疫情夜幕下的2020:上半年度PC端網(wǎng)絡(luò)安全威脅Top 10盤點(diǎn) |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2020-07-27 瀏覽次數(shù): |
信息來(lái)源:Freebuf
時(shí)至7月,2020年上半年已告一段落。 2020年,這個(gè)本該寄托無(wú)數(shù)憧憬的年份,卻因一場(chǎng)席卷而來(lái)的疫情危機(jī)的到來(lái)而全球震蕩。流年不利、人心惶惶,這些糟糕的詞語(yǔ)已經(jīng)無(wú)法準(zhǔn)確描述這場(chǎng)疫情為全球人民生活造成的灰暗。 伴隨著疫情夜幕的降臨,生活在黑暗中的生物們也相繼“蘇醒”。 勒索病毒、蠕蟲木馬、釣魚郵件,橫向滲透、變形蟲攻擊等黑客攻擊如同洪流般裹挾泥沙席卷而來(lái),各路玩家粉墨登場(chǎng)。在疫情的掩護(hù)下,將人們本已步履維艱的生活攪亂的更加渾濁。 360安全大腦對(duì)上半年全球范圍內(nèi)針對(duì)PC端異?;钴S的十大網(wǎng)絡(luò)攻擊威脅,包括疫情下流行病毒的趨勢(shì),以及伴隨疫情出現(xiàn)的全新攻擊面和攻擊技術(shù)進(jìn)行了梳理和總結(jié),以此提醒廣大企業(yè)和個(gè)人用戶提高警惕,未雨綢繆而有備無(wú)患。 TOP 1 勒索病毒獨(dú)占鰲頭進(jìn)入2020年,發(fā)展迅猛的勒索病毒沒(méi)有絲毫放緩腳步,以更加來(lái)勢(shì)洶洶的態(tài)勢(shì)在全球橫沖直撞“所向披靡”。 在GandCrab家族一年半內(nèi)賺下20億美金的鼓舞下,上半年間,花樣繁多的勒索病毒大有星火燎原之勢(shì),如同早已約定好上臺(tái)表演次序一般,你方唱罷我登場(chǎng),幾乎每周都有勒索病毒“新起之秀”亮相,在廣大用戶身上刮下一層“油水”后,乘興而來(lái)乘勝而歸。
2020上半年勒索病毒花樣頻出
上半年中占比最高的勒索病毒增長(zhǎng)趨勢(shì)圖 2020年上半年,勒索病毒繁多的變種更加趨于常態(tài)化,新型勒索病毒越演越烈的增長(zhǎng)態(tài)勢(shì)也愈發(fā)不可收拾。近兩年來(lái),勒索病毒制造門檻一再降低,用PHP、Python等語(yǔ)言編寫的勒索病毒,甚至用更簡(jiǎn)易的腳本語(yǔ)言來(lái)編寫勒索病毒已經(jīng)屢見不鮮。 在暗網(wǎng)和一些地下黑客論壇中,以RAAS模式(勒索軟件即服務(wù))推廣和分發(fā)勒索病毒的勒索軟件供應(yīng)商也日益增多,RAAS模式的出現(xiàn)讓黑客攻擊成本不斷降低,策劃實(shí)施攻擊者只需支付少量成本即可發(fā)起勒索攻擊,從中大量獲利。 勒索對(duì)象也正在從C端用戶全面轉(zhuǎn)向大型B端企業(yè),瘋狂掘金的黑客團(tuán)伙已然大肆分起了蛋糕,開始了“地盤掠奪”,動(dòng)輒數(shù)百萬(wàn)美元的勒索贖金足已讓各方玩家晝夜無(wú)休。 TOP 2 挖礦、蠕蟲和驅(qū)動(dòng)類傳統(tǒng)木馬屹立濤頭除了瘋狂撈金的勒索病毒外,挖礦木馬、蠕蟲木馬和驅(qū)動(dòng)類傳統(tǒng)木馬也動(dòng)作頻頻,仍然是扮演著流行病毒主力軍團(tuán)角色。 據(jù)360安全大腦監(jiān)測(cè)發(fā)現(xiàn),上半年流行的挖礦類木馬以Powershell形式的無(wú)文件攻擊為主,其中以驅(qū)動(dòng)人生木馬(DTLMiner),匿影,BlueHero,MyKings家族居多。 該類挖礦木馬重點(diǎn)表現(xiàn)出更新頻率高,混淆嚴(yán)重的特點(diǎn)。挖礦木馬活躍度在一定程度上受虛擬貨幣價(jià)格漲幅影響,其中以DTLMiner挖礦木馬更新最為頻繁,堪稱一眾同班同學(xué)中最努力上進(jìn)的 “優(yōu)秀代表”。
