(qū)動(dòng)由開(kāi)發(fā)者編寫(xiě)，實(shí)現(xiàn)了USB設(shè)備與主機(jī)之間通信的基本操作。由圖2可知，在USB驅(qū)動(dòng)結(jié)構(gòu)層次中，USB功能驅(qū)動(dòng)位于HCD上方，不與實(shí)際的硬件打交道，而USB功能驅(qū)動(dòng)實(shí)現(xiàn)對(duì)硬件設(shè)備的控制是通過(guò)向USBD發(fā)送包含URB的IRP來(lái)實(shí)現(xiàn)的。

URB作為描述與USB設(shè)備通信所用的基本載體和核心數(shù)據(jù)結(jié)構(gòu)，根據(jù)驅(qū)動(dòng)的需要發(fā)送或接受的數(shù)據(jù)。USB設(shè)備中的每個(gè)端點(diǎn)都會(huì)處理一個(gè)URB隊(duì)列，當(dāng)URB被USB設(shè)備驅(qū)動(dòng)創(chuàng)建后，承載了主機(jī)與USB接口產(chǎn)品的指令數(shù)據(jù)，會(huì)被安排給USB設(shè)備的特定端點(diǎn)。

因此，實(shí)現(xiàn)監(jiān)聽(tīng)USB接口的一種方式是在設(shè)備進(jìn)行敏感數(shù)據(jù)操作時(shí)，采用軟件或硬件的方式旁路出操作系統(tǒng)發(fā)送給驅(qū)動(dòng)程序的IPR包，然后解析IRP包中承載的URB數(shù)據(jù)，根據(jù)上下文即可獲得所需的敏感數(shù)據(jù)。

2.2 通過(guò)反編譯USB設(shè)備的驅(qū)動(dòng)等文件得到敏感代碼信息

反編譯技術(shù)通過(guò)對(duì)低級(jí)語(yǔ)言代碼進(jìn)行分析轉(zhuǎn)化，可以得到等價(jià)的高級(jí)語(yǔ)言代碼。通過(guò)反編譯可以實(shí)現(xiàn)對(duì)USB接口設(shè)備重要功能函數(shù)的定位和分析，從而獲取相關(guān)的敏感代碼信息。

在USB驅(qū)動(dòng)體系中，設(shè)備功能驅(qū)動(dòng)主要負(fù)責(zé)處理I/O請(qǐng)求，用戶(hù)模式下所有驅(qū)動(dòng)程序的I/O請(qǐng)求全部由操作系統(tǒng)化為IRP類(lèi)型的數(shù)據(jù)結(jié)構(gòu)，而大部分請(qǐng)求是在派遣函數(shù)（DispatchFunction）中處理的。

IRP的基本屬性包括MajorFunction和MinorFunction，分別記錄了IRP的主類(lèi)型和子類(lèi)型。驅(qū)動(dòng)程序在接收到不同類(lèi)型的IRP后，操作系統(tǒng)會(huì)根據(jù)MajorFunction將IRP分發(fā)到不同的派遣函數(shù)中。在派遣函數(shù)中IRP得到處理，同時(shí)也可以確定這個(gè)IRP屬于哪種MinorFunction。

對(duì)具有認(rèn)證、加密及交互等功能函數(shù)的USB接口設(shè)備，可以采用反編譯軟件對(duì)驅(qū)動(dòng)和dll等文件進(jìn)行反編譯，通過(guò)分析反編譯后的源代碼或偽代碼，以此獲得目標(biāo)程序中派遣函數(shù)或關(guān)鍵處理函數(shù)的信息如函數(shù)名、參數(shù)值、處理邏輯及輸入輸出路徑等，為后續(xù)的數(shù)據(jù)讀取、權(quán)限控制等做準(zhǔn)備。

