某東某寶送你個優(yōu)盤你要不要？

百思買是國外比較流行的電商購物網(wǎng)站，雖然不如亞馬遜不過百思買也有非常多的客戶，與國內(nèi)某東和某寶類似。

黑客集團的套路是這樣的：以百思買的名義向目標企業(yè)寄送實體包裹，包裹內(nèi)含有優(yōu)盤和所謂的忠誠客戶禮品卡。

禮品卡還特別標注只能購買優(yōu)盤因此百思買直接把優(yōu)盤也寄送過來，算是對客戶的回饋同時降低寄送過程的麻煩。

多數(shù)企業(yè)員工收到這樣的包裹都以為真的是發(fā)的客戶回饋，因此這些員工美滋滋的收獲優(yōu)盤自己拿起來用。

當然這種社會工程學(xué)手段也真的很難被人輕易識別，即便是有安全基礎(chǔ)的用戶遇到這種好事可能都無法及時分辨。

研究人員將數(shù)據(jù)線改造成惡意鍵盤

你以為這是優(yōu)盤但它不只是優(yōu)盤：

黑客集團寄送的這些優(yōu)盤實際上是經(jīng)過定制開發(fā)的，去年曾提到過有研究人員將酒店蘋果的數(shù)據(jù)線改造成了外接鍵盤。

這種改造并不是真的把數(shù)據(jù)線變成外接鍵盤，而是通過定制線路板和固件讓操作系統(tǒng)認為這個外接設(shè)備就是鍵盤。

當這種數(shù)據(jù)線形狀的鍵盤連接電腦后便可激活輸入法，而黑客在固件里內(nèi)置鍵盤悄悄自動輸入執(zhí)行某些惡意命令。

而此次黑客集團寄送的優(yōu)盤也是經(jīng)過類似的定制，只不過不是數(shù)據(jù)線而是以普通優(yōu)盤作為載體對線路板進行改造。

甚至這些優(yōu)盤還具有優(yōu)盤的功能即存儲功能，因此它也確實是個優(yōu)盤，但不只是優(yōu)盤因為還是個形狀不同的鍵盤。

黑客使用的載體優(yōu)盤，這種優(yōu)盤在國內(nèi)售價10元左右常被當贈品贈送

優(yōu)盤里內(nèi)置惡意軟件和后門程序：

如果企業(yè)員工真的相信百思買客戶回饋那么黑客集團的目的就達到了，至少利用社會工程學(xué)的攻擊手段已經(jīng)完成。

接下來只需要等待企業(yè)員工迫不及待的把這枚優(yōu)盤連接電腦，只要連接上電腦優(yōu)盤內(nèi)置的輸入程序便會自動工作。

甚至都不需要用戶打開優(yōu)盤也不需要用戶執(zhí)行任何程序，僅僅只是連接到電腦黑客集團便能利用自動化程序操作。

接下來黑客會通過一系列操作規(guī)避反病毒軟件查殺，最終這枚優(yōu)盤能夠突破封鎖成功從遠程服務(wù)器加載后門程序。

拆解后可以看到黑客對內(nèi)部元件進行過改造

這種定制的優(yōu)盤成本僅5美元：

據(jù)了解這種定制的BadUSB設(shè)備以前成本在100美元左右且附帶許多功能, FIN7此次利用的優(yōu)盤成本僅5美元而已。

因此即便是向目標企業(yè)每個部門寄送個惡意優(yōu)盤都不是問題，那么多部門總有人會以為天上掉餡餅美滋滋的使用。

這種社會工程學(xué)攻擊手段其實并沒有什么太好的辦法能夠應(yīng)對，除非企業(yè)管理員直接禁用掉所有設(shè)備的USB功能。

當然有這類攻擊案例后企業(yè)管理員最好及時對企業(yè)員工展開安全培訓(xùn)，避免將來歷不明的外接設(shè)備連接任何電腦。