更新頻頻的DTLMiner挖礦木馬 DTLMiner挖礦木馬今年的三次更新中,還分別加入以疫情為話題的郵件蠕蟲模塊,SMBGhost漏洞檢測(cè)與攻擊模塊,每一次的重要更新都在很大程度上增強(qiáng)了該木馬的傳播能力,從每次更新的時(shí)間節(jié)點(diǎn)來(lái)看,他的每次更新也都伴隨重大漏洞被批露或EXP被公布。 而從其整個(gè)上半年對(duì)野外漏洞利用的利用情況看,蠕蟲級(jí)漏洞,文檔類漏洞和各類可以遠(yuǎn)程執(zhí)行命令的服務(wù)器漏洞仍是其用的最得心應(yīng)手的武器,挖礦木馬可以輕易通過(guò)這些漏洞釋放出大規(guī)?!癆OE范圍傷害”。
驅(qū)動(dòng)類木馬(Rootkit)相較于2019年下半年也有不小的增長(zhǎng),2020年上半年感染量達(dá)370萬(wàn)。驅(qū)動(dòng)類木馬的盈利模式相較以往并無(wú)太大變化,仍然以劫持用戶瀏覽器主頁(yè)和流量暗刷為主,其中活躍木馬家族代表的木馬家族有麻辣香鍋和禍亂。 驅(qū)動(dòng)類木馬查殺Top 5占比如圖所示 驅(qū)動(dòng)類木馬驅(qū)動(dòng)類木馬的傳播主要依賴于系統(tǒng)激活工具,裝機(jī)盤,私服微端,下載站這幾個(gè)重要渠道進(jìn)行傳播,這些渠道種類魚龍混雜,安全性極低,是被黑客植入病毒最多的“后花園”。 360安全大腦發(fā)現(xiàn),相較于2019年,驅(qū)動(dòng)類木馬對(duì)抗殺軟手段有所升級(jí),查殺難度和成本有所增長(zhǎng)。 具體表現(xiàn)為病毒更新周期縮短、由限制殺軟模塊加載的黑名單機(jī)制轉(zhuǎn)變成只允許系統(tǒng)模塊加載的白名單機(jī)制,以及通過(guò)加載模塊的時(shí)間戳,簽名等特征限制殺軟驅(qū)動(dòng)加載等特征,驅(qū)動(dòng)類木馬也正在變得更加“狡猾”。 TOP 3 釣魚郵件攻擊趁火打劫疫情帶來(lái)的恐慌,無(wú)疑為黑客團(tuán)伙們創(chuàng)造了為非作歹的“天時(shí)地利”。 隨著疫情在全球的爆發(fā),以COVID-19、Coronavirus、nCov等疫情相關(guān)詞匯的網(wǎng)絡(luò)攻擊也在全球范圍內(nèi)激增。360安全大腦先后攔截到響尾蛇、海蓮花、Kimsuky、Lazarus、Patchwork等多個(gè)境外APT組織利用疫情為話題的攻擊樣本。 攜帶惡意附件 偽造成衛(wèi)生部疫情防控郵件的釣魚攻擊 此類攻擊多偽造成世界衛(wèi)生組織的安全建議,疫情通報(bào),以及疫苗申請(qǐng),疫情補(bǔ)助計(jì)劃等等。攻擊者精心構(gòu)造釣魚郵件,通過(guò)社會(huì)工程的手段,誘騙用戶點(diǎn)擊帶毒的附件,進(jìn)而在用戶電腦上植入遠(yuǎn)控或竊密木馬。而DTLMiner更是將”COVID-19”話題制造為郵件蠕蟲進(jìn)行大范圍傳播。 