2.3 通過(guò)掛載過(guò)濾驅(qū)動(dòng)對(duì)USB接口的交互信息進(jìn)行篡改

當(dāng)USB接口設(shè)備與主機(jī)進(jìn)行通信時(shí)，通過(guò)攔截交互的數(shù)據(jù)包并對(duì)數(shù)據(jù)包進(jìn)行篡改，可能會(huì)破壞設(shè)備的正常功能；或者采用構(gòu)造異常數(shù)據(jù)、重放指令數(shù)據(jù)包的方式，使USB接口產(chǎn)品接收到錯(cuò)誤的指令，則可能返回部分敏感信息，從而實(shí)現(xiàn)對(duì)USB接口設(shè)備的攻擊。

IRP傳輸時(shí)首先會(huì)被傳遞到設(shè)備棧最頂層的地方，然后逐步傳遞到下面的驅(qū)動(dòng)程序。操作系統(tǒng)在構(gòu)造設(shè)備棧時(shí)，I/O管理器可以使一個(gè)設(shè)備對(duì)象附加到另一個(gè)初始驅(qū)動(dòng)程序創(chuàng)建的設(shè)備對(duì)象上，與初始設(shè)備對(duì)象相關(guān)的驅(qū)動(dòng)程序決定的IRP，也將被發(fā)送到附加的設(shè)備對(duì)象相關(guān)的驅(qū)動(dòng)程序上，這個(gè)被附加的驅(qū)動(dòng)程序稱(chēng)為過(guò)濾驅(qū)動(dòng)程序。

過(guò)濾驅(qū)動(dòng)可以在設(shè)備棧的任何層次中插入，過(guò)濾驅(qū)動(dòng)創(chuàng)建的關(guān)鍵代碼為Device類(lèi)。其中，AddDevice函數(shù)構(gòu)造過(guò)濾器的實(shí)例，將創(chuàng)建的設(shè)備通過(guò)IoAttachDeviceToDeviceStack綁定到被過(guò)濾的設(shè)備上。對(duì)應(yīng)不同的過(guò)濾功能，需要攔截的IRP也不同。在這個(gè)類(lèi)里通過(guò)把過(guò)濾器插入設(shè)備棧實(shí)現(xiàn)IRP的攔截功能，進(jìn)而可以使用自定義的完成例程來(lái)實(shí)現(xiàn)特定的功能。

因此，可以通過(guò)在USB接口設(shè)備的功能驅(qū)動(dòng)上添加過(guò)濾驅(qū)動(dòng)，使用過(guò)濾驅(qū)動(dòng)程序來(lái)檢查、修改和完成它接收到的IRP，或者構(gòu)造自己的IRP，從而達(dá)到修改數(shù)據(jù)的目的，實(shí)現(xiàn)對(duì)USB接口產(chǎn)品的有效攻擊測(cè)試。

2.4 通過(guò)USB HID攻擊獲取設(shè)備權(quán)限

對(duì)于具備USB接口的主機(jī)類(lèi)設(shè)備，可以通過(guò)控制用戶(hù)的鍵盤(pán)獲取操作權(quán)限。采用人機(jī)接口設(shè)備（Human Interface Device，HID）攻擊可以將一個(gè)USB接口設(shè)備模擬成為鍵盤(pán)，讓主機(jī)將其識(shí)別為鍵盤(pán)類(lèi)型，然后可以對(duì)主機(jī)進(jìn)行腳本模擬按鍵攻擊[6]。

HID攻擊屬于物理層面攻擊。在驅(qū)動(dòng)程序中，所有HID定義的設(shè)備驅(qū)動(dòng)程序提供了對(duì)應(yīng)數(shù)據(jù)類(lèi)型和格式的自我描述包，計(jì)算機(jī)上的HID驅(qū)動(dòng)程序可以解析數(shù)據(jù)和實(shí)現(xiàn)數(shù)據(jù)I/O與應(yīng)用程序功能的動(dòng)態(tài)關(guān)聯(lián)。

