说起黑客攻击,我们就不得不提一提“社会工程学”。无论是钓鱼短信也好,还是钓鱼电子邮件也好,攻击者都旨在诱骗你打开其中包含的恶意链接或附件,进而让你的设备感染病毒。
但我们今天要说的是另一种黑客攻击方法,业内人士称它为“USB Rubber Ducky”(USB橡皮鸭),即将预装了恶意软件的U盘(或其他移动存储设备)丢弃在停车场、候车室等公共场所,或者通过快递邮寄来让受害者乖乖中招。
不得不说,这种攻击方法非常有效,毕竟很少有人能够战胜自己的好奇心。
攻击分析
就像你所看到的,下面这封信声称来自全球最大的家用电器和电子产品零售集团百思买(Best Buy)。除了一张据称价值50美元的礼品卡,信件中还附带了一个U盘,说是包含了礼品卡适用的商品清单。
图1.附件恶意U盘的百思买礼品卡
通过搜索U盘上印刷的型号“HW-374”,我们可以看到这的确是网上有售的“正经”U盘。(U盘是正经U盘,内容正不正经,就不知道了!)
图2.网上在售的HW-374 U盘
分析表明,这种U盘使用的是Arduino微控制器ATMEGA32U4,并且已编程为模拟USB键盘。由于PC默认情况下会信任键盘USB设备,因此一旦插入,键盘模拟器就可以自动注入恶意命令。
Powershell有效载荷
图3.经混淆处理的PowerShell脚本
经混淆处理的字符串显示了一个命令——从“hxxps://milkmovemoney[.]com/st/mi.ini”下载第二阶段PowerShell代码。
图4.去混淆后的PowerShell命令
图5.下载的第二阶段Powershell代码
分析表明,第二阶段PowerShell代码将执行如下操作:
- 将wscript.exe复制到“%AppData%\\Microsoft\\Windows\\wipre.exe”;
- 解码JScript命令并将其另存为“prada.txt”;
- 使用命令“cmd.exe /c wipre.exe /e:jscript prada.txt”执行prada.txt;
- 显示虚假警告消息框。
图6.虚假警告消息框
JavaScript有效载荷
保存到prada.txt的Jscript代码既是第三阶段有效载荷,使用Windows内置脚本宿主引擎wscript.exe执行。
图7.去混淆后的Jscript代码
如果C&C服务器处于开启状态,那么它将以编码数据进行响应,其中包含了将在受感染计算机上执行其他Jscript代码。
图8.C&C服务器使用编码数据进行响应
值得一提的是,这些JScript代码可以是任何东西。比如,从受感染计算机中收集系统信息的小程序。
图9.C&C服务器发送的JScript代码(部分)
具体收集的信息如下,然后会以编码的形式发送回C&C服务器:
- 用户名
- 主机名
- 用户的系统权限
- 域名
- 电脑型号
- 操作系统信息(名称、版本、内存、安装日期、语言代码、上次启动时间、时区等)
- 是否安装了Office和Adobe acrobat
- 正在运行的进程列表(包括PID)
- 受感染计算机是否正在虚拟环境中运行
图10.完整的攻击链
结语
总而言之,一旦这些U盘被插上了电脑,那么攻击者就可以通过各种恶意软件对没有一点点防备的你发起各种攻击。
所以说,为了你的安全,请摁住你的好奇心!谨防好奇害死猫!
閱讀更多 黑客視界 的文章