目前,360安全大腦已監(jiān)測(cè)多種不同類型的釣魚郵件,以疫情相關(guān)信息作為誘餌的惡意釣魚攻擊具有極高的隱蔽性,仍需反復(fù)提醒國(guó)內(nèi)外各位用戶提高安全意識(shí),注意警惕防范。 TOP 4 VPN安全隱患異軍突起疫情的到來(lái)在打亂人們生活秩序的同時(shí),也改變了我們的工作方式,拉開了數(shù)字化遠(yuǎn)程辦公的大幕。倉(cāng)促上線的遠(yuǎn)程辦公,隨之引入了大量的安全問(wèn)題。 為員工提供訪問(wèn)企業(yè)內(nèi)網(wǎng)入口的VPN,無(wú)疑是遠(yuǎn)程辦公最重要的技術(shù)手段,但VPN的脆弱性卻一直為人詬病。僅2020年上半年,國(guó)內(nèi)外通過(guò)VPN漏洞發(fā)起網(wǎng)絡(luò)攻擊的安全事件高發(fā),一些境外APT組織都曾在上半年以VPN缺陷為跳板,發(fā)起針對(duì)遠(yuǎn)程辦公企業(yè)的大規(guī)模網(wǎng)絡(luò)攻擊。 一種典型的VPN攻擊場(chǎng)景 在利用弱口令爆破、漏洞等手段成功入侵企業(yè)的VPN服務(wù)器后,攻擊者可以通過(guò)劫持VPN的升級(jí)流程下發(fā)遠(yuǎn)控木馬,進(jìn)而成功入侵目標(biāo)內(nèi)網(wǎng)。 當(dāng)員工在家辦公過(guò)程中升級(jí)VPN客戶端時(shí),由于升級(jí)流程被攻擊者劫持,木馬可以順利通過(guò)升級(jí)渠道植入員工計(jì)算機(jī)設(shè)備中。 憑借已植入的惡意木馬,攻擊者會(huì)進(jìn)一步竊取員工進(jìn)出企業(yè)內(nèi)網(wǎng)的賬號(hào)密碼,直接進(jìn)入企業(yè)內(nèi)網(wǎng)企業(yè)核心資產(chǎn)和企業(yè)重要的敏感數(shù)據(jù)。 TOP 5 遠(yuǎn)程會(huì)議、即時(shí)通訊暗藏危機(jī)除VPN外,遠(yuǎn)程會(huì)議,即時(shí)通信,文檔協(xié)助等方面也都存在諸多安全隱私問(wèn)題。應(yīng)運(yùn)而生的遠(yuǎn)程辦公軟件站在了風(fēng)口上,但這些快速上線軟件及時(shí)響應(yīng)了人們短期內(nèi)遠(yuǎn)程辦公的需求,但用戶的安全需求卻極易受到開發(fā)者的忽視和冷落。 遠(yuǎn)程視頻軟件被捆綁WebMonitor遠(yuǎn)控, CoinMiner木馬病毒 以在線視頻會(huì)議軟件Zoom舉例,首先,在弱口令,默認(rèn)配置的情況下,攻擊者可以在未被邀請(qǐng)的前提下參加視頻會(huì)議,若此過(guò)程無(wú)人審核或發(fā)現(xiàn),則可能造成嚴(yán)重的信息泄漏;其次,Zoom等在線視頻會(huì)議軟件的早期版本并未實(shí)現(xiàn)端對(duì)端加密,且加密算法強(qiáng)度比較弱,數(shù)據(jù)傳輸過(guò)程中的安全性無(wú)法保障;再者,該軟件已經(jīng)暴露了諸多高危漏洞,可能被黑客惡意利用。 國(guó)外安全研究員還發(fā)現(xiàn),該軟件將會(huì)議視頻數(shù)據(jù)存放于AWS存儲(chǔ)桶中,可公開訪問(wèn)。利用某軟件的自動(dòng)命名規(guī)則,就可搜索到該軟件的會(huì)議視頻數(shù)據(jù)。 