礼品卡配合U盘,美国一公司遭受BadUSB真实攻击
近些年来,我们经常会听到一些关于U盘攻击,比如去别人公司面试,往别人工位扔U盘类的社会工程类攻击,也有翻墙爬窗,跑到别人公司机房插U盘。
最厉害的一个案例,当年感染美国五角大楼的agent.btz恶意软件,近年曾被爆出是俄罗斯特工在中东美国基地附近扔的U盘,从而导致恶意软件慢慢传回了五角大楼总部。
那么,诸君,如果不是捡U盘,而是有一天收到礼品卡外加一个U盘,你会马上插电脑试试么?
近日,一家美国酒店供货商成为BadUSB攻击的目标,攻击手法为真实邮件攻击——一封通过邮政系统寄过去的信件。
BadUSB简单来说,就是把一个特殊构造后的U盘插入你电脑,然后你的电脑就神不知鬼不觉的被植入了恶意软件等操作,此前的伪造的 ▲苹果充电线 就是类似的原理。
这封信伪装成Best Buy向其忠实顾客赠送的一张50美元的礼品卡。信中包含一个U盘,信上声称U盘包含礼品卡可以使用的物品清单。
如果没有良好的安全意识,这时候你就很可能直接把U盘插电脑了,毕竟还是想知道我能把这3百多块钱花在什么地方。
下面可以进行简单的判定是否为改装后的U盘操作。
检查U盘上的铭文,例如序列号。一般在U盘顶部的印刷电路板上,这个案例中标识为“ HW-374”。
在对该字符串进行了谷歌快速搜索,可以发现在shopee.tw上有
“ BadUSB Leonardo USB ATMEGA32U4”待售。
基于此,可以大概判定这是一起恶意攻击。
如果简单判断不出来的朋友,可以直接把U盘砸了,看看里面有没有存储卡,还有一些网卡模块。
下面是大黄鸭BadUSB
下面是正常的U盘内部。
当然不是真砸,用镊子拉开,然后用针顶出来,下面是通用方法,具体U盘款式具体分析。
回到上面那起BadUSB攻击,该USB设备使用
Arduino微控制器ATMEGA32U4,并已编程为USB模拟键盘。
由于PC默认情况下会信任键盘USB设备,因此一旦插入,键盘模拟器就可以自动注入恶意命令。
为了快速从该U盘中取出攻击载荷,通过将其插入linux笔记本电脑后;
使用Wireshark捕获到USB第三条总线上的数据流,再将活动窗口设置为Vim,这样就可以把相关流量重定向输入到Vim窗口,当然,还要把目标设置成是Windows系统,一般BadUSB针对Windows系统的攻击比较多。
有兴趣想知道怎么用Wireshark捕获USB数据的可以看这篇文章
https://www.freebuf.com/articles/system/96216.html
果然,安全分析员收到了powershell载荷。
解混淆后,命令从milkmovemoney.com/st/mi.ini
下载第二阶段PowerShell代码,其会进行驻留操作,启动Jscript代码,收集受害者信息回传C2,并无限休眠循环接受远控命令。
为了保持真实性,在下载完第二段PS脚本后,该脚本会启动一个窗口显示,你的USB设备不识别,当然这是为了忽悠用户,然而这时候即使把U盘拔了,恶意软件也已经执行起来了。
除了上述手法,BadUSB攻击比较新一点的手段可以看下面的知乎回答。
参考链接:
详细分析可见:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/
大黄鸭:
https://github.com/hak5darren/USB-Rubber-Ducky/wiki
上期阅读
▲G20线上视频会议,各国直播间场景
因为威胁信息管理法正式实施,因此我将知识星球预览关了,有需要的赶紧扫码进入,公开与私密情报均列位其中,信息严禁传播,避免二次伤害。
点个赞,转个发,祖国建设靠大家
礼品卡配合U盘,美国一公司遭受BadUSB真实攻击相关推荐
- 直播预告 | KDD-6 ——中国科学院、北卡州立大学、美国Kitware公司
点击蓝字 关注我们 AI TIME欢迎每一位AI爱好者的加入! 11月17日 19:30~21:00 AI TIME特别邀请了中国科学院计算技术研究所.北卡州立大学的博士们以及美国Kitware公司高 ...