由于一般主機(jī)對(duì)HID設(shè)備缺少?lài)?yán)格的檢測(cè)措施，只是簡(jiǎn)單識(shí)別設(shè)備類(lèi)型（HID設(shè)備標(biāo)識(shí)符），計(jì)算機(jī)無(wú)法區(qū)分哪些是合法用戶(hù)設(shè)備，哪些是惡意設(shè)備。通過(guò)插入帶有攻擊代碼的USB設(shè)備，隨著惡意代碼的加載執(zhí)行，便可實(shí)現(xiàn)HID攻擊。所以，通過(guò)修改設(shè)備反饋信息讓電腦將其他設(shè)備誤認(rèn)為HID設(shè)備，就可以利用計(jì)算機(jī)和用戶(hù)輸入的外圍設(shè)備之間的基本信任實(shí)現(xiàn)攻擊，從而獲取控制權(quán)限。

3 針對(duì)USB接口的安全檢測(cè)方法

結(jié)合針對(duì)USB接口的多種攻擊測(cè)試手段，相應(yīng)的安全檢測(cè)方法可以從以下幾個(gè)方面開(kāi)展。

3.1 檢測(cè)USB接口的數(shù)據(jù)傳輸過(guò)程是否加密

檢測(cè)數(shù)據(jù)傳輸過(guò)程是否加密的方法可以通過(guò)采用Bushound、Usbtrace等USB接口監(jiān)聽(tīng)軟件，或者USB協(xié)議分析儀等硬件設(shè)備捕獲USB設(shè)備與USB主機(jī)之間的交互信息。

開(kāi)展安全測(cè)試時(shí)，首先開(kāi)啟監(jiān)聽(tīng)工具，插入被測(cè)設(shè)備。待主機(jī)上的應(yīng)用程序輸入賬號(hào)密碼等敏感信息時(shí)，監(jiān)聽(tīng)工具旁路線(xiàn)路上的通信數(shù)據(jù)包，然后將數(shù)據(jù)進(jìn)行分析比對(duì)，若發(fā)現(xiàn)旁路數(shù)據(jù)與輸入數(shù)據(jù)一致，則說(shuō)明該USB設(shè)備存在明文數(shù)據(jù)傳輸?shù)碾[患。

3.2 檢測(cè)USB接口設(shè)備的數(shù)據(jù)存儲(chǔ)是否加密

檢測(cè)數(shù)據(jù)存儲(chǔ)過(guò)程是否加密的方法可以通過(guò)讀寫(xiě)USB接口設(shè)備的存儲(chǔ)空間驗(yàn)證。首先讀取USB產(chǎn)品的存儲(chǔ)空間數(shù)據(jù)，寫(xiě)入特定數(shù)據(jù)后再次讀取存儲(chǔ)空間，最后比對(duì)前后存儲(chǔ)空間數(shù)據(jù)列表，驗(yàn)證是否存在可識(shí)別的輸入指令。若發(fā)現(xiàn)一致的數(shù)據(jù)，則說(shuō)明該USB接口設(shè)備存在敏感數(shù)據(jù)明文存儲(chǔ)的隱患。

3.3 檢測(cè)USB接口設(shè)備的敏感文件保護(hù)措施

檢測(cè)敏感文件保護(hù)可以通過(guò)查看設(shè)備軟件是否采取了反逆向工程技術(shù)，防范攻擊者對(duì)設(shè)備文件的反編譯分析。測(cè)試過(guò)程中可以采用IDA等反編譯軟件對(duì)驅(qū)動(dòng)和dll等文件進(jìn)行反編譯，通過(guò)分析反編譯的文件代碼，查看是否可以獲取到如加密函數(shù)、數(shù)據(jù)存儲(chǔ)位置、參數(shù)設(shè)置等一些敏感代碼的信息。若未進(jìn)行反編譯處理，則說(shuō)明該USB接口設(shè)備存在敏感數(shù)據(jù)泄露的隱患。

3.4 檢測(cè)USB接口設(shè)備對(duì)錯(cuò)誤信息的處理

檢測(cè)USB接口設(shè)備能否正確應(yīng)對(duì)錯(cuò)誤的指令數(shù)據(jù)。開(kāi)展測(cè)試時(shí)，通過(guò)采用過(guò)濾驅(qū)動(dòng)掛載的方式篡改USB接口設(shè)備的通信數(shù)據(jù)，并觀察該設(shè)備的反應(yīng)。若篡改數(shù)據(jù)可導(dǎo)致設(shè)備產(chǎn)生不正常的響應(yīng)，則說(shuō)明該設(shè)備未對(duì)錯(cuò)誤信息進(jìn)行有效處理。

