USB威脅：從惡意軟體到挖礦程序

新聞 10-30

一、介紹

2016年，伊利諾伊大學的研究人員在大學校園內留下了297個未標記的USB快閃記憶體，看看會發生什麼。98％的驅動器由工作人員和學生撿起，並且至少有一半被插入計算機以查看內容。對於試圖感染計算機網路的黑客來說，這是不可抗拒的。

USB設備已經存在了將近20年，它提供了一種簡單方便的方式，可以在不直接連接到互聯網的計算機之間存儲和傳輸數字文件。這種功能已被網路威脅行為者利用，最著名的是2010年的Stuxnet蠕蟲，它使用USB設備將惡意軟體注入伊朗核設施的網路。

如今，像Dropbox這樣的雲服務在文件存儲和傳輸方面已經承擔了很多繁重的工作，並且人們對USB設備相關的安全風險有了更多的認識。它們作為必不可少的商業工具的使用率正在下降。儘管如此，每年仍然有數百萬個USB設備被生產和分發，其中許多設備用於家庭，或者企業和營銷推廣活動的贈品。

USB設備仍然是網路威脅的目標。2017年卡巴斯基實驗室數據顯示，每12個月左右，全球四分之一的用戶受到「本地」網路事件的影響。這是直接在用戶計算機上檢測到的攻擊，包括由USB設備等可移動媒體引起的感染。

這篇簡短的報告回顧了當前可移動媒體（尤其是USB）的網路威脅態勢環境，並提供了有關保護這些設備及其所攜帶數據的建議和意見。

二、方法和主要發現

概述了基於卡巴斯基實驗室在用戶計算機驅動器根目錄中的文件保護技術的檢測，並應用了特定的掃描過濾器和其他措施。它僅涵蓋惡意軟體攻擊，不包括對廣告軟體或風險工具等潛在危險或有害程序的檢測。用戶通過卡巴斯基安全網路（KSN）自願共享檢測數據。

主要發現

·USB設備和其他可移動媒體正被用於傳播加密貨幣採礦軟體，至少從2015年開始。一些受害者被發現已感染這種病毒很多年。

·受歡迎的比特幣挖礦軟體Trojan.Win64.Miner.all的檢測率同比增長約六分之一。

·在2018年遭受可移動媒體感染的所有用戶中，有十分之一是使用這種加密採礦軟體（約為9.22％，高於2017年的6.7％和2016年的4.2％）。

·通過可移動媒體/ USB傳播的其他惡意軟體包括Windows LNK系列特洛伊木馬，這是自2016年以來檢測到的三大USB威脅之一。

·2010 Stuxnet漏洞利用程序CVE-2010-2568仍然是通過可移動媒體傳播的十大惡意攻擊之一。

·新興市場最容易受到可移動媒體傳播的惡意感染——亞洲，非洲和南美洲受影響最大，但在歐洲和北美國家也發現了孤立的點擊。

·Dark Tequila是一種複雜的銀行惡意軟體，於2018年8月21日報道發現。至少自2013年以來一直針對墨西哥的消費者和企業，感染主要通過USB設備傳播。

三、USB不斷發展的網路威脅領域

可移動媒體引起的感染被定義為本地威脅——直接在用戶計算機上檢測到的威脅，例如，在計劃安裝或用戶啟動的安全掃描期間。本地威脅不同於針對互聯網計算機的威脅（網路威脅），這種威脅更為普遍。隱藏在複雜安裝程序中的加密惡意程序也可能導致本地感染。為了隔離可移動媒體（如USB設備）傳播的惡意軟體數據，我們採取了受感染計算機驅動器根目錄中觸發的檢測——這是感染源為可移動媒體的強烈指示。

此數據顯示自2014年以來可移動媒體（驅動器根目錄）威脅檢測的數量穩步下降，但整體下降速度正在放緩。2014年，受可移動媒體威脅影響的用戶與檢測到的此類威脅總數之間的比例為1:42;到2017年，這個數字下降了一半到1:25;估計2018年達到1:22。

與網路威脅相比，這些數字顯得蒼白：2017年，卡巴斯基實驗室的文件防病毒軟體檢測到了1.138億可移動媒體威脅，而其網路防病毒軟體則排除了從在線資源發起的12億次攻擊。鑒於此，即使全球約有400萬用戶在2018年通過這種方式受到感染，也很容易忽視可移動媒體帶來的持久風險。