除了大肆傳播的流行病毒外,在2020年上半年,360安全大腦還發(fā)現(xiàn)很多新的利用手法和攻擊面被挖掘并利用,這些攻擊思路刷新了我們對(duì)于傳統(tǒng)安全技術(shù)的認(rèn)知,讓我們以全新的視角去重新審視每一個(gè)安全維度,進(jìn)而不斷提升產(chǎn)品的安全能力。 TOP 6 “隔離網(wǎng)絡(luò)突破”另辟蹊徑5月下旬,國(guó)外安全公司ESET在報(bào)告中披露了Ramsay惡意軟件的一種針對(duì)物理隔離網(wǎng)絡(luò)的攻擊新型攻擊手段。所謂物理隔離網(wǎng)絡(luò),是指采用物理方法將內(nèi)網(wǎng)與外網(wǎng)隔離,從而避免入侵或信息泄露的風(fēng)險(xiǎn)的技術(shù)手段。物理隔離網(wǎng)絡(luò)主要用來(lái)保障那些需要絕對(duì)保證安全的保密網(wǎng)、專網(wǎng)和特種網(wǎng)絡(luò)的安全需求。 360安全大腦對(duì)其進(jìn)行了跟蹤研究分析,發(fā)現(xiàn)該 Ramsay惡意文件主要內(nèi)容通過(guò)可移動(dòng)磁盤來(lái)實(shí)現(xiàn)針對(duì)隔離網(wǎng)絡(luò)突破攻擊。
Ramsay惡意軟件 通過(guò)U盤實(shí)現(xiàn)隔離網(wǎng)絡(luò)突破流程圖 首先黑客會(huì)先向目標(biāo)計(jì)算機(jī)設(shè)備發(fā)送釣魚郵件,該郵件附件攜帶含有漏洞的惡意附件,觸發(fā)漏洞之后會(huì)感染員工電腦。被感染的員工電腦上線后,黑客會(huì)進(jìn)一步下發(fā)定制版的可以感染隔離網(wǎng)絡(luò)的木馬,通過(guò)感染U盤,PDF/DOC/EXE文件等方式在企業(yè)內(nèi)網(wǎng)中擴(kuò)散。 緊接著黑客會(huì)再利用系統(tǒng)管理員與員工之間的工作接觸,包括但不限于使用共享文件,U盤等,通過(guò)這些途徑感染至管理員計(jì)算機(jī)、U盤和其他文件。擁有訪問(wèn)隔離網(wǎng)絡(luò)權(quán)限的管理員,一旦將受感染的U盤插入隔離網(wǎng)絡(luò)電腦上就會(huì)將其感染。 之后該木馬會(huì)在隔離網(wǎng)絡(luò)中運(yùn)行,進(jìn)一步感染隔離網(wǎng)內(nèi)的其他設(shè)備,當(dāng)成功獲得目標(biāo)重要資產(chǎn)的訪問(wèn)權(quán)限時(shí),會(huì)直接竊取其中機(jī)密數(shù)據(jù)并將其寫入U(xiǎn)盤或帶指令的文檔中。 此時(shí)獲取的機(jī)密數(shù)據(jù)會(huì)以同樣的方式再度被帶出隔離網(wǎng)絡(luò)并接入已感染病毒的外網(wǎng)計(jì)算機(jī)中,外網(wǎng)計(jì)算機(jī)中的駐留程序檢測(cè)到U盤或文檔攜帶的機(jī)密數(shù)據(jù),將其提取并發(fā)送給黑客。 360安全大腦發(fā)現(xiàn),針對(duì)隔離網(wǎng)絡(luò)環(huán)境攻擊是一種全新的攻擊思路,黑客組織在考慮到隔離網(wǎng)絡(luò)這一特殊的場(chǎng)景時(shí),利用USB設(shè)備,doc文檔等常見的媒介實(shí)現(xiàn)從外網(wǎng)滲透進(jìn)隔離網(wǎng)絡(luò)并在竊取數(shù)據(jù)之后傳回給黑客,這一行為具有極高的隱蔽性。