3.5 檢測(cè)USB接口產(chǎn)品對(duì)重放信息的處理

檢測(cè)USB接口設(shè)備能否正確應(yīng)對(duì)重放的指令數(shù)據(jù)。采用過(guò)濾驅(qū)動(dòng)軟件對(duì)USB接口設(shè)備的通信數(shù)據(jù)進(jìn)行捕獲和重放，并觀察該設(shè)備的反應(yīng)。若重放數(shù)據(jù)能導(dǎo)致USB接口設(shè)備再次返回相同的敏感數(shù)據(jù)，則說(shuō)明該USB設(shè)備未對(duì)重放信息進(jìn)行有效處理。

3.6 檢測(cè)USB接口設(shè)備能否識(shí)別惡意設(shè)備

檢測(cè)USB接口設(shè)備能否識(shí)別并阻止惡意設(shè)備。當(dāng)插入外部設(shè)備時(shí)，查看被測(cè)設(shè)備能否通過(guò)在系統(tǒng)的安全事件日志中收集相應(yīng)事件，并通過(guò)分析設(shè)備名稱(chēng)和ID識(shí)別惡意設(shè)備。若未對(duì)外部設(shè)備的信息進(jìn)行判斷，則說(shuō)明該USB接口設(shè)備不能識(shí)別惡意設(shè)備。

4 針對(duì)USB接口的安全防御方法

具有敏感數(shù)據(jù)傳輸需求的USB接口設(shè)備應(yīng)在傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密處理。采用認(rèn)證協(xié)議或者加密算法對(duì)需要傳輸?shù)年P(guān)鍵信息進(jìn)行處理，保證數(shù)據(jù)包即使被攻擊方捕獲也無(wú)法從中獲取敏感數(shù)據(jù)。

具有敏感數(shù)據(jù)存儲(chǔ)需求的USB接口設(shè)備應(yīng)在存儲(chǔ)過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密處理。采用加密算法對(duì)需要存儲(chǔ)的敏感信息進(jìn)行加密，使得攻擊方無(wú)法通過(guò)讀取地址空間的方式獲取敏感數(shù)據(jù)。

具有敏感信息交互功能的USB接口設(shè)備的相關(guān)代碼文件應(yīng)進(jìn)行安全加固。通過(guò)加殼、混淆等技術(shù)手段對(duì)相關(guān)文件進(jìn)行保護(hù)，使得攻擊方無(wú)法通過(guò)反編譯、脫殼的方式，利用設(shè)備文件獲取敏感代碼信息。

USB接口設(shè)備應(yīng)具備判斷并處理異常數(shù)據(jù)的能力。通過(guò)完善USB接口產(chǎn)品對(duì)異常指令的處理機(jī)制，使得攻擊方在發(fā)送異常數(shù)據(jù)時(shí)，產(chǎn)品能夠做出正確的響應(yīng)，避免進(jìn)入異常狀態(tài)。

USB接口設(shè)備應(yīng)具備判斷并處理重放數(shù)據(jù)的能力。通過(guò)采用時(shí)間戳、序列號(hào)等方式對(duì)數(shù)據(jù)包進(jìn)行保護(hù)，使得攻擊方在發(fā)送相同數(shù)據(jù)包時(shí)，USB接口產(chǎn)品能夠根據(jù)標(biāo)志屏蔽惡意數(shù)據(jù)包。

5 結(jié) 語(yǔ)

隨著USB接口的廣泛應(yīng)用，相關(guān)設(shè)備面臨的安全形勢(shì)越來(lái)越嚴(yán)峻。本文分析了針對(duì)USB接口的多種攻擊方法及原理，并提出了相應(yīng)的安全測(cè)試手段和防御途徑，可為后續(xù)USB接口安全測(cè)試工具的研究和測(cè)試工作的開(kāi)展提供指引。