轉自csoonline,作者Lucian Constantin,藍色摩卡譯,合作站點轉載請註明原文譯者和出處為超級盾!
安全研究人員曾遇到過一次攻擊,其中以百思買禮品卡的名義將USB加密狗像工作文件快遞一樣,郵寄給了一家公司這個加密狗會暗中竊取各類信息。
過去,安全專業人員承認,這種技術在進行物理滲透測試時很常見,但是在外很少見到這種技術。因此它的背後可能是一個複雜網絡犯罪集團。
Trustwave SpiderLabs的安全研究人員對攻擊進行了分析和披露,他們從其團隊合作伙伴那裡瞭解了這一次攻擊。
安全研究Trustwave SpiderLabs副總裁Ziv Mador告訴CSO,一家美國酒店業公司於2月中旬某個時候收到了USB。
包裝盒中包含一封帶有百思買徽標和其他品牌元素的正式信件,告知接收者他們已收到50美元的普通顧客禮品卡。
信中寫道:“您可以花費在USB記憶棒上顯示的物品清單中的任何產品。” 幸運的是,沒有人中招!USB加密狗從未插入任何計算機,並且及時被安全人員傳遞分析,因為接收它的人已經接受了安全培訓。
攜帶病毒的USB
研究人員說USB加密狗模型追蹤到一個臺灣網站,該網站以BadUSB Leonardo USB ATMEGA32U4的名稱售價相當於7美元。
2014年,在黑帽美國安全大會上,來自柏林安全研究實驗室研究人員證明,許多USB加密狗的固件都可以重新編程,
因此,當插入計算機時,會開始發送可用於部署惡意軟件的命令。研究人員將這種攻擊稱為BadUSB,與之不同的是,只是將惡意軟件放在USB記憶棒上,並依靠用戶來打開它。
攻擊原理
Leonardo USB設備內部具有一個Arduino ATMEGA32U4微控制器,該微控制器被編程為充當虛擬鍵盤,通過命令行執行模糊的PowerShell腳本。
該腳本可以到達攻擊者設置的域,並下載輔助的PowerShell有效負載,然後部署通過Windows內置腳本宿主引擎執行的第三個基於JavaScript的有效負載。
個JavaScript有效負載為計算機生成唯一的標識符,並將其註冊到遠程命令和控制服務器。然後,它從其執行的服務器接收其他混淆的JavaScript代碼。
第四個有效負載的目的是收集有關係統的信息,例如用戶的特權,域名,時區,語言,操作系統和硬件信息,正在運行的進程的列表,是否已安裝Microsoft Office和Adobe Acrobat等。
在暗中竊取信息後,JavaScript後門會進入一個循環,該循環會定期與服務器簽入,植入黑客的命令。Trustwave的研究人員在報告中說:“它們便宜、且易被使用的事實意味,犯罪分子使用這種技術只是時間問題。”
“由於USB設備無處不在,因此有些人認為它們安全。其他人可能會對未知USB設備的內容感到非常好奇。這個故事教給我們的是:永遠不要有過多的好奇心。”
FIN7幫派是罪魁禍首?
Mador告訴CSO,他的團隊不知道攻擊者是誰,但是在看到Trustwave的報告中的信息之後,卡巴斯基實驗室的安全研究人員Costin Raiu和Michael Yip 猜測,該惡意軟件和基礎架構與FIN7幫派使用的匹配。
FIN7,也稱為Carbanak,是一個出於財務動機的網絡犯罪集團,自2015年左右以來一直瞄準零售,飯店和酒店業的美國公司。
該集團以使用先進的技術在網絡內部和受破壞的系統內橫向移動而聞名,目標是竊取支付卡信息。Morphisec研究人員過去估計,FIN7成員每月從中賺取約5000萬美元。
BadUSB攻擊的目標是一家來自美國酒店業的公司,該公司與FIN7先前的目標一致。
FBI週四還向公司發送了私人警報,確認FIN7是這些基於USB的物理攻擊的幕後黑手。
因為已收到有關一些軟件包的報告中包含從零售,飯店和旅館業發送給企業的惡意USB設備。
還有更多的BadUSB攻擊方式嗎?
但是說句實話,USB加密狗的攻擊尚未得到廣泛使用,因為它們的擴展性不強。
相對比而言,USB Rubber Ducky是一種在滲透測試儀中很受歡迎的加密狗。它是由一家名為Hak5的公司生產的,售價50美元,對於專業人士而言,這筆錢可不多,
但是如果您是攻擊者並想要感染許多受害者,則費用會迅速增加,尤其是因為成功率高達100%的。
但是,諸如BadUSB Leonardo設備之類的惡意軟件加密狗每隻售價7美元(如果大量購買,價格可能會更低),使真實的BadUSB攻擊更加可行。
攻擊者甚至無需花費很多精力,例如創建自定義固件,他們只需要將其自定義負載到現成的設備中並通過郵件發送給更多的受害者即可。
流氓USB除了被髮送到了公司的地址,但是
現在由於COVID-19大流行,許多關鍵員工現在在家工作,風險甚至更高。Mador說,在工作中,管理人員可能會收到此類信件,如果他們經過安全培訓,他們可能會將加密狗帶給IT或安全團隊,因此,可能有人會在使用該設備之前先對其進行檢查。
但是,在家中沒有IT安全人員,即使預定的接收者在工作中接受了安全意識培訓,
該設備也可能被其和家人誤用。如果黑客入侵受害者家庭網絡中的設備,他們最終也將成功入侵他們的工作計算機,這很可能使他們能夠通過VPN連接訪問公司的網絡或系統。這就是為什麼安全人員擔心當前在家線上辦公的原因。
精彩在後面
Hi,我是超級盾
更多幹貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢
閱讀更多 超級盾 的文章
