以網絡釣魚郵件攻擊企業聞名的FIN7 APT組織,正在針對企業網絡發動新一輪的攻擊。該組織部署了新的戰術,通過美國郵政服務(USPS)給目標企業的人力資源(HR),信息技術(IT)或執行管理(EM)等部門的員工郵寄包裹,包裹中一般包含USB設備、禮品卡等。當員工將USB設備插入計算機時,會注入命令以下載並執行以GRIFFON跟蹤的JavaScript後門。
攻擊案例
Trustwave的專家分析了其中一次攻擊。該網絡安全公司的一位客戶收到了一個郵件,這封信僞裝成Best Buy向其忠實顧客贈送的一張50美元的禮品卡。信中包含一個U盤,信上聲稱U盤包含禮品卡可以使用的物品清單。
如果沒有安全意識,直接插入電腦,就會自動下載病毒!
所以,如果收到不明來源的U盤,不要亂插入電腦,很有可能是有惡意程序的。但用usbbad來攻擊的,不太多。因爲太容易發現了。
USDBAD是什麼呢?解釋一下,它是USB控制器芯片被重新編程用於其他用途(如模擬USB鍵盤)。爲什麼說他容易發現呢,插入之後,相當於鍵盤輸入,如果調用PowerShell,會彈出窗口,
就像有人在你電腦上接一個鍵盤,他可以輸入任意東西,但受害者可以看到。如果你鎖屏插入badusb可能還不起作用。就是因爲太明顯,2017年華盟君就買了很多,做着玩,但沒有用於實際攻擊。
大概樣子就像下面這張圖,可以做個包裝。
實際的usb攻擊有很多分類很多種,可編程的usb設備只是其中一種,
比如:
可重編程的微控制器USB攻擊
Rubber Ducky - - 2010年發佈的商業按鍵注入攻擊平臺。一旦連接到主機,Rubber Ducky 就像一個鍵盤,並注入預先加載的按鍵序列。
惡意重新編程的USB外圍固件攻擊
DNS Override by Modified USB Firmware - 研究人員修改了USB閃存驅動器的固件,並用它來模擬USB以太網適配器,然後允許它們劫持本地流量。
基於未編程USB設備的攻擊
CVE- 2010-2568。Stuxnet和Fanny惡意軟件使用的.LNK漏洞
AutoRun Exploits - 根據主機配置的方式,一些PC會自動執行位於USB設備存儲器上的預定文件。有一個專門稱爲autorun惡意軟件的整個惡意軟件類別。
電擊
USB Killer - 通過插入觸發電器附加費的USB設備來永久銷燬設備。
這種電擊設備,接上usb設備直接電腦銷燬設備,我見有賣的,但是我沒敢親測。
華盟君最後提示:如果接收到U盤,千萬要注意!
參考鏈接:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/
推薦文章++++
*原創視頻教程:使用Teensy板製作BadUSB(非常簡單)
*http://bbs.77169.com/forum.php?mod=viewthread&tid=354684