本文授權轉載自:一本黑
ID:darkinsider
作者:一尺
在踏入安全圈之前,我的日子平靜如水。
自從入了安全圈,我就成朋友眼中計算機怪人,自此以後,修電腦、求資源之類的事兒都不會忘了我...
「我真不會這些。」看著朋友們期待而來,失望而歸的表情,我想,我大概是個假黑客吧。
一天,一個朋友找到我。朋友是一個在圈裡小有名氣的設計師,已經很久沒聯繫了,突然發信息過來,開始還以為是這哥們兒要結婚,又該準備份子錢了。
「你是在搞網路安全嗎?有個事兒想請你幫個忙。」
沒等我推辭,朋友就跟我說了,他電腦里的文件被加密了。裡面有他最近在做的一個很重要的項目,準備很長時間,現在文件卻突然打不開了,自己也沒有備份。眼看著要交付了,萬般無奈下才來向我求助。
電腦出現了中毒的癥狀,希望我可以幫他把電腦救回來。
朋友表示,自己用電腦也是有常識的,從來不會去點擊來源不明的鏈接,也沒上過什麼「不該上」的網站,殺毒軟體也裝了,所以沒那麼容易中毒。
我看了一下,打不開文件是因為文件被加密了(AES演算法),採用這種演算法加密文件,必須用其對應的密鑰才能解開,這樣看來我也愛莫能助。
我決定幫他找出問題的來源。經過排查,我在C盤的某個目錄下發現了一個powershell腳本。
(紅框部分就是一個powershell腳本)
腳本里的代碼是從指定伺服器里下載文件,這很可能是個攻擊腳本。不僅如此,這個powershell腳本還做過免殺處理,所以殺軟也無法檢測。從過往經驗來看,這種攻擊腳本大多都是靠U盤等外接設備傳播。
「最近電腦有沒有借給別人用過,或者有沒有用過陌生的U盤?」我問他。
「有過一次,就在前幾天,有個同事拿他的U盤過來找我拷資料,奇怪的是明顯示裝了驅動,卻讀不出內容,我以為是U盤的問題,就讓他換個U盤。但之後再拷文件時,卻發現都打不開了,之後重啟幾次也沒用。」
問題應該就在這個「U盤」上,聽起來很像是類似rubber ducky(業界稱為橡皮鴨)的設備給他的電腦植入了一段惡意代碼,這段代碼會自動下載一個木馬,木馬再對其文件進行加密,之後木馬會執行把自己刪掉,所以用殺軟掃描也是一無所獲。
橡皮鴨可通過USB介面連接電腦,且體型小巧,所以適合偽裝成U盤進行攻擊。
「所以是那個U盤的問題嗎?那他是怎麼把病毒弄到我電腦來的?」朋友突然醒悟過來。被一起工作的同事暗算,他又驚又惱。
問了下他被暗算的原因。朋友猶豫了一下,沒講什麼,不過看得出他現在心裡跟明鏡似的。
相比二流國產劇的情節,我更想去自己去驗證下這種攻擊方式。雖然理論上可行,不過在我所知的案例中,還沒有出現過這種攻擊實例。
其實這個問題並不複雜,所有的USB設備都有一個微控制器晶元,作為設備與計算機之間的介面。而這個晶元上的固件可以被重新編程甚至植入病毒。而且,BadUSB可以輕鬆繞過防病毒軟體,所以極難被查覺。
這只是一種攻擊的途徑,目的可以有很多種,危害的程度也可大可小,危害完全取決於攻擊者。
我決定以一包辣條的代價,請老師傅出山,為大家復原一次用USB設備植入病毒的過程。
首先,作案前需要有一個可以被重新編程的USB設備,在某寶上,幾十塊錢就買到一個,簡直是居家旅行黑人電腦的利器。
我在網上找了張圖,簡單給大家介紹一下這個設備。在藍色的板子上,一面是存儲器,一面就是控制器固件,也就是被寫入惡意代碼的地方。惡意代碼會在電腦安裝該USB驅動的時候自動運行,這時它會模擬鍵盤或滑鼠操作,自己編寫powershell,這個過程可能轉瞬即逝,整個過程都不會被殺軟報警,所以極難察覺。
貨到手後,老師傅先生自編一段powershell代碼,然後將這段代碼植入設備,插入電腦後,就可以自動執行指令,將病毒植入到電腦。
本以為一插就懷孕,結果什麼也沒發生。。。
「不應該啊!」老師傅沒想到,自己也有翻車的一天。
「卧槽!我怎麼沒想到這茬!」老師傅一陣苦笑。
其實是電腦的輸入法默認輸入中文,所以沒能完成植入。原來老師傅的剋星,不是殺軟是輸入法!
既然找到了癥結所在,那就問題也就迎刃而解了,只要在前面設置一個大寫鎖定的指令,後面的指令就可以進行正常操作了。
植入代碼後,老師傅就可以對這台電腦為所欲為了。
利用外部連接的硬體設備進行病毒傳播的手段並不新穎,早在軟碟機時代,這就是傳播病毒的主要方法。隨著互聯網的發展,利用網路傳播才漸成主流,以至於很多人逐漸淡忘了USB可以傳播病毒,所以會放鬆警惕。
我們來做個實驗,看有多少人會中招。
我就近在星巴克和kfc放了五個已經植入攻擊代碼並偽裝成了U盤的設備,一旦被人插入電腦,可以在短短几秒內植入木馬,遠程操控、實時監控也就不在話下了。
(太小的U盤是不行的,圖片就是意思一下)
結果是有三個人中招,電腦感染木馬後,我們可以監控屏幕、操縱攝像頭等操作。
屏幕監控
可以看出對方應該是個財務,我們完全可以獲取這些資料並且掌握該公司的人事和財務狀況。
和男友很直白的交流。。。
通過監控屏幕和記錄鍵盤敲擊,經過分析後我獲取了對方的對方的微博賬號和密碼,並登錄了她的微博,發現這個微博賬號關聯了淘寶、知乎等賬號。所以登陸了微博就可以「快捷登錄」其他關聯的賬戶。如果她還是那種「一個密碼走天下」的人,那麼她的個人信息和財產就完全沒有安全可言了。
還好,她遇上的是我們這些有(mei)良(dan)知(zi)的黑客,實驗點到為止,沒有再往下挖了。
諷刺的是,我發現這三個人里還有一個是科技公司的運維,可見即使是有計算機常識的工程師也缺乏必要的安全意識。一個早已被用爛的病毒木馬傳播方式,依然能讓不少人中招。
鍵盤、滑鼠、充電寶等,都可以被植入惡意代碼,加上計算機外高度依賴USB外接設備,以至於這種攻擊方式成功率極高。也許就是上個洗手間的工夫,電腦就可能被人入侵,一舉一動完全暴露在別人的眼皮子地下。
黑客從來只黑有價值的人,如果你覺得自己很安全,那只是你缺乏被黑的價值,這句話毫不誇張。在商業領域,矛與盾的較量從未間斷。
在科技領域,為保密或竊取研發資料所產生的博弈從未停止。例如華為這種極重研發的公司,投入重金的研發資料一旦泄密,其造成的影響是不可估量的。
在巨大利益的誘惑下,不少獵手都對其躍躍欲試,讓華為不管是網路層還是硬體層,都投入了極高的防護成本。
所以,大家一定要注意信息安全,不要讓攻擊者有機可乘。
酷玩實驗室經授權轉載
如需轉載,請聯繫原作者。
分享給朋友或朋友圈請隨意
喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!
本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!
請您繼續閱讀更多來自 酷玩實驗室 的精彩文章: