针对APT攻击中恶意USB存储设备的防护方案研究

doi:10.3969/j.issn.1671-1122.2016.02.002

信息网络安全 ›› 2016, Vol. 16 ›› Issue (2): 7-8.doi: 10.3969/j.issn.1671-1122.2016.02.002

针对APT攻击中恶意USB存储设备的防护方案研究

谈诚¹, 邓入弋¹, 王丽娜¹(), 马婧²

1.武汉大学计算机学院,湖北武汉 430072
2.信息保障技术重点实验室,北京 100072

收稿日期:2015-09-07 出版日期:2016-02-10 发布日期:2020-05-13
作者简介:
作者简介：谈诚（1989—）,男,湖北,博士研究生,主要研究方向为网络安全;邓入弋（1991—）,男,重庆,硕士,主要研究方向为主机安全;王丽娜（1964—）,女,辽宁,教授,博士,主要研究方向为可信计算、数据容灾备份、网络可生存性、信息隐藏;马婧（1985—）,女,北京,工程师,本科,主要研究方向为密码学理论及应用、网络安全。
基金资助:
国家高技术研究发展计划（国家863计划）[2015AA016004];国家自然科学基金[61303213,61373169];信息保障技术重点实验室开放基金[KJ-14-110,KJ-14-101]

Research on Protection Scheme for Malicious USB Storage Devices in APT

Cheng TAN¹, Ruyi DENG¹, Lina WANG¹(), Jing MA²

1. School of Computer, Wuhan University, Wuhan Hubei 430072, China
2. Key Laboratory of Information Security Technology, Beijing 100072, China

Received:2015-09-07 Online:2016-02-10 Published:2020-05-13

摘要/Abstract

摘要：

文章针对APT攻击中的恶意USB存储设备设计了一套安全防护方案。该方案构造USB存储设备的白名单,只允许白名单中的USB存储设备与计算机系统进行交互,从而防止APT攻击中定制的恶意USB存储设备对主机的非授权访问;将USB存储设备与单位各级员工绑定,在特定主机对特定的USB存储设备写保护,有效阻止了APT攻击者利用社会工程学的方法诱导内部人员对系统中数据进行越权访问;通过监控向USB存储设备复制数据的进程行为,防止隐藏的恶意程序暗中窃取系统中的数据。文章方案可以很好地防止系统中的数据遭到窃取和泄露,具有良好的实用性。文章方案进行了相关的功能测试,测试结果表明该方案可行。

关键词: APT攻击, USB存储设备, 白名单, Windows过滤驱动, 数据防泄露

Abstract:

This paper designs a protection scheme for malicious USB storage devices in APT. The protection scheme constructs a white list of USB storage devices, and only allows the USB storage devices in white list to interact with the computer system, in order to prevent customized malicious USB storage devices in APT to get unauthorized access to the host. The scheme makes USB storage devices bind with staff at all levels and write-protects the specific USB storage device on the specific host so as to effectively prevent APT attackers utilizing social engineering to induce insiders’ exceeding accesses to system data, and prevents hidden malware stealing data from the system through monitoring the process behavior that writes data to USB storage devices. As a result, the protection scheme can guard against data theft and leakage and has good practicality. This paper describes some functional tests about the protection scheme. The test results show that the scheme is feasible.

Key words: advanced persistent threat, USB storage device, white list, Windows filter driver, data leakage prevention

中图分类号:

TP309

谈诚, 邓入弋, 王丽娜, 马婧. 针对APT攻击中恶意USB存储设备的防护方案研究[J]. 信息网络安全, 2016, 16(2): 7-8.

Cheng TAN, Ruyi DENG, Lina WANG, Jing MA. Research on Protection Scheme for Malicious USB Storage Devices in APT[J]. Netinfo Security, 2016, 16(2): 7-8.