由于物理隔離網(wǎng)絡(luò)多為政企機(jī)構(gòu)等單位采用,因此盡管該病毒還在研發(fā)階段,尚不夠成熟,但是這種攻擊場(chǎng)景將對(duì)政企單位造成的嚴(yán)重威脅不容小覷。 TOP 7橫向滲透技術(shù)靡然成風(fēng)從境外APT組織“海蓮花”(OceanLotus)、GlobeImposter勒索病毒,再到最近鬧得滿城風(fēng)雨的驅(qū)動(dòng)人生供應(yīng)鏈攻擊事件,“橫向滲透”這種在復(fù)雜網(wǎng)絡(luò)攻擊被廣泛使用的手段,已成為不法黑客瞄準(zhǔn)企業(yè)目標(biāo),以點(diǎn)破面的慣用伎倆。如不及時(shí)發(fā)現(xiàn),最終面臨的將可能是企業(yè)內(nèi)網(wǎng)設(shè)備的停擺與癱瘓,嚴(yán)重威脅企業(yè)數(shù)字資產(chǎn)安全。 入侵和控制員工個(gè)人電腦通常并不是攻擊者的最終目的,攻擊者會(huì)以被攻陷系統(tǒng)為跳板,采用口令竊聽、漏洞攻擊等多種滲透方法嘗試進(jìn)一步入侵組織內(nèi)部更多的個(gè)人電腦和服務(wù)器,同時(shí)不斷地提升自己的權(quán)限,以求控制更多的電腦和服務(wù)器,直至獲得核心電腦和服務(wù)器的控制權(quán),這種攻擊方法已在多個(gè)APT攻擊中被發(fā)現(xiàn)使用。 據(jù)360安全大腦統(tǒng)計(jì),2020年上半年累計(jì)攔截到橫向滲透的攻擊高達(dá)150萬(wàn)次。 如Mykings僵尸網(wǎng)絡(luò)通過(guò)遠(yuǎn)程執(zhí)行WMI技術(shù)進(jìn)行橫向滲透:
某勒索軟件使用PsExec進(jìn)行橫向移動(dòng): 利用WINRM服務(wù)進(jìn)行橫向滲透: 除此之外,常見的手法還有: 拷貝病毒到具有自啟動(dòng)屬性的目錄下,當(dāng)重新登錄或啟動(dòng)時(shí),文件得到執(zhí)行。
遠(yuǎn)程創(chuàng)建服務(wù) 遠(yuǎn)程執(zhí)行計(jì)劃任務(wù)
遠(yuǎn)程注冊(cè)表操作
遠(yuǎn)程COM接口調(diào)用
遠(yuǎn)程執(zhí)行powershell 值得一提的是,從2019年開始,360安全大腦已經(jīng)監(jiān)測(cè)到境外APT組織海蓮花針對(duì)中國(guó)的多起攻擊事件中,都曾采用通過(guò)WMI遠(yuǎn)程執(zhí)行和powershell調(diào)用COM遠(yuǎn)程執(zhí)行的方式,在目標(biāo)內(nèi)網(wǎng)橫向滲透。 上半年中傳播廣泛的DLTMiner,Tor2Mine,Mykings等挖礦木馬,也都集成了不同的橫向滲透模塊,通過(guò)WMI/ SMB/SSH/數(shù)據(jù)庫(kù)/RDP弱口令爆破和各種漏洞(永恒之藍(lán)/Bluekeep/SMBGhost)漏洞進(jìn)行橫向傳播。 TOP 8供應(yīng)鏈污染配合感染型病毒打出“組合拳”2020年5月,360安全大腦首次檢測(cè)到一款新型的感染型病毒Peviru,該病毒除了感染可執(zhí)行文件之外,還會(huì)感染某編程語(yǔ)言(以下簡(jiǎn)稱X語(yǔ)言)的編譯壞境,導(dǎo)致用戶編譯的所有程序都會(huì)被感染。 360安全大腦通過(guò)對(duì)該病毒溯源發(fā)現(xiàn),這款病毒背后的黑客團(tuán)伙通過(guò)供應(yīng)鏈污染的手段將攜帶這種病毒的開發(fā)工具植入X語(yǔ)言論壇。而就在近期,我們又檢測(cè)到該黑客團(tuán)伙通過(guò)之前部署的惡意軟件下發(fā)勒索病毒。
