但我们本日要说的是另一种黑客攻击方法,业内人士称它为“USB Rubber Ducky”(USB橡皮鸭),即将预装了恶意软件的U盘(或其他移动存储设备)丢弃在停车场、候车室等公共场所,或者通过快递邮寄来让受害者乖乖中招。
不得不说,这种攻击方法非常有效,毕竟很少有人能够降服自己的好奇心。
就像你所看到的,下面这封信声称来自环球最大的家用电器和电子产品零售集团百思买(Best Buy)。除了一张据称代价50美元的礼品卡,信件中还附带了一个U盘,说是包含了礼品卡适用的商品清单。
图1.附件恶意U盘的百思买礼品卡
通过搜索U盘上印刷的型号“HW-374”,我们可以看到这的确是网上有售的“正经”U盘。(U盘是正经U盘,内容正不正经,就不知道了!
)
图2.网上在售的HW-374 U盘
剖析表明,这种U盘利用的是Arduino微掌握器ATMEGA32U4,并且已编程为仿照USB键盘。由于PC默认情形下会信赖键盘USB设备,因此一旦插入,键盘仿照器就可以自动注入恶意命令。
Powershell有效载荷图3.经稠浊处理的PowerShell脚本
经稠浊处理的字符串显示了一个命令——从“hxxps://milkmovemoney[.]com/st/mi.ini”下载第二阶段PowerShell代码。
图4.去稠浊后的PowerShell命令
图5.下载的第二阶段Powershell代码
剖析表明,第二阶段PowerShell代码将实行如下操作:
将wscript.exe复制到“%AppData%\Microsoft\Windows\wipre.exe”;解码JScript命令并将其另存为“prada.txt”;利用命令“cmd.exe /c wipre.exe /e:jscript prada.txt”实行prada.txt;显示虚假警告框。图6.虚假警告框
JavaScript有效载荷保存到prada.txt的Jscript代码既是第三阶段有效载荷,利用Windows内置脚本宿主引擎wscript.exe实行。
图7.去稠浊后的Jscript代码
如果C&C做事器处于开启状态,那么它将以编码数据进行相应,个中包含了将在受传染打算机上实行其他Jscript代码。
图8.C&C做事器利用编码数据进行相应
值得一提的是,这些JScript代码可以是任何东西。比如,从受传染打算机中网络系统信息的小程序。
图9.C&C做事器发送的JScript代码(部分)
详细网络的信息如下,然后会以编码的形式发送回C&C做事器:
用户名主机名用户的系统权限域名电脑型号操作系统信息(名称、版本、内存、安装日期、措辞代码、上次启动韶光、时区等)是否安装了Office和Adobe acrobat正在运行的进程列表(包括PID)受传染打算机是否正在虚拟环境中运行图10.完全的攻击链
结语总而言之,一旦这些U盘被插上了电脑,那么攻击者就可以通过各种恶意软件对没有一点点防备的你发起各种攻击。
以是说,为了你的安全,请摁住你的好奇心!
严防好奇害去世猫!