*2013-2018年在用戶計算機的驅動器根目錄中觸發的惡意軟體檢測總數（以百萬計），這是可移動媒體感染的指標。Source: KSN(download)

*2013-2018年在計算機的驅動器根目錄中觸發惡意軟體檢測的唯一用戶數（以百萬計），這是可移動媒體感染的指標。Source: KSN (download)

1．USB作為高級威脅行為者的工具

USB設備吸引針對未連接到互聯網的計算機網路的攻擊者——例如那些關鍵的國家電力基礎設施。最著名的例子是Stuxnet行動。在2009年和2010年，Stuxnet蠕蟲針對伊朗的核設施，破壞其運營。

USB設備被用於將惡意軟體注入設施的隔離網路。除此之外，這些設備還包括對Windows LNK漏洞（CVE-2010-2568）的利用，該漏洞可以遠程執行代碼。其他高級威脅，包括Equation Group，Flame，Regin 和HackingTeam，都將此漏洞集成以用於攻擊可移動媒體。

此外，大多數USB設備的結構允許它們被轉換以提供隱藏的存儲隔空間，例如用於移除被盜數據。ProjectSauron 2016工具包被發現包括一個特殊模塊，旨在將數據從隔離網路傳輸到連接互聯網的系統。這涉及USB驅動器，通過設置更改USB磁碟上分區的大小，在磁碟末端保留一些隱藏空間（幾百兆位元組）用於惡意目的。

2．Stuxnet中的CVE-2010-2568

Microsoft在2015年3月修復了最後一個存在漏洞的LNK代碼路徑。然而，在2016年，多達四分之一的卡巴斯基實驗室用戶遇到了通過所有攻擊媒介（包括網路傳播的威脅）的攻擊，面臨此漏洞的攻擊（儘管它在2017年被EternalBlue漏洞利用所取代）。但是，CVE-2010-2568繼續是USB設備和其他可移動媒體分發的惡意軟體中的特色：儘管檢測和受害者數量迅速下降，但它仍然是KSN檢測到的十大驅動器源威脅之一。

2013-2018年CVE-2010-2568的漏洞利用（可移動媒體）檢測（以百萬計）。Source: KSN

2013-2018年CVE-2010-2568,的漏洞利用的感染用戶（可移動媒體）檢測（以百萬計）。

Source: KSN

如果漏洞檢測提供了通過可移動介質（例如USB）傳輸的惡意軟體量的指示，下面說明以這種方式分發的惡意軟體的類型。

3．通過可移動介質傳播惡意軟體

自2016年以來，通過可移動媒體傳播的頂級惡意軟體保持相對一致。例如，Windows LNK系列惡意軟體，包含用於下載惡意文件的鏈接或用於啟動惡意可執行文件路徑的木馬，仍然是通過可移動媒體傳播的三大威脅。攻擊者使用惡意軟體來破壞、修改或複製數據，或者破壞設備或其網路的運行。WinLNK Runner特洛伊木馬程序是2017年檢測到的頂級USB威脅，是用於啟動可執行文件的蠕蟲。

2017年，檢測到2270萬次WinLNK.Agent感染，影響了近90萬用戶。2018年的數字約為2300萬次攻擊，僅超過70萬用戶。這意味著檢測率上升2％，同比目標用戶數下降20％。

對於WinLNK Runner特洛伊木馬，預計數字將大幅下降—檢出率從2017年的275萬降至2018年的100萬，下降61％;目標用戶數量下降了51％（從2017年的約920,000人減少到2018年的450,000人）。

通過USB設備傳播的其他頂級惡意軟體包括Sality病毒，該病毒於2003年首次檢測到，但自那以後經過大量修改；以及自動將自身複製到USB驅動器上的Dinihou 蠕蟲，創建惡意快捷方式（LNK），一旦新的受害者打開它就會啟動蠕蟲。

4．Miners——少見但持久

USB設備也被用於傳播加密貨幣挖掘軟體。這種情況相對不常見，但足以讓攻擊者繼續使用這種分發方法。根據KSN數據，在驅動器根中檢測到的一種流行的加密挖掘軟體是Trojan.Win32.Miner.ays / Trojan.Win64.Miner.all，自2014年起為人所知。

