近些年来,我们经常会听到一些关于U盘攻击,比如去别人公司面试,往别人工位扔U盘类的社会工程类攻击,也有翻墙爬窗,跑到别人公司机房插U盘。
最厉害的一个案例,当年感染美国五角大楼的agent.btz恶意软件,近年曾被爆出是俄罗斯特工在中东美国基地附近扔的U盘,从而导致恶意软件慢慢传回了五角大楼总部。
那么,诸君,如果不是捡U盘,而是有一天收到礼品卡外加一个U盘,你会马上插电脑试试么?
近日,一家美国酒店供货商成为BadUSB攻击的目标,攻击手法为真实邮件攻击——一封通过邮政系统寄过去的信件。
BadUSB简单来说,就是把一个特殊构造后的U盘插入你电脑,然后你的电脑就神不知鬼不觉的被植入了恶意软件等操作,此前的伪造的▲苹果充电线就是类似的原理。
这封信伪装成Best Buy向其忠实顾客赠送的一张50美元的礼品卡。信中包含一个U盘,信上声称U盘包含礼品卡可以使用的物品清单。
如果没有良好的安全意识,这时候你就很可能直接把U盘插电脑了,毕竟还是想知道我能把这3百多块钱花在什么地方。
下面可以进行简单的判定是否为改装后的U盘操作。
检查U盘上的铭文,例如序列号。一般在U盘顶部的印刷电路板上,这个案例中标识为“ HW-374”。
在对该字符串进行了谷歌快速搜索,可以发现在shopee.tw上有
“ BadUSB Leonardo USB ATMEGA32U4”待售。
基于此,可以大概判定这是一起恶意攻击。
如果简单判断不出来的朋友,可以直接把U盘砸了,看看里面有没有存储卡,还有一些网卡模块。
下面是大黄鸭BadUSB
下面是正常的U盘内部。
当然不是真砸,用镊子拉开,然后用针顶出来,下面是通用方法,具体U盘款式具体分析。
回到上面那起BadUSB攻击,该USB设备使用
Arduino微控制器ATMEGA32U4,并已编程为USB模拟键盘。
由于PC默认情况下会信任键盘USB设备,因此一旦插入,键盘模拟器就可以自动注入恶意命令。
为了快速从该U盘中取出攻击载荷,通过将其插入linux笔记本电脑后;
使用Wireshark捕获到USB第三条总线上的数据流,再将活动窗口设置为Vim,这样就可以把相关流量重定向输入到Vim窗口,当然,还要把目标设置成是Windows系统,一般BadUSB针对Windows系统的攻击比较多。
有兴趣想知道怎么用Wireshark捕获USB数据的可以看这篇文章
https://www.freebuf.com/articles/system/96216.html
果然,安全分析员收到了powershell载荷。
解混淆后,命令从milkmovemoney.com/st/mi.ini
下载第二阶段PowerShell代码,其会进行驻留操作,启动Jscript代码,收集受害者信息回传C2,并无限休眠循环接受远控命令。
为了保持真实性,在下载完第二段PS脚本后,该脚本会启动一个窗口显示,你的USB设备不识别,当然这是为了忽悠用户,然而这时候即使把U盘拔了,恶意软件也已经执行起来了。
除了上述手法,BadUSB攻击比较新一点的手段可以看下面的知乎回答。
参考链接:
详细分析可见:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/
大黄鸭:
https://github.com/hak5darren/USB-Rubber-Ducky/wiki