安全研究人員曾遇到過一次攻擊，其中以百思買禮品卡的名義將USB加密狗像工作文件快遞一樣，郵寄給了一家公司這個加密狗會暗中竊取各類信息。

過去，安全專業人員承認，這種技術在進行物理滲透測試時很常見，但是在外很少見到這種技術。因此它的背后可能是一個復雜網絡犯罪集團。

[[321257]]

Trustwave SpiderLabs的安全研究人員對攻擊進行了分析和披露，他們從其團隊合作伙伴那里了解了這一次攻擊。

安全研究Trustwave SpiderLabs副總裁Ziv Mador告訴CSO，一家美國酒店業公司于2月中旬某個時候收到了USB。

[[321258]]

包裝盒中包含一封帶有百思買徽標和其他品牌元素的正式信件，告知接收者他們已收到50美元的普通顧客禮品卡。

信中寫道：“您可以花費在USB記憶棒上顯示的物品清單中的任何產品。” 幸運的是，沒有人中招!USB加密狗從未插入任何計算機，并且及時被安全人員傳遞分析，因為接收它的人已經接受了安全培訓。

攜帶病毒的USB

研究人員說USB加密狗模型追蹤到一個臺灣網站，該網站以BadUSB Leonardo USB ATMEGA32U4的名稱售價相當于7美元。

2014年，在黑帽美國安全大會上，來自柏林安全研究實驗室研究人員證明，許多USB加密狗的固件都可以重新編程，

因此，當插入計算機時，會開始發送可用于部署惡意軟件的命令。研究人員將這種攻擊稱為BadUSB，與之不同的是，只是將惡意軟件放在USB記憶棒上，并依靠用戶來打開它。

攻擊原理

Leonardo USB設備內部具有一個Arduino ATMEGA32U4微控制器，該微控制器被編程為充當虛擬鍵盤，通過命令行執行模糊的PowerShell腳本。

該腳本可以到達攻擊者設置的域，并下載輔助的PowerShell有效負載，然后部署通過Windows內置腳本宿主引擎執行的第三個基于JavaScript的有效負載。

個JavaScript有效負載為計算機生成唯一的標識符，并將其注冊到遠程命令和控制服務器。然后，它從其執行的服務器接收其他混淆的JavaScript代碼。

第四個有效負載的目的是收集有關系統的信息，例如用戶的特權，域名，時區，語言，操作系統和硬件信息，正在運行的進程的列表，是否已安裝Microsoft Office和Adobe Acrobat等。

在暗中竊取信息后，JavaScript后門會進入一個循環，該循環會定期與服務器簽入，植入黑客的命令。Trustwave的研究人員在報告中說：“它們便宜、且易被使用的事實意味，犯罪分子使用這種技術只是時間問題。”

“由于USB設備無處不在，因此有些人認為它們安全。其他人可能會對未知USB設備的內容感到非常好奇。這個故事教給我們的是：永遠不要有過多的好奇心。”

FIN7幫派是罪魁禍首?

Mador告訴CSO，他的團隊不知道攻擊者是誰，但是在看到Trustwave的報告中的信息之后，卡巴斯基實驗室的安全研究人員Costin Raiu和Michael Yip 猜測，該惡意軟件和基礎架構與FIN7幫派使用的匹配。

FIN7，也稱為Carbanak，是一個出于財務動機的網絡犯罪集團，自2015年左右以來一直瞄準零售，飯店和酒店業的美國公司。

該集團以使用先進的技術在網絡內部和受破壞的系統內橫向移動而聞名，目標是竊取支付卡信息。Morphisec研究人員過去估計，FIN7成員每月從中賺取約5000萬美元。

[[321259]]

BadUSB攻擊的目標是一家來自美國酒店業的公司，該公司與FIN7先前的目標一致。

FBI周四還向公司發送了私人警報，確認FIN7是這些基于USB的物理攻擊的幕后黑手。

因為已收到有關一些軟件包的報告中包含從零售，飯店和旅館業發送給企業的惡意USB設備。

還有更多的BadUSB攻擊方式嗎?

但是說句實話，USB加密狗的攻擊尚未得到廣泛使用，因為它們的擴展性不強。

相對比而言，USB Rubber Ducky是一種在滲透測試儀中很受歡迎的加密狗。它是由一家名為Hak5的公司生產的，售價50美元，對于專業人士而言，這筆錢可不多，

但是如果您是攻擊者并想要感染許多受害者，則費用會迅速增加，尤其是因為成功率高達100%的。

但是，諸如BadUSB Leonardo設備之類的惡意軟件加密狗每只售價7美元(如果大量購買，價格可能會更低)，使真實的BadUSB攻擊更加可行。

攻擊者甚至無需花費很多精力，例如創建自定義固件，他們只需要將其自定義負載到現成的設備中并通過郵件發送給更多的受害者即可。

流氓USB除了被發送到了公司的地址，但是現在由于COVID-19大流行，許多關鍵員工現在在家工作，風險甚至更高。

Mador說，在工作中，管理人員可能會收到此類信件，如果他們經過安全培訓，他們可能會將加密狗帶給IT或安全團隊，因此，可能有人會在使用該設備之前先對其進行檢查。

但是，在家中沒有IT安全人員，即使預定的接收者在工作中接受了安全意識培訓，該設備也可能被其和家人誤用。

如果黑客入侵受害者家庭網絡中的設備，他們最終也將成功入侵他們的工作計算機，這很可能使他們能夠通過VPN連接訪問公司的網絡或系統。這就是為什么安全人員擔心當前在家線上辦公的原因。