該系列的惡意軟體秘密使用受感染計算機的處理器容量來生成加密貨幣。特洛伊木馬將挖掘應用程序放到PC上，然後安裝並靜默啟動挖掘軟體並下載參數，使其能夠將結果發送到攻擊者控制的外部伺服器。

卡巴斯基實驗室的數據顯示，2018年檢測到的一些感染可以追溯到幾年前，這表明長時間的感染可能對受害者設備的處理能力產生了明顯的負面影響。

32位版本的Trojan.Win32.Miner.ays的檢測數據如下：

在2017年上半年（136,954個獨立用戶）和2018年上半年（93,433個獨立用戶）之間，受32位版本挖礦軟體影響的人數下降了28.13個百分點。

另一個版本Trojan.Win64.Miner.all在第一年檢測中出現了預期的激增，之後用戶數量達到了穩定的增長率，每年約為六分之一。當將使用此挖掘惡意軟體的用戶數量與受可移動媒體威脅擊中的用戶總數進行比較時，也可以看到這種小而穩定的增長率。這表明在2018年，大約十分之一的用戶受到可移動媒體威脅的攻擊，成為該挖礦軟體的目標，兩年增加兩倍。

這些結果表明，這種威脅通過可移動媒體可以很好地傳播。

Trojan.Win64.Miner.all的檢測數據如下：

5．Dark Tequila – 高級銀行木馬

2018年8月，卡巴斯基實驗室的研究人員報告了一項名為Dark Tequila的複雜網路行動，至少在過去的五年里一直瞄準墨西哥的用戶，通過惡意軟體竊取銀行憑證、個人和公司數據以及在受害者電腦離線時進行橫向移動。

根據卡巴斯基實驗室的研究人員的說法，惡意代碼通過受感染的USB設備和魚叉式網路釣魚傳播，並包含規避檢測的功能。Dark Tequila背後的威脅攻擊者的母語很可能是西班牙語和拉丁語。

四、目標地理分布

新興市場最容易被可移動媒體感染。

2017年的數據顯示，在此類國家中約有三分之二的用戶遇到「本地」事件，其中包括來自可移動媒體的驅動源惡意軟體感染，而發達經濟體中只有不到四分之一。這些數字與2018年保持一致。

對於通過可移動媒體傳播的LNK漏洞，2018年迄今受影響最嚴重的國家是越南（受影響的用戶佔18.8％），阿爾及利亞（11.2％）和印度（10.9％），其他亞洲地區也有感染，俄羅斯和巴西等國，而一些歐洲國家（西班牙，德國，法國，英國和義大利），美國和日本只有零星感染。

2018年通過可移動媒體受CVE-2010-2568漏洞利用影響的用戶比例。來源：KSN（僅包括卡巴斯基實驗室客戶超過10,000的國家/地區） Source: KSN(download)

挖礦軟體的範圍更廣。Trojan.Win32.Miner.ays / Trojan.Win.64.Miner.all主要在印度（23.7％），俄羅斯（18.45％ - 可能受到更大客戶群的影響）和哈薩克（14.38％）發現，在亞洲和非洲的其他地區也有感染，在幾個歐洲國家（英國，德國，荷蘭，瑞士，西班牙，比利時，奧地利，義大利，丹麥和瑞典），美國，加拿大和日本也有零星感染。

2018年通過可移動媒體受比特幣加密貨幣採礦者影響的用戶比例。來源：KSN（僅包括卡巴斯基實驗室客戶超過10,000名的國家）Source: KSN(download)

五、總結及建議

這篇短文的主要目的是提高人們對消費者和企業可能低估的威脅的認識。

USB驅動器具有許多優點：結構緊湊，便於攜帶，並且具有很好的品牌資產，但設備本身，存儲在其上的數據以及插入的計算機如果不受保護，都可能容易受到網路威脅。

幸運的是，消費者和組織可以採取一些有效措施來保護USB設備的使用。

給所有USB用戶的建議：

·關注連接到計算機的設備——你知道它來自哪裡嗎？

·使用信任品牌的加密USB設備——這樣即使丟失設備，也知道數據是安全的

·確保USB上存儲的所有數據都已加密

·制定安全解決方案，在連接到網路之前檢查所有可移動媒體是否存在惡意軟體 - 即使是受信任的品牌也可能通過其供應鏈受感染

針對企業的其他建議：

·管理USB設備的使用：定義可以使用哪些USB設備，由誰以及為什麼使用