說起黑客攻擊,我們就不得不提一提“社會工程學”。無論是釣魚短信也好,還是釣魚電子郵件也好,攻擊者都旨在誘騙你打開其中包含的惡意鏈接或附件,進而讓你的設備感染病毒。
但我們今天要說的是另一種黑客攻擊方法,業內人士稱它為“USB Rubber Ducky”(USB橡皮鴨),即將預裝了惡意軟件的U盤(或其他移動存儲設備)丟棄在停車場、候車室等公共場所,或者通過快遞郵寄來讓受害者乖乖中招。
不得不說,這種攻擊方法非常有效,畢竟很少有人能夠戰勝自己的好奇心。
攻擊分析
就像你所看到的,下面這封信聲稱來自全球最大的家用電器和電子產品零售集團百思買(Best Buy)。除了一張據稱價值50美元的禮品卡,信件中還附帶了一個U盤,說是包含了禮品卡適用的商品清單。
圖1.附件惡意U盤的百思買禮品卡
通過搜索U盤上印刷的型號“HW-374”,我們可以看到這的確是網上有售的“正經”U盤。(U盤是正經U盤,內容正不正經,就不知道了!)
圖2.網上在售的HW-374 U盤
分析表明,這種U盤使用的是Arduino微控制器ATMEGA32U4,並且已編程為模擬USB鍵盤。由於PC默認情況下會信任鍵盤USB設備,因此一旦插入,鍵盤模擬器就可以自動注入惡意命令。
Powershell有效載荷
圖3.經混淆處理的PowerShell腳本
經混淆處理的字符串顯示了一個命令——從“hxxps://milkmovemoney[.]com/st/mi.ini”下載第二階段PowerShell代碼。
圖4.去混淆後的PowerShell命令
圖5.下載的第二階段Powershell代碼
分析表明,第二階段PowerShell代碼將執行如下操作:
- 將wscript.exe複製到“%AppData%\\Microsoft\\Windows\\wipre.exe”;
- 解碼JScript命令並將其另存為“prada.txt”;
- 使用命令“cmd.exe /c wipre.exe /e:jscript prada.txt”執行prada.txt;
- 顯示虛假警告消息框。
圖6.虛假警告消息框
JavaScript有效載荷
保存到prada.txt的Jscript代碼既是第三階段有效載荷,使用Windows內置腳本宿主引擎wscript.exe執行。
圖7.去混淆後的Jscript代碼
如果C&C服務器處於開啟狀態,那麼它將以編碼數據進行響應,其中包含了將在受感染計算機上執行其他Jscript代碼。
圖8.C&C服務器使用編碼數據進行響應
值得一提的是,這些JScript代碼可以是任何東西。比如,從受感染計算機中收集系統信息的小程序。
圖9.C&C服務器發送的JScript代碼(部分)
具體收集的信息如下,然後會以編碼的形式發送回C&C服務器:
- 用戶名
- 主機名
- 用戶的系統權限
- 域名
- 電腦型號
- 操作系統信息(名稱、版本、內存、安裝日期、語言代碼、上次啟動時間、時區等)
- 是否安裝了Office和Adobe acrobat
- 正在運行的進程列表(包括PID)
- 受感染計算機是否正在虛擬環境中運行
圖10.完整的攻擊鏈
結語
總而言之,一旦這些U盤被插上了電腦,那麼攻擊者就可以通過各種惡意軟件對沒有一點點防備的你發起各種攻擊。
所以說,為了你的安全,請摁住你的好奇心!謹防好奇害死貓!
閱讀更多 黑客視界 的文章