黑客團(tuán)伙通過(guò)供應(yīng)鏈 污染配合感染型病毒下發(fā)勒索病毒 TOP 9搭建虛擬機(jī)躲避查殺獨(dú)創(chuàng)怪招在黑客眼中,攻防最大的魅力就在于封鎖,和突破封鎖,這種對(duì)抗游戲經(jīng)久不衰,攻防雙方也樂(lè)此不彼,查殺與免殺技術(shù)亦是如此。 在上半年諸多有趣的免殺樣本中,一種叫RagnarLocker的勒索軟件將免殺技術(shù)提高到了一個(gè)新的水平。 為了躲避殺毒軟件查殺,RagnarLocker在受害者機(jī)器上部署了一套完整的Oracle VirtualBox虛擬機(jī)壞境,并將49KB大小的勒索病毒存儲(chǔ)到Windows XP虛擬機(jī)的虛擬映像文件(micro.vdi)當(dāng)中。整個(gè)加密文件過(guò)程也在虛擬機(jī)空間中進(jìn)行,安裝在宿主機(jī)上的很多殺毒軟件對(duì)此都束手無(wú)策。 攻擊者先是使用GPO(Group Policy Object) task運(yùn)行遠(yuǎn)程網(wǎng)絡(luò)上的MSI(msiexec.exe)文件。這個(gè)MSI文件釋放一個(gè)舊版本的VirutalBox安裝程序和包含RagnarLocker勒索軟件的Windows XP映像文件。勒索軟件會(huì)在嘗試關(guān)閉反病毒軟件服務(wù)和進(jìn)程后,將宿主機(jī)本地磁盤,可移動(dòng)設(shè)備,網(wǎng)絡(luò)設(shè)備等都映射到虛擬機(jī)內(nèi)。 最后攻擊者啟動(dòng)虛擬機(jī),勒索軟件位于xp鏡像的啟動(dòng)目錄下,虛擬機(jī)啟動(dòng)時(shí)會(huì)自動(dòng)執(zhí)行勒索軟件,在虛擬機(jī)中加密共享的物理機(jī)數(shù)據(jù)從而規(guī)避殺軟的查殺。攻擊者還會(huì)刪除卷影還原點(diǎn),防止用戶通過(guò)磁盤恢復(fù)工具恢復(fù)加密的文件。 這種新穎的通過(guò)虛擬機(jī)加密的手法可謂獨(dú)辟蹊徑,Ragnar Locker已經(jīng)成功利用這種方法實(shí)現(xiàn)了對(duì)葡萄牙跨國(guó)能源巨頭、世界第四大風(fēng)能生產(chǎn)商EDP的勒索攻擊,并開出了1580枚BTC近11萬(wàn)美元的高昂贖金。 TOP 10變形蟲(BadUSB)攻擊花式釣魚2013年,斯諾登曾曝光美國(guó)NSA武器庫(kù)中的“水蝮蛇一號(hào)” (COTTONMOUTH-I),它可以在電腦不連網(wǎng)的情況下秘密修改數(shù)據(jù),這一支用于全球監(jiān)控的超級(jí)網(wǎng)絡(luò)軍火,實(shí)質(zhì)上是一個(gè)植入微型電腦的特制U盤。 在2014年的Black Hat大會(huì)上,來(lái)自柏林的安全研究員現(xiàn)場(chǎng)還原如何利用U盤、鼠標(biāo)等任意USB設(shè)備,“完美”繞開安全軟件防護(hù)網(wǎng),實(shí)施攻擊,并將其定義為世界上最邪惡的USB外設(shè)——“BadUSB”。根據(jù)BadUSB極難辨別的偽裝攻擊特點(diǎn),360安全大腦 將其命名為“變形蟲”。 