在家辦公小心新套路

段鐵興

安全研究人員曾遇到過一次攻擊，其中以買禮品卡的名義將USB加密狗像工作文件快遞一樣，郵寄給了一家公司，這個加密狗會暗中竊取各類信息。過去，安全專業人員承認，這種技術在進行物理滲透測試時很常見，但是在外很少見到這種技術，因此它的背后可能是一個復雜網絡犯罪集團。

Trustwave Spider Labs的安全研究人員對攻擊進行了分析和披露，他們從團隊合作伙伴那里了解了這一次攻擊。

安全研究Trustwave SpiderLabs副總裁Ziv Mador告訴首席安全官（CSO），一家美國酒店業公司于2020年2月中旬某個時候收到了USB。

包裝盒中包含一封帶有百思買徽標和其他品牌元素的正式信件，告知接收者他們已收到50美元的普通顧客禮品卡。信中寫道：“您可以花費在USB記憶棒顯示的物品清單中的任何產品。”幸運的是，沒有人中招，USB加密狗從未插入任何計算機，并且及時被安全人員傳遞分析，因為接收它的人已經接受過安全培訓。

攜帶病毒的USB

研究人員說USB加密狗模型追蹤到一個中國臺灣網站，該網站以BadUSB Leonardo USB ATMEGA32U4的名稱銷售，售價相當于7美元。

2014年，在黑帽美國安全大會上，來自柏林安全研究實驗室研究人員證明，許多USB加密狗的固件都可以重新編程，因此，當插入計算機時，會開始發送可用于部署惡意軟件的命令。研究人員將這種攻擊稱為BadUSB，與之不同的是，它只是將惡意軟件放在USB記憶棒上，并依靠用戶來打開。

攻擊原理Leonardo USB設備內部具有一個Arduino ATMEGA32U4微控制器，該微控制器被編程為充當虛擬鍵盤，通過命令行執行模糊的PowerShell腳本。

該腳本可以到達攻擊者設置的域，并下載輔助的PowerShell有效負載，然后部署通過Windows內置腳本宿主引擎，執行基于JavaScript的有效負載。

其JavaScript有效負載為計算機生成唯一的標識符，并將其注冊到遠程命令和控制服務器。然后，它從其執行的服務器接收其他混淆的JavaScript代碼。

這個有效負載的目的是收集有關系統的信息，例如用戶的特權、域名、時區、語言、操作系統和硬件信息等，正在運行的進程的列表，以及是否已安裝Microsoft Office，Adobe Acrobat等。

在暗中竊取信息后，JavaScript后門會進入一個循環，該循環會定期與服務器簽入，植入黑客的命令。Trustwave的研究人員在報告中說：“它們便宜、且易被使用的事實意味犯罪分子使用這種技術只是時間問題。”

“由于USB設備無處不在，因此有些人認為它們安全。其他人可能會對未知USB設備的內容感到非常好奇。這個故事教給我們的是：永遠不要有過多的好奇心。”

FIN7幫派是罪魁禍首？

Mador告訴CSO，他的團隊不知道攻擊者是誰，但是在看到Trustwave報告中的信息之后，卡巴斯基實驗室的安全研究人員Costin Raiu，Michael Yip猜測，該惡意軟件和基礎架構與FIN7幫派使用的匹配。

FIN7，也稱為Carbanak，是一個出于財務動機的網絡犯罪集團，自2015年以來一直瞄準零售業、飯店和酒店行業的美國公司。

該集團以使用先進的技術在網絡內部和受破壞的系統內橫向移動而聞名，目標是竊取支付卡信息。Morphisec研究人員過去估計，FIN7成員每月從中賺取約5 000萬美元。

BadUSB攻擊的目標是一家來自美國酒店業的公司，該公司與FIN7先前的目標一致。FBI近期還向公司發送了私人警報，確認FIN7是這些基于USB的物理攻擊的幕后黑手。因為已收到一些軟件包的報告中包含從零售，飯店和旅館業發送給企業的惡意USB設備。

還有更多的BadUSB攻擊方式嗎？

但是，USB加密狗的攻擊尚未得到廣泛使用，因為它們的擴展性不強。

相對而言，USB Rubber Ducky是一種在滲透測試儀中很受歡迎的加密狗。它是由一家名為Hak5的公司生產的，售價50美元，對于專業人士而言，這筆錢可不多，但如果是攻擊者想要感染許多受害者，則費用會迅速增加，尤其是其成功率高達100 %。

但是，諸如BadUSB Leonardo設備之類的惡意軟件加密狗每只售價7美元（如果大量購買，價格可能會更低），使真實的BadUSB攻擊更加可行。攻擊者甚至無需花費很多精力，例如創建自定義固件，他們只需要將其自定義負載到現成的設備中并通過郵件發送給更多的受害者即可。

由于COVID-19大流行，許多關鍵員工在家工作，風險甚至更高。Mador說，在工作中，管理人員可能會收到此類信件，如果他們經過安全培訓，會將加密狗帶給IT或安全團隊，因此，可能有人會在使用該設備之前先對其進行檢查。

但是，在家中沒有IT安全人員，即使預定的接收者在工作中接受過安全意識培訓，該設備也可能被其和家人誤用。如果黑客入侵受害者家庭網絡中的設備，他們最終也將成功入侵他們的工作計算機，這很可能使他們能夠通過VPN連接訪問公司的網絡或系統。這就是為什么安全人員擔心當前在家線上辦公的原因。