安全研究人員曾遇到過一次攻擊，其中以百思買禮品卡的名義將USB加密狗像工作文件快遞一樣，郵寄給了一家公司這個(gè)加密狗會(huì)暗中竊取各類信息。

過去，安全專業(yè)人員承認(rèn)，這種技術(shù)在進(jìn)行物理滲透測(cè)試時(shí)很常見，但是在外很少見到這種技術(shù)。因此它的背后可能是一個(gè)復(fù)雜網(wǎng)絡(luò)犯罪集團(tuán)。

[[321257]]

Trustwave SpiderLabs的安全研究人員對(duì)攻擊進(jìn)行了分析和披露，他們從其團(tuán)隊(duì)合作伙伴那里了解了這一次攻擊。

安全研究Trustwave SpiderLabs副總裁Ziv Mador告訴CSO，一家美國(guó)酒店業(yè)公司于2月中旬某個(gè)時(shí)候收到了USB。

[[321258]]

包裝盒中包含一封帶有百思買徽標(biāo)和其他品牌元素的正式信件，告知接收者他們已收到50美元的普通顧客禮品卡。

信中寫道：“您可以花費(fèi)在USB記憶棒上顯示的物品清單中的任何產(chǎn)品。” 幸運(yùn)的是，沒有人中招!USB加密狗從未插入任何計(jì)算機(jī)，并且及時(shí)被安全人員傳遞分析，因?yàn)榻邮账娜艘呀?jīng)接受了安全培訓(xùn)。

攜帶病毒的USB

研究人員說USB加密狗模型追蹤到一個(gè)臺(tái)灣網(wǎng)站，該網(wǎng)站以BadUSB Leonardo USB ATMEGA32U4的名稱售價(jià)相當(dāng)于7美元。

2014年，在黑帽美國(guó)安全大會(huì)上，來自柏林安全研究實(shí)驗(yàn)室研究人員證明，許多USB加密狗的固件都可以重新編程，

因此，當(dāng)插入計(jì)算機(jī)時(shí)，會(huì)開始發(fā)送可用于部署惡意軟件的命令。研究人員將這種攻擊稱為BadUSB，與之不同的是，只是將惡意軟件放在USB記憶棒上，并依靠用戶來打開它。

攻擊原理

Leonardo USB設(shè)備內(nèi)部具有一個(gè)Arduino ATMEGA32U4微控制器，該微控制器被編程為充當(dāng)虛擬鍵盤，通過命令行執(zhí)行模糊的PowerShell腳本。

該腳本可以到達(dá)攻擊者設(shè)置的域，并下載輔助的PowerShell有效負(fù)載，然后部署通過Windows內(nèi)置腳本宿主引擎執(zhí)行的第三個(gè)基于JavaScript的有效負(fù)載。

個(gè)JavaScript有效負(fù)載為計(jì)算機(jī)生成唯一的標(biāo)識(shí)符，并將其注冊(cè)到遠(yuǎn)程命令和控制服務(wù)器。然后，它從其執(zhí)行的服務(wù)器接收其他混淆的JavaScript代碼。

第四個(gè)有效負(fù)載的目的是收集有關(guān)系統(tǒng)的信息，例如用戶的特權(quán)，域名，時(shí)區(qū)，語言，操作系統(tǒng)和硬件信息，正在運(yùn)行的進(jìn)程的列表，是否已安裝Microsoft Office和Adobe Acrobat等。

在暗中竊取信息后，JavaScript后門會(huì)進(jìn)入一個(gè)循環(huán)，該循環(huán)會(huì)定期與服務(wù)器簽入，植入黑客的命令。Trustwave的研究人員在報(bào)告中說：“它們便宜、且易被使用的事實(shí)意味，犯罪分子使用這種技術(shù)只是時(shí)間問題。”

“由于USB設(shè)備無處不在，因此有些人認(rèn)為它們安全。其他人可能會(huì)對(duì)未知USB設(shè)備的內(nèi)容感到非常好奇。這個(gè)故事教給我們的是：永遠(yuǎn)不要有過多的好奇心。”

FIN7幫派是罪魁禍?zhǔn)?

