最近一连串基于USB的网络攻击袭击了美国的组织。恶意USB设备会发布给选定的受害者。一旦它们被插入,损坏就完成了。
USB驱动器带来的威胁
USB驱动器方便、实惠且无处不在。这种便利是以牺牲安全为代价的。USB驱动器是便携式的、可隐藏的,可用于从公司计算机和网络中窃取敏感信息。出于这个原因,许多组织禁止在工作场所使用USB驱动器,并使用软件工具禁用USB访问。这样的措施不是常态。通常,它们仅部署在较大的组织中。在其他地方,可以免费使用USB驱动器。
数据被盗只是威胁之一。USB驱动器可能会被放错地方或丢失,从而暴露私人和敏感信息。USB驱动器通常用于传输文件并在计算机之间移动它们。如果将驱动器插入感染了恶意软件的计算机,则USB驱动器会被感染。然后它成为恶意软件的传输机制。USB驱动器可能会插入保护不力的家用电脑和企业电脑,从而增加感染风险。
除了意外感染恶意软件外,USB驱动器还可能被恶意软件启动并作为诱饵。最简单的方法是伪装恶意程序,使其看起来像PDF或文档文件,并希望受害者尝试打开它。其他的则要微妙得多。
年1月,FBI就新一波基于USB驱动器的网络攻击(称为BadUSB)发表了一份声明。USB驱动器被张贴给运输、国防和金融机构的员工。
USB驱动器附有令人信服的信件。一些人声称来自美国卫生与公众服务部,并谈到了COVID-19指南。其他人模仿亚马逊礼品盒,甚至包括伪造的礼品卡。USB驱动器被修改,以便它们一插入就攻击目标的计算机。
诱饵和等待
将USB驱动器留在员工停车场和企业的其他可访问区域是让恶意USB驱动器落入员工手中的一种简单方法。简单的社会工程技巧增加了某人将其带回工作地点并将其插入计算机的可能性。
USB驱动器在午餐前种植。这样,员工可以在午餐时间找到他们。他们下午要回到办公桌前。如果U盘在午餐后掉了,员工很可能会在工作日结束时找到它们并将其带回家。
将一堆密钥附加到USB驱动器会将他们的发现从“我找到USB驱动器”更改为“我找到某人的密钥”。这引发了一系列不同的反应。每个人都可以理解丢失一堆钥匙的麻烦。为了尝试做正确的事情并识别所有者,找到它们的人很可能会检查USB驱动器以寻找线索。
如果他们看到一个标题令人无法抗拒的文档,例如“冗余计划”或“管理层收购”,他们可能会尝试打开它。如果该文档确实是恶意程序或携带恶意负载,则计算机(进而网络)会受到感染。
员工网络安全意识培训必须解释插入不明USB驱动器的危险。当我参与提供员工意识培训时,我会在几周后跟进良性模拟攻击。这衡量了员工的易感性。如果一个特定的攻击发现不成比例的受害者,它允许重复训练模块,它允许识别和重新训练表现不佳的个人。
USB掉线几乎总是成功的。即使工作人员正确识别网络钓鱼电子邮件和其他攻击类型,也会有人中了USB驱动器的诱惑。USB驱动器的性质有一些东西——也许是因为它完全惰性,除非它被插入——这使得一些人无法抗拒插入它们。至少,直到他们第一次被抓到。
“一次被咬,两次害羞”的方法在良性测试活动的背景下是可以的,但有真正的威胁吗?你已经被感染了。
踩到地雷
更复杂的攻击使用可以感染计算机的USB,而无需用户尝试运行程序或打开文件。已经创建并在现场发现了恶意USB,它利用了Windows解析Windows快捷方式中的元数据的方式中的漏洞。这已被利用,以便执行伪造的控制面板应用程序。伪造的控制面板应用程序就是恶意软件。
用户只需插入USB驱动器并查看设备上的文件列表即可。USB驱动器上的快捷方式导致启动恶意控制面板应用程序。恶意应用程序也在USB驱动器上。
BadUSB设备已经过修改,因此需要的交互更少。受害者只需插入USB驱动器即可。
当它们插入时,USB设备会与操作系统进行对话。设备通过告诉操作系统它是设备的品牌、型号和类型来识别自己。根据设备的类型,操作系统可能会询问USB设备以获取有关其自身及其功能的更多信息。BadUSB设备被修改——制造商的固件被威胁参与者的自定义固件覆盖——因此它们将自己标识为USB键盘。
一旦设备在Windows中注册为键盘,它就会向操作系统发送一个字符流。Windows接受这些作为键入的输入并对其进行操作。这些命令会打开一个PowerShell窗口并下载恶意软件。用户只需插入USB驱动器即可。
被称为USBKillers的恶意USB已广为人知,但这些都是粗暴的设备,会损坏它们所插入的计算机。发送到USB设备的少量电能在USB杀手内部累积和放大,并以高达V的快速脉冲通过USB端口释放回计算机。这导致的物理损坏使计算机无法运行。USB杀手除了破坏之外没有任何成就,尽管如此糟糕。它们不会以任何方式传播恶意软件或感染计算机或网络。
通过伪装成键盘,BadUSB设备可以下载和安装任何类型的恶意软件,其中最常见的是凭证抓取器和勒索软件。BadUSB攻击是一种社会工程学形式。社会工程学试图操纵受害者采取一些有利于威胁行为者的行动。令人信服的求职信和其他装饰相结合,为发件人的身份增添了真实性。
您可以采取的步骤
与所有社会工程攻击一样,最好的防御是教育,但您也可以采取其他步骤。
以敏感性测试为后盾的员工意识培训将有助于防止此类攻击有效。这应该至少每年重复一次。
如果USB驱动器不需要构成工作流的一部分,请考虑禁用USB访问。使用云文件存储或其他方式传输太大而无法通过电子邮件发送且需要在不同位置访问的文件。
禁用USB设备的自动运行。
确保端点保护软件在插入USB驱动器时对其进行扫描。
如果必须将U盘带入您的场所,则可以使用气隙“净化”计算机扫描和检查任何U盘。
#科技日报#