最近收到U盘礼品，请注意！

最近收到U盘礼品，请注意！
2020-03-31 11:42:33 Author: mp.weixin.qq.com(查看原文) 阅读量:137 收藏

以网络钓鱼邮件攻击企业闻名的FIN7 APT组织，正在针对企业网络发动新一轮的攻击。该组织部署了新的战术，通过美国邮政服务（USPS）给目标企业的人力资源（HR），信息技术（IT）或执行管理（EM）等部门的员工邮寄包裹，包裹中一般包含USB设备、礼品卡等。当员工将USB设备插入计算机时，会注入命令以下载并执行以GRIFFON跟踪的JavaScript后门。

攻击案例

Trustwave的专家分析了其中一次攻击。该网络安全公司的一位客户收到了一个邮件，这封信伪装成Best Buy向其忠实顾客赠送的一张50美元的礼品卡。信中包含一个U盘，信上声称U盘包含礼品卡可以使用的物品清单。

如果没有安全意识，直接插入电脑，就会自动下载病毒！

所以，如果收到不明来源的U盘，不要乱插入电脑，很有可能是有恶意程序的。但用usbbad来攻击的，不太多。因为太容易发现了。

USDBAD是什么呢？解释一下，它是USB控制器芯片被重新编程用于其他用途（如模拟USB键盘）。为什么说他容易发现呢，插入之后，相当于键盘输入，如果调用PowerShell,会弹出窗口，

就像有人在你电脑上接一个键盘，他可以输入任意东西，但受害者可以看到。如果你锁屏插入badusb可能还不起作用。就是因为太明显，2017年华盟君就买了很多，做着玩，但没有用于实际攻击。

大概样子就像下面这张图，可以做个包装。

实际的usb攻击有很多分类很多种，可编程的usb设备只是其中一种，

比如：

可重编程的微控制器USB攻击

Rubber Ducky - - 2010年发布的商业按键注入攻击平台。一旦连接到主机，Rubber Ducky 就像一个键盘，并注入预先加载的按键序列。

恶意重新编程的USB外围固件攻击

DNS Override by Modified USB Firmware - 研究人员修改了USB闪存驱动器的固件，并用它来模拟USB以太网适配器，然后允许它们劫持本地流量。

基于未编程USB设备的攻击

CVE- 2010-2568。Stuxnet和Fanny恶意软件使用的.LNK漏洞

AutoRun Exploits - 根据主机配置的方式，一些PC会自动执行位于USB设备存储器上的预定文件。有一个专门称为autorun恶意软件的整个恶意软件类别。

电击

USB Killer - 通过插入触发电器附加费的USB设备来永久销毁设备。

这种电击设备，接上usb设备直接电脑销毁设备，我见有卖的，但是我没敢亲测。

华盟君最后提示：如果接收到U盘，千万要注意！

参考链接：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

微信公众号文章素材之分割线大全