利用“變形蟲(BadUSB)”發(fā)起的網(wǎng)絡(luò)攻擊幾乎從未停止,尤其是在國(guó)家級(jí)網(wǎng)絡(luò)對(duì)抗、關(guān)鍵基礎(chǔ)設(shè)施攻擊、間諜情報(bào)活動(dòng)等場(chǎng)景下,“變形蟲(BadUSB)”更成為一種致命的入侵武器。而在2020年上半年,又再次真實(shí)的發(fā)生了一起利用變形蟲(BadUSB)發(fā)起攻擊的惡意安全事件。 3月,美國(guó)一家酒店的員工收到了來(lái)自“Best Buy”的用戶回饋信,信中提到BestBuy公司為了回饋忠實(shí)用戶,贈(zèng)送每位用戶50美元的購(gòu)物卡,信封中還包含一個(gè)USB驅(qū)動(dòng)器,聲稱里面包含一個(gè)購(gòu)物清單,相信很多未受過(guò)專業(yè)安全培訓(xùn)的人都會(huì)第一時(shí)間將USB設(shè)備查到電腦上開始選購(gòu)商品。
但事實(shí)上,這個(gè)USB設(shè)備是經(jīng)過(guò)特殊處理的,攻擊者將USB設(shè)備編程為USB鍵盤,因?yàn)橛?jì)算機(jī)默認(rèn)設(shè)置是信任USB鍵盤,當(dāng)USB設(shè)備被插入受害者計(jì)算機(jī)時(shí),模擬鍵盤就會(huì)執(zhí)行惡意代碼,進(jìn)而控制這臺(tái)機(jī)器。 谷歌反欺詐研究團(tuán)隊(duì)曾用實(shí)驗(yàn)說(shuō)明一項(xiàng)危險(xiǎn)事實(shí):在實(shí)驗(yàn)中隨意丟棄的287個(gè)U盤中,有135人撿走并遭到攻擊,釣魚USB“上鉤率”高達(dá)45%。 因此,如果在停車場(chǎng),公司角落,咖啡館等看到被人遺落的U盤,SD卡等設(shè)備,或是受到陌生的USB贈(zèng)品,很有可能來(lái)源于攻擊者的惡意投放。對(duì)于政企單位而言,拒絕使用來(lái)源不明的USB設(shè)備的警鐘更應(yīng)長(zhǎng)鳴。 對(duì)黑客而言更有利的是,我們手邊的USB設(shè)備實(shí)在林林總總,觸手可及的鍵盤、鼠標(biāo)、充電寶、數(shù)據(jù)線、以及各種轉(zhuǎn)接頭……不得不說(shuō),我們的電腦高度依賴著USB外接設(shè)備,但同時(shí),電腦系統(tǒng)也給予了最大的兼容,甚至免驅(qū)。這樣的后果就是,若不幸插入BadUSB,攻擊再難停止,并且這種攻擊可以隨意偽裝、防不勝防。 安全反思綜合上半年P(guān)C端面臨的安全威脅態(tài)勢(shì)來(lái)看,流行病毒接踵而至,新型的攻擊面、復(fù)合型攻擊手法也在被不斷的挖掘和利用。疫情熱點(diǎn)和疫情下遠(yuǎn)程辦公場(chǎng)景也為紛涌而來(lái)的攻擊活動(dòng)提供了更多的攻擊入口,對(duì)PC安全行業(yè)帶來(lái)了極為復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)和現(xiàn)實(shí)威脅。 進(jìn)入2020年的下半場(chǎng),還有哪些未知安全風(fēng)險(xiǎn)將會(huì)“裂變”而至,誰(shuí)也無(wú)法預(yù)見。 就上半年已暴露出的諸多安全威脅面而言,各方仍應(yīng)提高安全意識(shí)加強(qiáng)安全防護(hù),居安思危以未雨綢繆。畢竟,若不能清醒的看清新威脅,無(wú)論發(fā)生何種后果都終將由自己買單。
|