图/表 12

图1

图2

图3

图4

图5

表1

表2

图6

图7

图8

图9

图10

参考文献 18

[1]	CHEN Ping, LIEVEN D, CHRISTOPHE H.A Study on Advance Persistent Threats[C]//IFIP. Communications and Multimedia Security, September 25-26, 2014.Aveiro, Portugal. Berlin Heidelberg: Springer , 2014: 63-72.
[2]	李凤海,李爽,张佰龙,等. 高等级安全网络抗APT攻击方案研究[J]. 信息网络安全,2014(9):109-114.
[3]	LANGNER R.Stuxnet: Dissecting a Cyberwarfare Weapon[C]// IEEE Computer Society. Security & Privacy, IEEE, May 23-24, 2011.Claremont Resort in Oakland, California. New York: IEEE, 2011, 9(3): 49-51.
[4]	王在富. 浅析APT 攻击检测与防护策略[J]. 无线互联科技,2014(3): 120-121.
[5]	NSFOCUS Information Technology Co Ltd. 2014 ICS Security Report[EB/OL]. , 2014-3-11.
[6]	李永强, 谭立清, 马同茂,等. USB移动存储设备密级保护系统的设计与实现[J]. 计算机光盘软件与应用, 2014, 17(13): 89-91.
[7]	陈晨,王奕钧,胡光俊,等. 针对手机的APT攻击方式的研究[J]. 信息网络安全,2015(3):33-37.
[8]	NIST. Managing Information Security Risk: Organization, Mission, and Information System View[EB/OL]. , 2011-3-1.
[9]	FireEye Labs. Fireeye Advanced Threat Report[EB/OL].,2014-2-15.
[10]	DIWAN S A, PERUMAL S, FATAH A J.Complete Security Package for USB Thumb Drive[J].Computer Engineering and Intelligent Systems, 2014, 5(8):30-37.
[11]	樊少.新的U盘自动运行—BadUSB原理与实现[EB/OL].,2014-12-9.
[12]	杨思燕. USB可移动存储设备监控软件研究与实现[J]. 计算机技术与发展, 2013, 23(12): 151-154.
[13]	LI Shaobo, JIA Xiaohui, LV Shulin, et al.Research and Application of USB Filter Driver Based on Windows Kernel[C]//IEEE Computer Society. Third International Symposium on Intelligent Information Technology and Security Informatics, April 2-4 2010. Jinggangshan, China. New York: IEEE, 2010: 438-441
[14]	ALZAROUNI M.The Reality of Risks from Consented Use of USB Devices[C]//Edith Cowan University. Proceedings of 4th Australian Information Security Management Conference, December 5, 2006. Edith Cowan University, Perth, Western Australia. Perth: School of Computer and Information Science, Edith Cowan University, 2006: 312-317.
[15]	卢志刚,刘建华,刘宝旭,等.基于HID 的 USB 监控技术的设计与实现[J]. 计算机工程, 2010,36(4): 1-3.
[16]	李锦山,舒辉,萱卫宇,等. 基于驱动层的USB存储设备安全监控技术[J]. 计算机工程,2008,34(8):255-257.
[17]	NOHL K, KRIBLER S, LEHL J. BadUSB-on Accessories That Turn Evil[EB/OL].https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf (2014), 2014-8-6.
[18]	孙玉伟,童新海,张林惠,等. 云桌面中USB设备重定向技术研究[J]. 信息网络安全,2015(4):78-85.

针对APT攻击中恶意USB存储设备的防护方案研究

Research on Protection Scheme for Malicious USB Storage Devices in APT

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 12

参考文献 18

相关文章 12

编辑推荐

Metrics

本文评价

[1]	田峥, 李树, 孙毅臻, 黎曦. 一种面向S7协议的工控系统入侵检测模型[J]. 信息网络安全, 2019, 19(11): 8-13.
[2]	李涛, 时俊贤, 胡爱群. 基于签名查验的移动终端应用软件合法性判别技术[J]. 信息网络安全, 2019, 19(11): 56-62.
[3]	张家伟, 张冬梅, 黄偲琪. 一种抗APT攻击的可信软件基设计与实现[J]. 信息网络安全, 2017, 17(6): 49-55.
[4]	程三军, 王宇. APT攻击原理及防护技术分析[J]. 信息网络安全, 2016, 16(9): 118-123.
[5]	刘健, 赵刚, 郑运鹏. 恶意URL多层过滤检测模型的设计与实现[J]. 信息网络安全, 2016, 16(1): 75-80.
[6]	李凤海，李爽，张佰龙，宋衍. 高等级安全网络抗APT攻击方案研究[J]. 信息网络安全, 2014, 14(9): 109-114.
[7]	翟立东;李跃;贾召鹏;郭莉. 融合网络空间的APT威胁检测与防护[J]. , 2013, 13(3): 0-0.
[8]	章翔凌;王欢. 基于白名单技术构建主动防御体系[J]. , 2013, 13(10): 0-0.
[9]	吴剑华;莫兰芳;李湘. Android用户隐私保护系统[J]. , 2012, 12(9): 0-0.
[10]	郑焕鑫;叶小平. 基于API拦截的主动防御系统[J]. , 2012, 12(7): 0-0.
[11]	王继刚;张光;张建辉. 浏览器软件的异型安全漏洞挖掘技术研究[J]. , 2012, 12(12): 0-0.
[12]	章建国;陈欢. DDoS硬件防火墙技术研究[J]. , 2010, (12): 0-0.