段鐵興

安全研究人員曾遇到過一次攻擊，其中以買禮品卡的名義將USB加密狗像工作文件快遞一樣，郵寄給了一家公司，這個加密狗會暗中竊取各類信息。過去，安全專業(yè)人員承認，這種技術(shù)在進行物理滲透測試時很常見，但是在外很少見到這種技術(shù)，因此它的背后可能是一個復(fù)雜網(wǎng)絡(luò)犯罪集團。

Trustwave Spider Labs的安全研究人員對攻擊進行了分析和披露，他們從團隊合作伙伴那里了解了這一次攻擊。

安全研究Trustwave SpiderLabs副總裁Ziv Mador告訴首席安全官（CSO），一家美國酒店業(yè)公司于2020年2月中旬某個時候收到了USB。

包裝盒中包含一封帶有百思買徽標(biāo)和其他品牌元素的正式信件，告知接收者他們已收到50美元的普通顧客禮品卡。信中寫道：“您可以花費在USB記憶棒顯示的物品清單中的任何產(chǎn)品?！毙疫\的是，沒有人中招，USB加密狗從未插入任何計算機，并且及時被安全人員傳遞分析，因為接收它的人已經(jīng)接受過安全培訓(xùn)。

攜帶病毒的USB

研究人員說USB加密狗模型追蹤到一個中國臺灣網(wǎng)站，該網(wǎng)站以BadUSB Leonardo USB ATMEGA32U4的名稱銷售，售價相當(dāng)于7美元。

2014年，在黑帽美國安全大會上，來自柏林安全研究實驗室研究人員證明，許多USB加密狗的固件都可以重新編程，因此，當(dāng)插入計算機時，會開始發(fā)送可用于部署惡意軟件的命令。研究人員將這種攻擊稱為BadUSB，與之不同的是，它只是將惡意軟件放在USB記憶棒上，并依靠用戶來打開。

攻擊原理Leonardo USB設(shè)備內(nèi)部具有一個Arduino ATMEGA32U4微控制器，該微控制器被編程為充當(dāng)虛擬鍵盤，通過命令行執(zhí)行模糊的PowerShell腳本。

該腳本可以到達攻擊者設(shè)置的域，并下載輔助的PowerShell有效負載，然后部署通過Windows內(nèi)置腳本宿主引擎，執(zhí)行基于JavaScript的有效負載。

其JavaScript有效負載為計算機生成唯一的標(biāo)識符，并將其注冊到遠程命令和控制服務(wù)器。然后，它從其執(zhí)行的服務(wù)器接收其他混淆的JavaScript代碼。

這個有效負載的目的是收集有關(guān)系統(tǒng)的信息，例如用戶的特權(quán)、域名、時區(qū)、語言、操作系統(tǒng)和硬件信息等，正在運行的進程的列表，以及是否已安裝Microsoft Office，Adobe Acrobat等。

在暗中竊取信息后，JavaScript后門會進入一個循環(huán)，該循環(huán)會定期與服務(wù)器簽入，植入黑客的命令。Trustwave的研究人員在報告中說：“它們便宜、且易被使用的事實意味犯罪分子使用這種技術(shù)只是時間問題。”

“由于USB設(shè)備無處不在，因此有些人認為它們安全。其他人可能會對未知USB設(shè)備的內(nèi)容感到非常好奇。這個故事教給我們的是：永遠不要有過多的好奇心。”

FIN7幫派是罪魁禍?zhǔn)祝?/p>

Mador告訴CSO，他的團隊不知道攻擊者是誰，但是在看到Trustwave報告中的信息之后，卡巴斯基實驗室的安全研究人員Costin Raiu，Michael Yip猜測，該惡意軟件和基礎(chǔ)架構(gòu)與FIN7幫派使用的匹配。

FIN7，也稱為Carbanak，是一個出于財務(wù)動機的網(wǎng)絡(luò)犯罪集團，自2015年以來一直瞄準(zhǔn)零售業(yè)、飯店和酒店行業(yè)的美國公司。

該集團以使用先進的技術(shù)在網(wǎng)絡(luò)內(nèi)部和受破壞的系統(tǒng)內(nèi)橫向移動而聞名，目標(biāo)是竊取支付卡信息。Morphisec研究人員過去估計，F(xiàn)IN7成員每月從中賺取約5 000萬美元。

BadUSB攻擊的目標(biāo)是一家來自美國酒店業(yè)的公司，該公司與FIN7先前的目標(biāo)一致。FBI近期還向公司發(fā)送了私人警報，確認FIN7是這些基于USB的物理攻擊的幕后黑手。因為已收到一些軟件包的報告中包含從零售，飯店和旅館業(yè)發(fā)送給企業(yè)的惡意USB設(shè)備。

還有更多的BadUSB攻擊方式嗎？

但是，USB加密狗的攻擊尚未得到廣泛使用，因為它們的擴展性不強。

相對而言，USB Rubber Ducky是一種在滲透測試儀中很受歡迎的加密狗。它是由一家名為Hak5的公司生產(chǎn)的，售價50美元，對于專業(yè)人士而言，這筆錢可不多，但如果是攻擊者想要感染許多受害者，則費用會迅速增加，尤其是其成功率高達100 %。

但是，諸如BadUSB Leonardo設(shè)備之類的惡意軟件加密狗每只售價7美元（如果大量購買，價格可能會更低），使真實的BadUSB攻擊更加可行。攻擊者甚至無需花費很多精力，例如創(chuàng)建自定義固件，他們只需要將其自定義負載到現(xiàn)成的設(shè)備中并通過郵件發(fā)送給更多的受害者即可。

由于COVID-19大流行，許多關(guān)鍵員工在家工作，風(fēng)險甚至更高。Mador說，在工作中，管理人員可能會收到此類信件，如果他們經(jīng)過安全培訓(xùn)，會將加密狗帶給IT或安全團隊，因此，可能有人會在使用該設(shè)備之前先對其進行檢查。

但是，在家中沒有IT安全人員，即使預(yù)定的接收者在工作中接受過安全意識培訓(xùn)，該設(shè)備也可能被其和家人誤用。如果黑客入侵受害者家庭網(wǎng)絡(luò)中的設(shè)備，他們最終也將成功入侵他們的工作計算機，這很可能使他們能夠通過VPN連接訪問公司的網(wǎng)絡(luò)或系統(tǒng)。這就是為什么安全人員擔(dān)心當(dāng)前在家線上辦公的原因。