2022年1月,联邦调查局对USB攻击活动发出了公开警告,大量带有恶意软件的USB驱动器在2021年8月至11月期间被发送给运输,国防和保险部门的员工。这些USB带有冒充卫生与公众服务部和亚马逊的假信,通过美国邮政局和UPS发送。该活动被称为“BadUSB”,FIN7黑客组织被认为是此次活动的罪魁祸首。以下是您需要了解的有关BadUSB和减轻此USB攻击风险的信息。
Trustwave SpiderLabs高级安全研究经理Karl Sigler解释说:“BadUSB攻击为受害者提供了看起来像物理USB记忆棒的东西,并通过承诺(赠送)礼品卡等诱饵诱使受害者上当。”其研究团队最早在2020年发现了该活动。
他说:“USB驱动器实际上是被配置的USB键盘,插入电脑后,计算机将识别它并对其进行配置——USB键盘会自动开始键入,并且通常会注入命令来下载恶意软件。
BadUSB带来的安全威胁
Sigler说,BadUSB一旦启动成功,就可以充当从凭据抓取器到后门和勒索软件的任何内容的初始下载器。此类型的攻击通常在安全专业人员之间讨论,但并不常见。他补充说,鉴于攻击的罕见性,它可能在很多情况下都是有效的。
“这种攻击媒介可能是想要利用在家工作的趋势。”Cybereason首席执行官兼联合创始人Yossi Naar写道。居家办公,用户将工作计算机与家庭网络互用的可能性增加。
Naar还指出,一些组织或部门经常使用USB驱动器,因此人们对使用USB存储设备习以为常。他警告说,一旦攻击者站稳了脚跟,他们就可以升级特权或从内部进行侦察。
Naar说:“也许BadUSB最危险的因素是该活动可能只是分散了更广的泛攻击的注意力。有各种更有效的攻击媒介不依赖于像这样的潜在可追溯和高接触活动。FIN7是一个复杂的威胁参与者,他可能是在放‘烟雾弹’。”
如何防止风险?
企业可以采取几个步骤来防止成为BadUSB攻击的受害者。
首先是将此活动和其他类似活动纳入安全意识培训,并确保所有员工都明白,在尝试将新的US插入或连接到系统之前,他们应该将任何未识别的硬件交给内部安全团队。
其次,对于不需要任何USB配件的关键系统,物理和基于软件的USB端口阻止程序也是值得的。
最后,Sigler写道,如果BadUSB确实像Naar所说的那样——FIN7此次活动是一种攻击误导企图,那么组织需要检查整个环境中的全部恶意操作,而不仅仅是关注USB驱动器的立足点,要识别和阻止其他恶意活动。(本文出自SCA安全通信联盟,转载请注明出处。)