对于安全从业者,相信大家都不陌生“一分预防胜过十分治疗”这句话。当我们已经贯彻实施了二十年的打补丁、防火墙等预防工作理念后,其结果又怎样呢?社会工程学攻击在近年来的一些网络入侵事件中起到了很大的作用,对企业信息安全有很大的威胁性。使用社会工程学针对目标公司、组织和个人进行攻击的攻击者,通常向目标发送网络钓鱼邮件、邮寄包裹礼品卡等,诱骗收件人打开恶意附件或单击恶意链接,达到攻击目的。
以网络钓鱼邮件攻击企业闻名的FIN7 APT组织,正在针对企业网络发动新一轮的攻击。
Trustwave的专家分析了其中一次攻击。该网络安全公司的一位客户收到了一个邮件,据信是百思买(Best
Buy)给到其忠实客户的50美元礼品卡。其中还包括一个看似无害的USB驱动器,声称里面包含一个物品清单。这样的包裹被发送给多家企业,包括零售业、餐饮、酒店。武器化的USB设备模仿用户击键特征,启动PowerShell命令从远程服务器检索恶意软件。专家们观察到恶意代码联络域名与IP地址位于俄罗斯。
该USB设备使用Arduino微控制器ATMEGA32U4,并编程模拟USB键盘。由于PC默认情况下信任键盘USB设备,一旦插入,键盘模拟器就会自动插入恶意命令。可能很快,攻击者将从简单的USB闪存转移到更高级的攻击方案,例如USB电缆(例如#USBsamurai或#EvilCrow)。攻击者在其内部使用“恶意植入物”可以进行
BADUSB类型的攻击。再比如鼠标或USB风扇中嵌入“WHIDelite”……
事实上,攻击者很容易找到像Arduino这样的开发板,进行配置为模拟键盘等人机界面设备(HID),并启动一组预先配置的击键来加载和执行任何类型的恶意软件。
BadUSB
简单来说,BadUSB是一个定制的硬件,让USB设备伪装成U盘或者其它设备,Bad-USB插入后,会模拟键盘鼠标对电脑进行操作。通过这些操作打开电脑的命令终端,并执行一条命令,这条命令将从指定网址下载其他代码并于后台静默运行。这些代码功能包括:窃取信息、反弹shell、发送邮件等,从而实现控制目标机或者窃取信息的目的。他把恶意代码存在于“U盘”的固件中,而杀毒软件却无法访问到U盘放固件的区域。因此。杀毒软件无法识别到恶意U盘。对U盘进行格式化也无法清除BadUSB内的恶意攻击代码。
HID攻击
HID是Human
Interface
Device的缩写,HID设备是人机交互的设备,例如键盘、鼠标与游戏杆等。不过HID设备并不一定要有人机接口,只要符合HID类别规范的设备都是HID设备。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻击向量的鼠标或键盘,插入电脑时,恶意代码会被加载并执行。
Arduino
Arduino是一款便捷灵活、方便上手的开源电子原型平台。它构建于开放原始码simple
I/O介面版,并且具有使用类似Java、C语言的Processing/Wiring开发环境。主要包含两个主要的部分:硬件部分是可以用来做电路连接的Arduino电路板;另外一个则是Arduino
IDE,你的计算机中的程序开发环境。你只要在IDE中编写程序代码,将程序上传到Arduino电路板后,程序便会告诉Arduino电路板要做些什么了。很大一部分badUSB设备是基于Arduino做的,在Arduino的基础上做了硬件裁剪。使外形更小,更像一个U盘。
社会工程学
是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。
预防
·学习:通过学习了解其工作原理,认识到传播渠道,才能保持警惕,彻底阻断病毒。
·执行:不要把不明设备插入公司或个人电脑。
·管理:通过技术手段识别不合规的硬件接入,避免基于硬件接入的信息安全事件发生。