- cypress离线安装_【拆一个高端货】 美国NI公司 GPIB-USB转接卡 长标题
先贴一段百科的简介,让大家大致了解一下我要拆的是什么东西 GPIB(General-Purpose Interface Bus)-通用接口总线,大多数台式仪器是通过GPIB线以及GPIB接口与电脑相连 ...
- 两年盗取 1000 万美元的 Xbox 礼品卡,这个人竟然是“内鬼”!
整理 | 苏宓 出品 | CSDN(ID:CSDNnews) 当有一天公司的安全工程师成为安全的"后门"时,后果有时难以想象. Volodymyr Kvashuk 是一位从乌克兰移 ...
- 如何创建海外美区Apple ID,并使用支付宝购买Apple Store礼品卡,十分钟学会
今天成功的注册了一个国外apple ID,有点小开心,以前需要用到国外apple ID都是找别人借,总以为会有多难注册,所以自己瞎折腾注册了一个,结果才发现原来注册国外apple ID这么简单,下面就 ...
- 远控木马中的VIP:盗刷网购账户购买虚拟礼品卡
本文讲的是远控木马中的VIP:盗刷网购账户购买虚拟礼品卡,为了省钱,很多人会尝试各种各样的方法免费获取网盘和视频网站的VIP权限.正因为有这种需求,各种所谓的"网盘不限速神器"或是 ...
- android tf卡及u盘_多种TF卡 SSD U盘评测 多图(含ASSSD ATTO测试截图)
多种TF卡 SSD U盘评测 多图(含ASSSD ATTO测试截图) 匿名用户 2016-11-05 17:00:00 55点赞 289收藏 74评论 小编注:此篇文章来自即可瓜分10万金币,周边好礼 ...
- 京东怎么使用礼品卡购物
很高兴收到CSDN为我准备了一张价值300元的京东卡,只是因为我写了一篇关于BB10程序开发的博客文章.收到这个礼品卡好高兴的,对我的鼓励十分的大呀.然后我以前都没有听说过京东网,然后根据流程就在京东 ...
- steam asf挂卡_如何发送任何金额的Steam数字礼品卡
steam asf挂卡 Valve just added digital gift cards to Steam, allowing you to send money directly to a f ...
- 华胜天成1.18亿美元收购美国GD公司
"2016年软件产业实现营业收入7267亿元,收入增速约为10.3%,软件业在北京市GDP占比4.8%,超越批发零售业,在第三产业中居于第二位,仅次于金融业."近日,北京市经信委软 ...
最新文章
- 银行祖传系统重构实例:创立12年,只支持Python 2,跑着500多个应用程序
- 一个男人逐渐变心的过程。。 | 今日最佳
- 信息系统开发平台OpenExpressApp - 应用模型ApplicationModel
- (十五)nodejs循序渐进-高性能游戏服务器框架pomelo之Protobuf模块
- 特征工程 - 机器学习
- 初学Linux (Linux_note)
- AForge.NET 入门
- Java版本中最好用的网易云音乐、qq音乐api请求工具,你还在忙于如何使用java调音乐api?来看下这里的实现
- 机械制图计算机识图,机械制图基础知识
- Trace-导出已有的服务器端跟踪
- 保密计算机和移动存储介质台账,银行计算机和移动存储介质保密管理办法
- Zuul 关网配置服务限流路由访问请求过滤详解
- learning的反义词英文_英语反义词大全.
- 区块链 入门 基础知识
- 代码实现-pack_padded_sequence()与pad_packed_sequence()
- 阿里云物联网平台测试知识点梳理
- 【学生管理系统】班级管理
- 软件壳的概念和如何脱壳基础
- BELLMAN-FORD算法 求有边数限制的最短路
- 编程语言中的反射机制