如何使用WHID为隔离主机建立隐秘通道

　　从2014年BADUSB出现以后，USB-HID攻击就这一直被关注，且具争议。争议的焦点是USB-HID的实战效果过于“鸡肋”，无论从早期的 BADUSB，还是到后来的各种USB-HID设备，对于目标机来说，都要通过弹出“运行框”来实现payload的植入，由于弹框过于明显，所以实战中效果就大打折扣。于是，围绕着如何提升实战效果，很多人提出了不同的想法，我也做过多次尝试，比如通过改善payload的存储位置，通过加入BLE模块等方法，目的只有两个，一是尽可能减少payload植入过程中的code字符数，二是控制payload的植入时间。再到后来，我也开始尝试引入wifi模块，通过wifi进行控制，如2017年5月，我在freebuf上发表了《利用micropython快速实现Badusb及手机摇控扩展》，当时第一次通过 wifi来控制usb-hid，实现与演示了远程关机的操作

　　WIFI与HID相结合国外有个更专业的名字就是WHID。WHID在当前的众多文章和应用中，多是把它作为一个控制模块，通过伪装，控制HID攻击的效果，更多呈现的是手机或者其它wifi下设备如何利用WHID对目标机进行攻击控制。但实际上，WHID完全可以在目标机上形成一个自定义的通道实现目标机与手机或者wifi下其它攻击设备的通讯，相当于给目标机安装了一个自定义网卡。这一方法，对于隔离主机的信息获取具有一定的应用效果。

　　一个传统的USB-HID设备，常常是用来虚拟或者仿真键盘、鼠标等usb外设来完成恶意代码的植入。最常见的就是通过仿真键盘来完成，主要流程是当 USB-HID设备插入PC后，会仿真出一个虚拟键盘，然后通过输入win+R，调出系统的运行框，在运行框内输入code。这里常用的方法是，输入cmd等命令，调出最小布局的cmd（也可以改变颜色，目的就是让这个cmd不易察觉），再通过上下键把cmd拖出窗外，让被攻击者无法看到。这时，开始在cmd 里输入code。如遍历磁盘，找到payload的存储位置，植入payload。

　　在植入的这个过程中，又会面临权限、免杀、过UAC等工作，如果你有足够的时间，都可以通过这个仿真键盘事前写好代码或者批处理命令，逐个解决。从这一点看，USB-HID还是很实用的，但是实际上，在插入后需要输入的code量过大，这期间如果被攻击机器的键盘操作过，或者鼠标动过，就会影响到仿真键盘的工作，从而使实现效果不尽人意。于是，有人通过在目标机器上启动Empire或Meterpreter会话，将输入的2670个字符压缩到116个字符，输入时间从38秒压缩到3秒。还有人通过修改padload存储位置，如存储在A盘，可以将输入的字符压缩到8个（如a：\m.exe），输入时间压缩到不足1秒，但这些方法都无法控制弹出运行框的时间，WHID可以说是解决了这个问题。 WHID就是在USB-HID上加入了wifi模块。你可以把wifi配置成AP，也可以配置成STA，然后利用你的PC或者手机来控制USB-HID的动作及动作时间。例如，我在《利用micropython快速实现Badusb及手机摇控扩展》一文中写到的，通过手机遥控关机。