Mador告訴CSO，他的團(tuán)隊(duì)不知道攻擊者是誰，但是在看到Trustwave的報(bào)告中的信息之后，卡巴斯基實(shí)驗(yàn)室的安全研究人員Costin Raiu和Michael Yip 猜測(cè)，該惡意軟件和基礎(chǔ)架構(gòu)與FIN7幫派使用的匹配。

FIN7，也稱為Carbanak，是一個(gè)出于財(cái)務(wù)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪集團(tuán)，自2015年左右以來一直瞄準(zhǔn)零售，飯店和酒店業(yè)的美國(guó)公司。

該集團(tuán)以使用先進(jìn)的技術(shù)在網(wǎng)絡(luò)內(nèi)部和受破壞的系統(tǒng)內(nèi)橫向移動(dòng)而聞名，目標(biāo)是竊取支付卡信息。Morphisec研究人員過去估計(jì)，F(xiàn)IN7成員每月從中賺取約5000萬美元。

[[321259]]

BadUSB攻擊的目標(biāo)是一家來自美國(guó)酒店業(yè)的公司，該公司與FIN7先前的目標(biāo)一致。

FBI周四還向公司發(fā)送了私人警報(bào)，確認(rèn)FIN7是這些基于USB的物理攻擊的幕后黑手。

因?yàn)橐咽盏接嘘P(guān)一些軟件包的報(bào)告中包含從零售，飯店和旅館業(yè)發(fā)送給企業(yè)的惡意USB設(shè)備。

還有更多的BadUSB攻擊方式嗎?

但是說句實(shí)話，USB加密狗的攻擊尚未得到廣泛使用，因?yàn)樗鼈兊臄U(kuò)展性不強(qiáng)。

相對(duì)比而言，USB Rubber Ducky是一種在滲透測(cè)試儀中很受歡迎的加密狗。它是由一家名為Hak5的公司生產(chǎn)的，售價(jià)50美元，對(duì)于專業(yè)人士而言，這筆錢可不多，

但是如果您是攻擊者并想要感染許多受害者，則費(fèi)用會(huì)迅速增加，尤其是因?yàn)槌晒β矢哌_(dá)100%的。

但是，諸如BadUSB Leonardo設(shè)備之類的惡意軟件加密狗每只售價(jià)7美元(如果大量購買，價(jià)格可能會(huì)更低)，使真實(shí)的BadUSB攻擊更加可行。

攻擊者甚至無需花費(fèi)很多精力，例如創(chuàng)建自定義固件，他們只需要將其自定義負(fù)載到現(xiàn)成的設(shè)備中并通過郵件發(fā)送給更多的受害者即可。

流氓USB除了被發(fā)送到了公司的地址，但是現(xiàn)在由于COVID-19大流行，許多關(guān)鍵員工現(xiàn)在在家工作，風(fēng)險(xiǎn)甚至更高。

Mador說，在工作中，管理人員可能會(huì)收到此類信件，如果他們經(jīng)過安全培訓(xùn)，他們可能會(huì)將加密狗帶給IT或安全團(tuán)隊(duì)，因此，可能有人會(huì)在使用該設(shè)備之前先對(duì)其進(jìn)行檢查。

但是，在家中沒有IT安全人員，即使預(yù)定的接收者在工作中接受了安全意識(shí)培訓(xùn)，該設(shè)備也可能被其和家人誤用。

如果黑客入侵受害者家庭網(wǎng)絡(luò)中的設(shè)備，他們最終也將成功入侵他們的工作計(jì)算機(jī)，這很可能使他們能夠通過VPN連接訪問公司的網(wǎng)絡(luò)或系統(tǒng)。這就是為什么安全人員擔(dān)心當(dāng)前在家線上辦公的原因。