跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

看看黑客是如何利用U盘入侵你的电脑的

HACK1949
HACK1949
问答中心

精选回复

发布于

看看黑客是如何利用U盘入侵你的电脑的

5fdeaf8e7cfe5.png

攻击

如下是一封礼品卡的信,信中还附有一个USB设备。但是该USB设备实际上含有恶意软件。

v2-bb38469f0b0f71b77d989e8a1ca1751c_720w

图 1. 含有恶意USB设备的礼品卡

分析

研究人员查看设备的相关信息,发现有打印的“HW-374”信息,谷歌搜索发现http://shopee.tw一个“BadUSB Leonardo USB ATMEGA32U4”。

v2-fe17a206286db60dfc08855179383c4a_720w

图 2: 与收到的USB设备匹配的网站图片

该设备使用了Arduino微控制器ATMEGA32U4,被变成用来模拟USB键盘。因为PC设备默认是相信USB键盘设备的,插入电脑后,键盘模拟器就会自动注入恶意命令。

为了快速获取UBS的payload,研究人员将其连接到一个air-gapped的笔记本,安装的是Ubuntu系统,研究人员分析发现了以下payload。

Powershell Payload

v2-26c570fb9f33845b0927711825f1ef3d_720w

图 3. 使用VIM拦截Payload,发现一个混淆的PowerShell脚本

解混淆PowerShell命令一个简单的密文替换。

v2-771007a30ef2b2b42a6e70f210bbfcc1_720w

图 4.使用CyberChef解混淆的PowerShell命令

解混淆的字符串中有一个从hxxps://milkmovemoney[.]com/st/mi.ini处下载第二阶段PowerShell代码的命令。

v2-cb6a3ef00b99c6085073e271ca460d03_720w

图 5. 下载的第二阶段Powershell代码

data:image/svg+xml;utf8,%3Csvg%20xmlns='http://www.w3.org/2000/svg'%20width='800'%20height='363'%3E%3C/svg%3E

图6 下载的脚本

第二阶段PowerShell执行流如下:

· 复制wscript.exe 到 %AppData%\Microsoft\Windows\wipre.exe;

· 解码JS命令,并保存为prada.txt;

· 用命令“cmd.exe /c wipre.exe /e:jscript prada.txt”执行prada.txt;

· 显示伪造的消息框警告。

v2-a1b80be9f11caf51943ab71d47aeffed_720w

图 7. 伪造的消息框警告

Javascript Payload

保存为prada.txt的JS代码是第3阶段payload,使用Windows内置的脚本wscript.exe来执行。

v2-0f503586b07d7fa82bbd7d049aeee3a0_720w

图 8. 保存为Prada.txt的反混淆的JS代码

JS是用简单变量替代混淆的。脚本的主要功能是以唯一ID来注册受感染的主机给C2服务器,然后接收额外的JS代码,JS代码用eval()函数。

下面是JS代码的执行流:

1、获取当前UTC时间生成唯一ID;

2、检查脚本是否位于%AppData%\Microsoft\Windows文件夹中,如果并在该文件夹中就删除;

3、延迟2分钟执行。

4、生成含有以下信息的数据:

· group : f1 (硬编码)

· rt : 2 (硬编码)

· secret : secret hash (硬编码)

· time : 120000

· uniq_id : current UTC milliseconds

· id : MAC address and hostname (使用WMI查询)

5、URL编码该数据并用随机生成的key来XOR编码数据;

6、将生成的XOR key加入到编码的数据中

7、合成一个含有参数的HTTP POST body:

kbaxmaconhuc=

8、合成一个 URL 路径:

https:///

9、使用下面的HTTP请求header以HTTP POST raw body发送数据到C2 url:

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/50.0'
Content-Type: %application/x-www-form-urlencoded'

10、C2服务器响应编码的JS代码

11、使用eval() 解码和执行JS代码。

在该事件中,C2服务器是活动的,会响应如图9所示编码的数据。编码的数据用XOR key来解码。数据和key都是限定在“&_&”或URL编码的“%26_%26”。解码的数据中会发现一个将会在受感染的主机中执行的JS代码。

v2-a86709096fde1e8c87183bb27ec07109_720w

图 9: 用编码的数据响应C2服务器

JS代码在解码时,会发现一个从受感染主机中收集系统信息的代码。

v2-6d818b55082f879d0b3543a3f016daf5_720w

图 10: 解混淆的JS代码,是C2服务器发送的代码的一部分

收集后发送给C2服务器的系统信息包括:

· 用户名;

· 主机名;

· 用户的系统权限。

使用WMI查询获取以下信息:

· 进程所有者;

· 域名;

· 计算机型号;

· 操作系统信息;

· 操作系统名;

· OS build;

· OS版本;

· 内存容量;

· 可用内存;

· 操作系统注册的用户;

· 操作系统注册的组织;

· 操作系统序列号;

· 安装日期;

· 操作系统架构;

· 操作系统产品类型;

· 语言代码;

· 时区;

· 用户数;

· UAC级别权限;

· Office和Adobe acrobat安装情况;

· 运行的进程列表;

· 受感染的主机运行在虚拟环境中。

收集的信息发送给C2服务器后,主JS代码会进入一个2分钟的休眠循环,然后从C2服务器获取新的命令。完整攻击流如下所示:

v2-edb2f2c4306fcb44445fbac34f504de3_720w

图 11: 攻击流

总结

USB设备随处可见,而且被广泛使用,一些人认为USB设备是安全无害的。但是USB控制器芯片可以重新编程,这类设备可以被用来发起攻击和感染用户计算机。而这类USB设备被安全领域专业人员广泛使用,风险不言而喻。这篇文启示我们:不要相信此类设备。

文章后续更新:发布这篇文章后,我们已经收到多方面的确认,该活动与FIN7 APT活动的IOC匹配。FIN7是一个网络犯罪集团,至少从2015年起就开始瞄准酒店和零售业。

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。