近些年来,我们经常会听到一些关于U盘攻击,比如去别人公司面试,往别人工位扔U盘类的社会工程类攻击,也有翻墙爬窗,跑到别人公司机房插U盘。

最厉害的一个案例,当年感染美国五角大楼的agent.btz恶意软件,近年曾被爆出是俄罗斯特工在中东美国基地附近扔的U盘,从而导致恶意软件慢慢传回了五角大楼总部。

那么,诸君,如果不是捡U盘,而是有一天收到礼品卡外加一个U盘,你会马上插电脑试试么?

近日,一家美国酒店供货商成为BadUSB攻击的目标,攻击手法为真实邮件攻击——一封通过邮政系统寄过去的信件。

BadUSB简单来说,就是把一个特殊构造后的U盘插入你电脑,然后你的电脑就神不知鬼不觉的被植入了恶意软件等操作,此前的伪造的 ▲苹果充电线就是类似的原理。

这封信伪装成Best Buy向其忠实顾客赠送的一张50美元的礼品卡。信中包含一个U盘,信上声称U盘包含礼品卡可以使用的物品清单。

如果没有良好的安全意识,这时候你就很可能直接把U盘插电脑了,毕竟还是想知道我能把这3百多块钱花在什么地方。

下面可以进行简单的判定是否为改装后的U盘操作。

检查U盘上的铭文,例如序列号。一般在U盘顶部的印刷电路板上,这个案例中标识为“ HW-374”。

在对该字符串进行了谷歌快速搜索,可以发现在shopee.tw上有“BadUSB Leonardo USB ATMEGA32U4”待售。

基于此,可以大概判定这是一起恶意攻击。

如果简单判断不出来的朋友,可以直接把U盘砸了,看看里面有没有存储卡,还有一些网卡模块。

下面是大黄鸭BadUSB

下面是正常的U盘内部。

当然不是真砸,用镊子拉开,然后用针顶出来,下面是通用方法,具体U盘款式具体分析。

回到上面那起BadUSB攻击,该USB设备使用Arduino微控制器ATMEGA32U4,并已编程为USB模拟键盘

由于PC默认情况下会信任键盘USB设备,因此一旦插入,键盘模拟器就可以自动注入恶意命令。

为了快速从该U盘中取出攻击载荷,通过将其插入linux笔记本电脑后;

使用Wireshark捕获到USB第三条总线上的数据流,再将活动窗口设置为Vim,这样就可以把相关流量重定向输入到Vim窗口,当然,还要把目标设置成是Windows系统,一般BadUSB针对Windows系统的攻击比较多。

有兴趣想知道怎么用Wireshark捕获USB数据的可以看这篇文章

https://www.freebuf.com/articles/system/96216.html

果然,安全分析员收到了powershell载荷。

解混淆后,命令从milkmovemoney.com/st/mi.ini下载第二阶段PowerShell代码,其会进行驻留操作,启动Jscript代码,收集受害者信息回传C2,并无限休眠循环接受远控命令。

为了保持真实性,在下载完第二段PS脚本后,该脚本会启动一个窗口显示,你的USB设备不识别,当然这是为了忽悠用户,然而这时候即使把U盘拔了,恶意软件也已经执行起来了。

除了上述手法,BadUSB攻击比较新一点的手段可以看下面的知乎回答。

参考链接

详细分析可见:

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

大黄鸭:

https://github.com/hak5darren/USB-Rubber-Ducky/wiki

声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。