安全研究人员曾遇到过以百思买礼品卡名义像工作文件快递员一样将USBdongle邮寄给某公司的攻击。加密狗会偷偷窃取各种信息。过去,安全专业人士承认这种技术在进行物理渗透测试时很常见,但在外面却很少见。因此,它背后可能是一个复杂的网络犯罪集团。TrustwaveSpiderLabs的安全研究人员分析并披露了这次攻击,他们从他们的团队合作伙伴那里了解到这次攻击。安全研究TrustwaveSpiderLabs副总裁ZivMador告诉CSO,一家美国酒店公司在2月中旬的某个时候收到了USB。包装盒中包含一封带有BestBuy标志和其他品牌元素的正式信函,告知收件人他们已收到价值50美元的普通客户礼品卡。“您可以使用U盘上显示的项目列表中的任何产品,”信中写道。幸运的是,没有人被抓住!USB加密狗从未插入任何计算机,并及时通过安全人员进行分析,因为接收它的人已经接受过安全培训。携带病毒的USB研究人员表示,USB加密狗型号可追溯到一家台湾网站,该网站以BadUSBLeonardoUSBATMEGA32U4的名义出售,售价相当于7美元。2014年,在美国黑帽安全会议上,柏林安全研究实验室的研究人员证明,许多USB加密狗的固件可以重新编程,因此,当插入计算机时,它们开始发送可用于部署恶意软件的命令。这种被研究人员称为BadUSB的攻击不同于仅仅将恶意软件放在USB记忆棒上并依赖用户打开它。攻击原理LeonardoUSB设备内部有一个ArduinoATMEGA32U4微控制器,它被编程为虚拟键盘,通过命令行执行混淆的PowerShell脚本。该脚本可以到达攻击者设置的域,下载第二个PowerShell有效负载,然后部署第三个基于JavaScript的有效负载,该有效负载通过Windows的内置脚本主机引擎执行。JavaScript负载为计算机生成一个唯一标识符,并将其注册到远程命令和控制服务器。然后,它从执行它的服务器接收额外的混淆JavaScript代码。第四个payload的目的是收集系统信息,比如用户的权限、域名、时区、语言、操作系统和硬件信息、正在运行的进程列表、是否安装了MicrosoftOffice和AdobeAcrobat等。在暗中窃取信息后,JavaScript后门进入一个循环,定期检查服务器,植入黑客的命令。Trustwave研究人员在报告中说:“它们价格低廉且易于使用,这意味着犯罪分子使用这项技术只是时间问题。”“由于USB设备无处不在,有些人认为它们是安全的。其他人可能会对未知USB设备的内容非常好奇。这个故事的教训是:永远不要有太多的好奇心。”FIN7团伙是罪魁祸首吗?Mador告诉CSO,他的团队不知道攻击者是谁,但在看到Trustwave报告中的信息后,卡巴斯基实验室安全研究人员CostinRaiu和MichaelYip推测恶意软件和基础设施与FIN7团伙。FIN7,也称为Carbanak,是一个以经济为动机的网络犯罪集团,自2015年左右以来一直以零售、餐饮和酒店业的美国公司为目标。该集团以使用先进技术在网络内横向移动和妥协而闻名系统,目的是窃取支付卡信息。Morphisec研究人员过去估计FIN7成员每月从中赚取约5000万美元。BadUSB攻击针对的是一家来自美国酒店业的公司,这与FIN7之前的目标一致周四,FBI还向该公司发出了私人警报,确认FIN7是这些基于USB的物理攻击的幕后黑手。因为有报告称,一些包含恶意USB设备的软件包被发送到零售、餐饮和酒店行业的企业。是否有更多BadUSB攻击?但老实说,USB加密狗攻击尚未广泛使用,因为它们的可扩展性不强。相比之下,USBRubberDucky是渗透测试人员中流行的加密狗。它由一家名为Hak5的公司制造,售价50美元,对于专业人士来说这不是很多钱,但如果你是攻击者并且想要感染许多受害者,尤其是因为成功率高达100%。但是,像BadUSBLeonardo设备这样的恶意软件加密狗每个售价7美元(如果批量购买,价格会更低),这使得真正的BadUSB攻击更加可行。攻击者甚至不需要花费很多精力,比如创建自定义固件,他们只需要将他们的自定义加载到现成的设备中,然后邮寄给更多的受害者。恶意USB被发送到公司地址,但由于COVID-19大流行,许多关键员工都在家工作,因此风险更高。在工作中,管理人员可能会收到这样的信件,如果他们接受过安全培训,他们可能会把加密狗带到IT或安全团队,这样有人就可以在使用之前测试设备,Mador说。检查。然而,如果家里没有IT安全人员,设备可能会被目标接收者及其家人滥用,即使他们在工作中接受过安全意识培训。如果黑客破坏了受害者家庭网络上的设备,他们最终也会成功侵入他们的工作计算机,这很可能使他们能够通过VPN连接访问公司的网络或系统。这就是安全专业人员担心当前在家工作环境的原因。
