以网络钓鱼邮件攻击企业闻名的FIN7 APT组织,正在针对企业网络发动新一轮的攻击。该组织部署了新的战术,通过美国邮政服务(USPS)给目标企业的人力资源(HR),信息技术(IT)或执行管理(EM)等部门的员工邮寄包裹,包裹中一般包含USB设备、礼品卡等。当员工将USB设备插入计算机时,会注入命令以下载并执行以GRIFFON跟踪的JavaScript后门。
攻击案例
Trustwave的专家分析了其中一次攻击。该网络安全公司的一位客户收到了一个邮件,这封信伪装成Best Buy向其忠实顾客赠送的一张50美元的礼品卡。信中包含一个U盘,信上声称U盘包含礼品卡可以使用的物品清单。如果没有安全意识,直接插入电脑,就会自动下载病毒!
所以,如果收到不明来源的U盘,不要乱插入电脑,很有可能是有恶意程序的。但用usbbad来攻击的,不太多。因为太容易发现了。USDBAD是什么呢?解释一下,它是USB控制器芯片被重新编程用于其他用途(如模拟USB键盘)。为什么说他容易发现呢,插入之后,相当于键盘输入,如果调用PowerShell,会弹出窗口,就像有人在你电脑上接一个键盘,他可以输入任意东西,但受害者可以看到。如果你锁屏插入badusb可能还不起作用。就是因为太明显,2017年华盟君就买了很多,做着玩,但没有用于实际攻击。实际的usb攻击有很多分类很多种,可编程的usb设备只是其中一种,Rubber Ducky - - 2010年发布的商业按键注入攻击平台。一旦连接到主机,Rubber Ducky 就像一个键盘,并注入预先加载的按键序列。恶意重新编程的USB外围固件攻击
DNS Override by Modified USB Firmware - 研究人员修改了USB闪存驱动器的固件,并用它来模拟USB以太网适配器,然后允许它们劫持本地流量。基于未编程USB设备的攻击
CVE- 2010-2568。Stuxnet和Fanny恶意软件使用的.LNK漏洞
AutoRun Exploits - 根据主机配置的方式,一些PC会自动执行位于USB设备存储器上的预定文件。有一个专门称为autorun恶意软件的整个恶意软件类别。电击
USB Killer - 通过插入触发电器附加费的USB设备来永久销毁设备。这种电击设备,接上usb设备直接电脑销毁设备,我见有卖的,但是我没敢亲测。参考链接:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/
文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650460451&idx=1&sn=1f42da4c84ec38791e3f2b4cc076dd5d&chksm=83bbb4c7b4cc3dd188ba491796e9c0d46e6f56a8e2140e6aee02a9546cc9ca2294021c796a19#rd
如有侵权请联系:admin#unsafe.sh